Sammanfattning
Windows uppdateringar för CVE-2021-42282 som släpptes den 9 november 2021 lägger du till följande verifieringar för attribut i Active Directory (AD):
-
Upn-namn (User Principal Name) och service principal name (SPN) unika (nya i Windows 8, Windows Server 2012 och tidigare versioner)
-
SPN-aliass unikhet (nytt för Windows versioner)
Unikt användarnamn och huvudnamn för tjänsten
Den här funktionen garanterar att SPN är unika i en skog, vilket gör att datorer och domänkontrollanter inte kan lägga till dubbletter av SPN. Den här funktionen finns redan i Windows 8.1 eller senare och beskrivs i SPN- och UPN-unikhet.
UNIKA SPN-alias
Ett befintligt AD-attribut definierar alias för många vanliga tjänstklasser till motsvarande HOST SPN för tjänster som CIFS, HTTP och RPC. AD-attributet definieras som en lista i konfigurationsnamngivningskontexten för en Active Directory-skog. En användare som inte har administratörsrättigheter kanske inte omtilldelar ett SPN som tilldelas implicit till ett annat konto med den här aliasing.
Obs! Den här verifieringen implementeras förutom verifieringen för UPN- och SPN-unika egenskaper.
Unika SPN-aliasverifieringar är på som standard. Du kan inaktivera dessa verifieringar genom att ändra det 21: a tecknet i attributet dSHeuristics , som tolkas som en serie tecken. Attributet dSHeuristics finns inte som standard, men du kan lägga till det under det unika namnet "CN=Katalogtjänst,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Möjliga inställningar och deras motsvarande bitvärden är följande:
-
Värde 0 – innebär Att alla används (ingen bituppsättning 000) standard
-
Värde 1 – innebär att inaktivera UPN-unikhetsverifiering (bit 0 uppsättning – 001)
-
Värde 2 – innebär att inaktivera SPN-unikhetsverifiering (bit 1 uppsättning – 010)
-
Värde 3 – innebär att inaktivera UPN-unikhet OCH SPN-unikhetsverifiering. (bit 0 och 1 uppsättning – 011)
-
Värde 4 – innebär att du inaktiverar SPN-alias för unikhetsverifiering (bit 2 uppsättning – 100)
-
Värde 5 – innebär att inaktivera SPN-alias och UPN-unikhetsverifiering (bit 2 och bit 0 inställd – 101)
-
Värde 6 – innebär att inaktivera SPN-alias OCH SPN-unikhet (bit 2 och bit 1-uppsättning – 110)
-
Värde 7 – betyder Inaktivera alla (alla bitar anger 111)
Exempel: Om du inte har några andra dSHeuristics-inställningar aktiverade i din skog och du bara vill inaktivera SPN-alias för unikhetsverifiering, ska attributet dSHeuristics anges till: "000000000100000000024"
De tecken som anges i det här fallet är:
10:e tecken: Måste anges till 1 om attributet dSHeuristics är minst 10 tecken
20:e tecken: Måste anges till 2 om attributet dSHeuristics är minst 20 tecken
21:a char: Måste anges till ett värde i listan ovan. värde 4 innebär att inaktivera SPN-aliass unikhet.
Obs! Om attributet dSHeuristics redan har angetts måste du slå ihop de befintliga inställningarna till den nya dSHeuristics-attributsträngen och bekräfta att de 10:e, 20:e och 21:a tecknen anges som ovan. De andra tecknen som redan har angetts ska inte ändras.
Mer information om hur du konfigurerar dSHeuristics-tecken finns i följande dokument:
Mer information
Vad är ett huvudnamn för tjänsten?
Ett servicehuvudnamn (SPN) är en unik identifierare för en tjänstinstans. Kerberos-autentisering använder SPN för att koppla en tjänstinstans till ett tjänstin signeringskonto. Då kan klientprogrammet begära att tjänsten autentiserar ett konto även om klienten inte har kontonamnet. Mer information finns i Service Principal Names .
Vad är ett huvudnamn för användare?
Ett användarhuvudnamn (UPN) är ett e-postliknande inloggningsnamn för en användare baserat på RFC 822 (Internetstandard). Mer information finns i Attributet User-Principal-Name.
Vanliga frågor och svar
F1 Vad händer om jag behöver registrera ett duplicerat HOST-alias SPN för kontot?
A1 Registrera det SPN som krävs som administratör.
Q2 Vad händer om jag inaktiverar SPN- eller UPN-unikhet?
A2 Vi rekommenderar inte detta. Om SPNs inte är unika är det som om alla SPN som är dubbletter inte registreras alls. Registrering av ett duplicerat SPN har samma effekt som att avregistrera den ursprungliga. Om UPN inte är unika går det inte att hitta användaruppslag som använder upn-dubbletter.
F3 Vad händer om jag inaktiverar SPN-aliass unika identitet?
A3 Vi rekommenderar inte detta. En annan användare kan ändra upplösningen på ett befintligt alias SPN från dess nuvarande upplösning till en dator som inte är administratör. Den datorn kan fungera som den tjänsten eftersom serverautentisering som Kerberos tillhandahåller accepterar det nya kontot som rätt värd för tjänsten i stället för det ursprungliga kontot med HOST SPN.
Q4 Hur kan domänadministratören hitta dubbletter av SPN eller UPN som redan finns i nätverket?
A4 Det här är inte praktiskt om du inte behöver skriva omfattande skript för att räkna upp alla SPN och UPN från domänen och korrelera för att hitta dubbletter.
Q5 Vad händer om jag har en blandning av domänkontrollanter som är uppdaterade och inte uppdaterade eller inte matchade inställningar mellan domänkontrollanter?
A5 Replikering blockeras inte på grund av duplicerade UPN eller SPN. Därför kan dubbletter replikeras till andra domänkontrollanter om duplicerade UPN eller SPN skapas på en domänkontrollant som inte har uppdateringen.
