|
Tarihi değiştir |
Açıklamayı değiştir |
|
3 Şubat 2026, İstanbul |
|
Özet
9 Kasım 2021'de yayımlanan CVE-2021-42282 için Windows güncelleştirmeleri, Active Directory'deki (AD) öznitelikler için aşağıdaki doğrulamaları ekler:
-
Kullanıcı asıl adı (UPN) ve hizmet asıl adı (SPN) benzersizliği (Windows 8, Windows Server 2012 ve önceki sürümlerde yenidir)
-
SPN diğer ad benzersizliği (tüm Windows sürümlerinde yeni)
Kullanıcı asıl adı ve hizmet asıl adı benzersizliği
Bu özellik, SPN'lerin ormanda benzersiz olmasını garanti eder ve bu da bilgisayarların ve etki alanı denetleyicilerinin yinelenen SPN'ler eklemesini önler. Bu işlevsellik Windows 8.1 ve üzerinde zaten var ve SPN ve UPN benzersizliği bölümünde açıklanmaktadır.
SPN diğer adı benzersizliği
Mevcut bir AD özniteliği CIFS, HTTP ve RPC gibi hizmetler için eşdeğer KONAK SPN'sine birçok ortak hizmet sınıfı için diğer adları tanımlar. AD özniteliği, Active Directory ormanının yapılandırma adlandırma bağlamında bir liste olarak tanımlanır. Yönetici hakları olmayan bir kullanıcı, bu diğer adı kullanarak farklı bir hesaba örtük olarak atanmış bir SPN'yi yeniden atamayabilir.
Not Bu doğrulama, UPN ve SPN benzersizliği doğrulamasına ek olarak uygulanır.
SPN diğer ad benzersizliği doğrulamaları varsayılan olarak açıktır. Bir dizi karakter olarak yorumlanan dSHeuristics özniteliğinin 21. karakterini değiştirerek bu doğrulamaları kapatabilirsiniz. dSHeuristics özniteliği varsayılan olarak yoktur, ancak bunu "CN=Dizin Hizmeti,CN=Windows NT,CN=Hizmetler,CN=Yapılandırma,DC=support,DC=local" ayırt edici adı altına ekleyebilirsiniz. Olası ayarlar ve karşılık gelen bit değerleri aşağıdaki gibidir:
-
Değer 0 – Tümünü Zorla (bit kümesi 000 yok) Varsayılan anlamına gelir
-
Değer 1 – UPN Benzersizliği doğrulamayı devre dışı bırakma anlamına gelir (bit 0 set - 001)
-
Değer 2 – SPN Benzersizliği doğrulamasını devre dışı bırakma anlamına gelir (bit 1 set - 010)
-
Değer 3 – UPN Benzersizliğini ve SPN Benzersizliği doğrulamasını devre dışı bırakma anlamına gelir. (bit 0 ve 1 kümesi - 011)
-
Değer 4 – SPN Diğer Ad Benzersizliği doğrulamasını devre dışı bırakma anlamına gelir (bit 2 set - 100)
-
Değer 5 – SPN Diğer Adı ve UPN Benzersizliği doğrulamasını devre dışı bırakma anlamına gelir (bit 2 ve bit 0 kümesi - 101)
-
Değer 6 - SPN Diğer Adı ve SPN Benzersizliğini Devre Dışı Bırak anlamına gelir (bit 2 ve bit 1 kümesi - 110)
-
Değer 7 – Tümünü Devre Dışı Bırak anlamına gelir (tüm bitler 111 olarak ayarlanır)
Örnek: Ormanınızda etkinleştirilmiş başka dSHeuristics ayarlarınız yoksa ve yalnızca SPN diğer adı benzersizliği doğrulamasını devre dışı bırakmak istiyorsanız , dSHeuristics özniteliği şu şekilde ayarlanmalıdır: "000000000100000000024" Bu durumda ayarlanan karakterler şunlardır: 10. karakter: dSHeuristics özniteliği en az 10 karakterse 1 olarak ayarlanmalıdır 20. karakter: dSHeuristics özniteliği en az 20 karakterse 2 olarak ayarlanmalıdır 21. karakter : Yukarıdaki listede bir değere ayarlanmalıdır; değer 4, SPN Diğer Adı Benzersizliğini Devre Dışı Bırak anlamına gelir.
Not dSHeuristics özniteliği zaten ayarlanmışsa, mevcut ayarları yeni dSHeuristics öznitelik dizenizle birleştirin ve 10., 20. ve 21. karakterlerin yukarıda olduğu gibi ayarlandığını onaylayın. Önceden ayarlanmış olan diğer karakterler değişmeden kalmalıdır.
dSHeuristics karakterlerini yapılandırma hakkında daha fazla bilgi için lütfen aşağıdaki belgelere bakın:
Daha fazla bilgi
Hizmet sorumlusu adı nedir?
Hizmet asıl adı (SPN), bir hizmet örneği için benzersiz bir tanımlayıcıdır. Kerberos kimlik doğrulaması, hizmet örneğini bir hizmet oturum açma hesabıyla ilişkilendirmek için SPN'leri kullanır. Bu, istemci uygulamanın, istemcinin hesap adına sahip olmasa bile hizmetin bir hesabın kimliğini doğrulamasını istemesine olanak tanır. Daha fazla ayrıntı için lütfen Hizmet Asıl Adları bölümüne bakın.
Kullanıcı asıl adı nedir?
Kullanıcı asıl adı (UPN), İnternet standardı RFC 822'yi temel alan bir kullanıcı için e-posta stili bir oturum açma adıdır. Diğer ayrıntılar için bkz. User-Principal-Name özniteliği.
Sık sorulan sorular
S1 Hesap için yinelenen bir KONAK diğer adı SPN'sini kaydetmem gerekirse ne olur?
A1 Gerekli SPN'yi Active Directory Kuruluş Yöneticisi olarak kaydedin.
S2 SPN veya UPN benzersizliğini kapatırsam ne olur?
A2 Bunu önermeyiz. SPN'ler benzersiz değilse, yinelenen SPN'ler hiç kaydedilmemiş gibi olur. Yinelenen bir SPN'nin kaydedilmesi, özgün SPN'nin kaydını silmeyle aynı etkiye sahiptir. UPN'ler benzersiz değilse, yinelenen UPN'leri kullanan kullanıcı aramaları başarısız olur.
S3 SPN diğer ad benzersizliğini kapatırsam ne olur?
A3 Bunu önermeyiz. Yönetici olmayan bir, mevcut diğer ad SPN'sinin çözünürlüğünü geçerli çözünürlüğünden yönetici olmayanın denetimi altındaki bir bilgisayara değiştirebilir. Kerberos'un sağladığı sunucu kimlik doğrulaması yeni hesabı HOST SPN'sine sahip özgün hesap yerine hizmet için doğru ana bilgisayar olarak kabul ettiğinden, bu bilgisayar bu hizmet gibi davranabilir.
S4 Etki alanı yöneticisi ağda zaten var olan yinelenen SPN'leri veya UPN'leri nasıl bulabilir?
A4 Bu, etki alanındaki tüm SPN'leri ve UPN'leri listelemek ve yinelenenleri bulmak için ilişkilendirmek için kapsamlı betik yazmadan pratik değildir.
S5 Güncelleştirilmiş ve güncelleştirilmemiş veya etki alanı denetleyicileri arasında eşleşmeyen ayarlar içeren bir etki alanı denetleyicisi karışımım varsa ne olur?
A5 Yinelenen UPN'ler veya SPN'ler nedeniyle çoğaltma engellenmez. Bu nedenle, yinelenen UPN'ler veya SPN'ler güncelleştirmeyi içermeyen bir etki alanı denetleyicisinde oluşturulduysa, yinelenenler diğer etki alanı denetleyicilerine çoğaltılabilir.
