Sammanfattning
Skydd för CVE-2022-21920 ingår i uppdateringarna från 11 januari 2022 Windows och senare Windows uppdateringar. De här uppdateringarna innehåller förbättrad logik för att identifiera nedgraderingsattacker för tredels Service Principal-namn när de använder Microsoft Negotiate autentiseringsprotokoll.
Den här artikeln innehåller vägledning när Kerberos-autentisering inte lyckas.
Mer information
Om du installerar Windows-uppdateringarna från 11 januari 2022 och senare Windows-uppdateringar kan det hända att autentiseringen misslyckas för tredels-SPN där Kerberos-autentiseringen inte lyckas. För de här miljöerna har kerberos-autentisering för spN med 3 delar inte fungerat på en tid. Följande händelse kan visas på Windows för att underlätta triage.
Skärmbild av LSA-händelse 40970 som identifierar ntlm-reserven för ett visst SPN från en Microsoft-testmiljö. |
LSA-händelse 40970 textversion |
|
Säkerhetssystemet har upptäckt ett nedgraderingsförsök när du kontaktar 3-part SPN <SPN-> med felkoden "SAM-databasen på Windows Server har inte ett datorkonto för arbetsstationens förtroenderelation (0x0000018b)" autentisering nekades. |
Åtgärd
Microsoft rekommenderar att du gör en trimering därför att Kerberos-autentiseringen för SPN-3-delen misslyckades. Här är några vanliga orsaker till Kerberos-autentiseringsfel:
-
SPN som används som mål för autentisering är felaktigt. Mer information finns i Namnformat för unika SPN.
Obs!: Program och API kan ha striktare eller olika definitioner för vad som utgör ett legitimt SPN för tjänsten.
Exempel på ett legitimt SPN
http/webserver
Host/machine2.contoso.com
Ldap/machine1.contoso.com/contoso.com
Service/maskin1:10100
Exempel på eventuellt malformade SPNSPN
Orsak
Värd/värd/dator1
Värd/värd är förmodligen ett misstag eftersom "värd" vanligtvis är en serviceklass och inte ett datornamn. Det är möjligt att det legitima SPN:t är värd/dator1.
Ldap/machine/contoso.com:10100
Portar kan anges på värdnamnet ("dator") och inte i tjänstinstansens namn. Det är möjligt att det legitima SPN:t är "ldap/machine:10100/contoso.com"
Ldap/dc-a/DC=CONTOSO,DC=COM
Vissa API:er förväntar sig ett DNS-namn i stället för ett FQDN. DsBindA-funktionen (ntdsapi.h) förväntas till exempel skickas i ett DNS-namn. Om ett FQDN överförs kan det resultera i ett malformat SPN.
Det legitima SPN kan vara "ldap/dc-a/contoso.com"För att lösa dessa problem kan du antingen använda rätt SPN eller registrera det malformade SPN till rätt tjänstkonto.
-
SPN som används som mål för autentisering finns inte. Du kan lösa problemet genom att registrera SPN på rätt tjänstkonto.
-
Klientdatorn Windows inte har synhåll för en domänkontrollant (t.ex. att dataenheterna är offline, kan inte identifieras i DNS eller så blockeras åtkomst till KDC-porten).
-
Du kanske använder NetBIOS-namn i ett scenario där NetBIOS-namn inte fungerar. Ett exempel är åtkomst till domänresurser från en dator som inte är domänkopplad och NetBIOS-namnmatchningen är antingen inaktiverad eller fungerar inte.
Microsoft rekommenderar att du använder ett UPN (User Principal Name) eller ett DNS-system (Domain Name System) i stället för NetBIOS-namnet.
Registrera SPN
Beroende på programmets och miljöns konfiguration kan SPN konfigureras för attributet Service Principal Name för tjänstkontot eller datorkontot i Active Directory-domänen som Kerberos-klienten försöker upprätta Kerberos-anslutningen med. För att Kerberos-autentiseringen ska fungera korrekt måste mål-SPN vara giltigt.
Se distributionsdokumentationen eller supportleverantören för varje specifikt program för anvisningar om hur du aktiverar Kerberos-autentisering. Vissa programinstallationsprogram eller program registrerar SPN automatiskt. Det finns olika alternativ för både utvecklare och administratörer att registrera ett SPN:
-
Information om hur du registrerar SPN manuellt för en tjänstinstans finns i Uppsättningarpn.
-
Om du vill registrera SPN för en tjänstinstans programmässigt kan du se Hur en tjänst registrerar sina SPN som beskriver hur du:
-
Anropa funktionen DsGetSpn för att skapa ett eller flera unika SPN för tjänstinstansen. Mer information finns i Namnformat för unika SPN.
-
Anropa funktionen DsWriteAccountSpn om du vill registrera namnen på tjänstens inloggningskonto.
-
Kända problem
Det finns för närvarande inga kända problem med den här uppdateringen.