ข้ามไปที่เนื้อหาหลัก
การสนับสนุน
ลงชื่อเข้าใช้
ลงชื่อเข้าใช้ด้วย Microsoft
ลงชื่อเข้าใช้หรือสร้างบัญชี
สวัสดี
เลือกบัญชีอื่น
คุณมีหลายบัญชี
เลือกบัญชีที่คุณต้องการลงชื่อเข้าใช้

สรุป

Windows CVE-2021-42282 ที่เผยแพร่เมื่อวันที่ 9 พฤศจิกายน 2021 ให้เพิ่มการตรวจสอบต่อไปนี้ของแอตทริบิวต์ใน Active Directory (AD):

  • ชื่อหลักของผู้ใช้ (UPN) และชื่อหลักของบริการ (SPN) ไม่ซ้Windows 8 (ใหม่กับ Windows 8, Windows Server 2012 และรุ่นก่อนหน้า) 

  • ไม่ซ้Windowsของนามแฝง SPN 

ชื่อหลักของผู้ใช้และชื่อหลักของบริการไม่เฉพาะ

ฟีเจอร์นี้รับประกันว่า SPN จะไม่เหมือนใครในฟอเรสต์ ซึ่งป้องกันไม่ให้คอมพิวเตอร์และตัวควบคุมโดเมนเพิ่ม SPN ที่สํารวนกัน ฟังก์ชันการฟังก์ชันนี้มีอยู่แล้วใน Windows 8.1 ขึ้นไป และอธิบายไว้ใน SPN และ UPN ไม่เฉพาะ

นามแฝง SPN ไม่เฉพาะ

แอตทริบิวต์ AD ที่มีอยู่จะกําหนดนามแฝงของคลาสบริการทั่วไปจํานวนมากให้กับ HOST SPN เทียบเท่ากับบริการเช่น CIFS, HTTP และ RPC แอตทริบิวต์ AD จะถูกกําหนดเป็นรายการในบริบทการตั้งชื่อการกําหนดค่าของฟอเรสต์ Active Directory ผู้ใช้ที่ไม่มีสิทธิ์ผู้ดูแลระบบอาจไม่มอบหมาย SPN ที่ได้รับการมอบหมายให้กับบัญชีอื่นโดยนัยโดยใช้นามแฝงนี้

หมายเหตุ การตรวจสอบนี้จะถูกดําเนินการนอกเหนือจากการตรวจสอบ UPN และ SPN ไม่ซ้วย

การตรวจสอบนามแฝงเฉพาะ SPN จะเปิดใช้งานตามค่าเริ่มต้น คุณสามารถปิดการตรวจสอบเหล่านี้โดยการปรับเปลี่ยนอักขระที่ 21 ของ แอตทริบิวต์ dSHeuristics ซึ่งจะถูกแปลเป็นชุดของอักขระ แอตทริบิวต์ dSHeuristics ไม่มีอยู่ตามค่าเริ่มต้น แต่คุณสามารถเพิ่มแอตทริบิวต์ภายใต้ชื่อที่แตกต่าง "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local" การตั้งค่าที่เป็นไปได้และค่าบิตที่สอดคล้องกันมีดังนี้:

  • ค่า 0 – หมายถึง บังคับใช้ทั้งหมด (ไม่มีบิตตั้งค่า 000) ค่าเริ่มต้น

  • ค่า 1 – หมายถึง ปิดใช้งานการตรวจสอบ UPN Uniqueness (บิต 0 set - 001)

  • ค่า 2 – หมายถึง ปิดใช้งานการตรวจสอบความเฉพาะตัวของ SPN (บิต 1 ชุด - 010)

  • ค่า 3 – หมายถึงปิดใช้งานการตรวจสอบ UPN Uniqueness และ SPN Uniqueness (บิต 0 และ 1 ชุด - 011)

  • ค่า 4 – หมายถึง ปิดใช้งานการตรวจสอบนามแฝงเฉพาะ SPN (บิต 2 ชุด - 100)

  • ค่า 5 – หมายถึง ปิดใช้งานนามแฝง SPN และการตรวจสอบความถูกต้อง UPN Uniqueness (บิต 2 และบิต 0 set - 101)

  • ค่า 6 - หมายถึง ปิดใช้งานนามแฝง SPN และ SPN Uniqueness (บิต 2 และบิต 1 set - 110)

  • ค่า 7 – หมายถึง ปิดใช้งานทั้งหมด (ทุกบิตตั้งค่า 111)

ตัวอย่าง: ถ้าคุณไม่มีการตั้งค่า dSHeuristics อื่นที่เปิดใช้งานในฟอเรสต์ของคุณ และคุณต้องการปิดใช้งานการตรวจสอบนามแฝงที่ไม่เฉพาะของ SPN แอตทริบิวต์ dSHeuristics ควรตั้งค่าเป็น: "000000000100000000024"

อักขระที่ตั้งค่าไว้ในกรณีนี้คือ:
อักขระที่ 10: ต้องถูกตั้งค่าเป็น 1 ถ้า แอตทริบิวต์ dSHeuristics มีอักขระอย่างน้อย 10 ตัว
20th char: ต้องได้รับการตั้งค่าเป็น 2 ถ้า แอตทริบิวต์ dSHeuristics มีอักขระอย่างน้อย 20 ตัว
21st char: ต้องได้รับการตั้งค่าเป็นค่าในรายการด้านบน ค่า 4 หมายถึง การปิดใช้งานนามแฝง SPN ที่ไม่เหมือนใคร

หมายเหตุ ถ้า แอตทริบิวต์ dSHeuristics ถูกตั้งค่าไว้แล้ว ตรวจสอบให้แน่ใจว่าได้ผสานการตั้งค่าที่มีอยู่กับสตริงแอตทริบิวต์ dSHeuristics ใหม่ และยืนยันว่าอักขระ 10, 20 และ 21st ถูกตั้งค่าไว้ตามด้านบน อักขระอื่นๆ ที่ตั้งค่าไว้แล้วควรยังคงไม่เปลี่ยนแปลง

For more information about configuring the dSHeuristics characters please refer to the following documents:

ข้อมูลเพิ่มเติม

ชื่อหลักของบริการคืออะไร

ชื่อบริการหลัก (SPN) คือตัวระบุเฉพาะของอินสแตนซ์ของบริการ การรับรองความถูกต้องของ Kerberos ใช้ SPN เพื่อเชื่อมโยงอินสแตนซ์บริการกับบัญชีลงชื่อเข้าใช้บริการ การนี้จะช่วยให้แอปพลิเคชันไคลเอ็นต์สามารถร้องขอให้บริการรับรองความถูกต้องของบัญชีแม้ว่าไคลเอ็นต์ไม่มีชื่อบัญชี โปรดดู ชื่อบริการหลัก เพื่อดูรายละเอียดเพิ่มเติม

ชื่อหลักของผู้ใช้คืออะไร

ชื่อหลักของผู้ใช้ (UPN) คือชื่อการลงชื่อเข้าใช้สไตล์อีเมลของผู้ใช้ที่ยึดตาม RFC 822 มาตรฐานอินเทอร์เน็ต For more details, please see User-Principal-Name attribute.

คำถามที่ถามบ่อย

Q1 จะเกิดอะไรขึ้นถ้าฉันต้องลงทะเบียน SPN นามแฝงโฮสต์ที่คัดลอกมากับบัญชีผู้ใช้

A1 ลงทะเบียน SPN ที่ต้องใช้ในฐานะผู้ดูแลระบบ

Q2 จะเกิดอะไรขึ้นถ้าฉันปิด SPN หรือ UPN ไม่เฉพาะ

A2 เราไม่แนะนนะให้สิ่งนี้ ถ้า SPN ไม่ไม่ไม่เหมือนใคร ก็เหมือนกับว่า SPN ใดๆ ที่เป็นรายการที่คัดลอกไม่ได้ลงทะเบียนเลย การลงทะเบียน SPN ที่ซ้อนกันมีผลเหมือนกับการถอนการลงทะเบียน SPN ดั้งเดิม ถ้า UPN ไม่ไม่ไม่เหมือนใคร การค้นหาผู้ใช้ที่ใช้ UPN ที่ซ้อนกันจะล้มเหลว

Q3 จะเกิดอะไรขึ้นถ้าฉันปิดนามแฝง SPN ที่ไม่เหมือนใคร

A3 เราไม่แนะนนะให้สิ่งนี้ ผู้ที่ไม่ใช่ผู้ดูแลระบบอาจเปลี่ยนความละเอียดของ SPN ของนามแฝงที่มีอยู่จากความละเอียดปัจจุบันไปยังคอมพิวเตอร์ภายใต้การควบคุมของที่ไม่ใช่ผู้ดูแลระบบ คอมพิวเตอร์เครื่องนั้นอาจเป็นบริการนั้นเนื่องจากการรับรองความถูกต้องของเซิร์ฟเวอร์ที่ Kerberos มีให้จะยอมรับบัญชีใหม่เป็นโฮสต์ที่ถูกต้องของบริการแทนที่จะเป็นบัญชีเดิมที่มี HOST SPN

Q4 ผู้ดูแลโดเมนสามารถค้นหา SPN หรือ UPNs ที่ซ้อนกันมีอยู่แล้วบนเครือข่ายได้อย่างไร

A4 ซึ่งไม่ใช่หลักปฏิบัติถ้าไม่มีการเขียนสคริปต์ที่ครอบคลุมเพื่อแจง SPN ทั้งหมดและ UPN ทั้งหมดจากโดเมนและสหสัมพันธ์เพื่อค้นหารายการที่ซ

Q5 จะเกิดอะไรขึ้นถ้าฉันมีการผสมกันของตัวควบคุมโดเมนที่อัปเดตและไม่ได้อัปเดตการตั้งค่าหรือไม่ตรงกันระหว่างตัวควบคุมโดเมน

A5 การ Replication จะไม่ถูกบล็อกเนื่องจาก UPN หรือ SPN ที่คัดลอก ดังนั้น รายการที่คัดลอกสามารถคัดลอกไปยังตัวควบคุมโดเมนอื่น ถ้า UPN หรือ SPN ที่คัดลอกกันจะถูกสร้างขึ้นบนตัวควบคุมโดเมนที่ไม่ได้อัปเดต

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ค้นพบ ชุมชน

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ถามคำถามใน Microsoft Community

ชุมชนด้านเทคนิคของ Microsoft

Windows Insider

Microsoft 365 Insiders

ข้อมูลนี้เป็นประโยชน์หรือไม่

คุณพึงพอใจกับคุณภาพภาษาเพียงใด
สิ่งที่ส่งผลต่อประสบการณ์ใช้งานของคุณ
เมื่อกดส่ง คำติชมของคุณจะถูกใช้เพื่อปรับปรุงผลิตภัณฑ์และบริการของ Microsoft ผู้ดูแลระบบ IT ของคุณจะสามารถรวบรวมข้อมูลนี้ได้ นโยบายความเป็นส่วนตัว

ขอบคุณสำหรับคำติชมของคุณ!

×