|
Змінити дату |
Змінити опис |
|
3 лютого 2026 р. |
|
Зведення
Оновлення Windows для CVE-2021-42282 , випущені 9 листопада 2021 року, додають наведені нижче перевірки для атрибутів в Active Directory (AD):
-
Ім'я учасника-користувача (UPN) і унікальність імені учасника-служби (SPN) (нові для Windows 8, Windows Server 2012 року та попередні випуски)
-
Унікальність псевдоніма SPN (новіших для всіх версій Windows)
Унікальність імені учасника-користувача та основного імені служби
Ця функція гарантує, що SPN унікальні в лісі, що перешкоджає комп'ютерам і контролерам домену додавати повторювані SPN. Ця функція вже існує в Windows 8.1 і вище, і описана в параметрах унікальності SPN і UPN.
Унікальність псевдоніма SPN
Наявний атрибут AD визначає псевдоніми для багатьох поширених класів служби еквівалентному HOST SPN для таких служб, як CIFS, HTTP і RPC. Атрибут AD визначається як список у контексті іменування конфігурації лісу Active Directory. Користувач, який не має прав адміністратора, може не перепризначити spn, який неявно призначається іншому обліковому запису за допомогою цього псевдоніма.
Нотатка Ця перевірка виконується на додачу до перевірки унікальності UPN і SPN.
Перевірку унікальності псевдонімів SPN увімкнуто за замовчуванням. Ці перевірки можна вимкнути, змінивши21-й символ атрибута dSHeuristics , який інтерпретується як ряд символів. За замовчуванням атрибут dSHeuristics не існує, але його можна додати під відмітним іменем "CN=Служба каталогів,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Нижче наведено можливі параметри та відповідні значення розрядів.
-
Значення 0 – означає Застосувати все (для бітів не встановлено значення 000) за замовчуванням
-
Значення 1 – означає вимкнення перевірки унікальності UPN (біт 0 набір – 001)
-
Значення 2 – означає вимкнення перевірки унікальності SPN (1-розрядна версія – 010)
-
Значення 3 – означає вимкнення перевірки унікальності UPN і spn Uniqueness. (біт 0 і 1 набір - 011)
-
Значення 4 – означає вимкнення перевірки унікальності псевдоніма SPN (2-розрядна версія – 100)
-
Значення 5 – означає Вимкнення перевірки унікальності псевдоніма SPN і UPN (для розрядності 2 та 0 встановлено – 101)
-
Значення 6 – означає вимкнення функції "Псевдонім SPN" і "Унікальність SPN" (біт 2 та 1 набір – 110)
-
Значення 7 – означає Вимкнути все (для всіх бітів установлено 111)
Приклад: Якщо в лісі не активовано інші параметри dSHeuristics і потрібно вимкнути лише перевірку унікальності псевдоніма SPN, атрибут dSHeuristics слід установити так: "000000000100000000024" У цьому випадку можна встановити такі символи:10-й символ: має бути встановлено значення 1, якщо атрибут dSHeuristics має містити не менше 10 символів20-й символ: має бути встановлено значення 2, якщо атрибут dSHeuristics містить принаймні 20 символів 21st char: Must be set to a value in the list above; значення 4 означає Вимкнути унікальність псевдоніма SPN.
Нотатка Якщо атрибут dSHeuristics уже встановлено, обов'язково об'єднайте наявні параметри з новим рядком атрибута dSHeuristics і переконайтеся, що 10-й, 20-й і 21-й символи встановлено вище. Інші вже встановлені символи мають залишитися без змін.
Докладні відомості про настроювання символів dSHeuristics див. в таких документах:
Додаткові відомості
Що таке ім'я учасника служби?
Ім'я учасника-служби (SPN) – це унікальний ідентифікатор екземпляра служби. Автентифікація Kerberos використовує SPN для зв'язування екземпляра служби з обліковим записом для входу в службу. Це дає змогу клієнтській програмі запитувати, щоб служба автентифікує обліковий запис, навіть якщо клієнт не має імені облікового запису. Докладні відомості див. в статті Імена учасників служби .
Що таке ім'я учасника-користувача?
Ім'я учасника-користувача (UPN) – це ім'я входу в стилі електронної пошти для користувача на основі інтернет-стандарту RFC 822. Докладні відомості див. в статті Атрибут учасника-користувача.
Запитання й відповіді
Запитання 1 . Що робити, якщо потрібно зареєструвати для облікового запису повторюваний псевдонім HOST ALIAs SPN?
A1 (A1) Зареєструйте потрібне ім'я SPN як адміністратора підприємства Active Directory.
2. Що станеться, якщо вимкнути унікальність SPN або UPN?
A2 (A2) Ми не радимо цього робити. Якщо ІМЕНА SPN не унікальні, це не схоже на те, що будь-які імена SPN, які є повторюваними, взагалі не зареєстровані. Реєстрація повторюваного SPN має такий самий ефект, як і скасування реєстрації вихідного об'єкту. Якщо імена UPN не унікальні, підстановки користувачів, які використовують повторювані імена UPN, завершаться помилкою.
3. Що станеться, якщо вимкнути унікальність псевдоніма SPN?
A3 (A3) Ми не радимо цього робити. Адміністратор може змінити роздільну здатність наявного псевдоніма SPN з поточної роздільної здатності на комп'ютер під елементом керування без прав адміністратора. Цей комп'ютер може виконувати роль цієї служби, оскільки серверна автентифікація, яку надає Kerberos, прийме новий обліковий запис як правильний хост для служби, а не вихідний обліковий запис із host SPN.
Запитання 4. Як адміністратор домену може знайти повторювані SPN або UPN, які вже присутні в мережі?
A4 (A4) Це не практично, не пишучи великі сценарії, щоб перелічити всі SPN і UPN з домену та зв'яритися з пошуком повторень.
Запитання 5. Що відбувається, якщо в мене є суміш контролерів домену, які оновлюються та не оновлюються або невідповідні настройки між контролерами домену?
A5 (A5) Реплікацію не буде заблоковано через дублювання імен UPN або SPN. Таким чином, повторювані може реплікувати на інші контролери домену, якщо повторювані UPN або SPN створюються на контролері домену, який не має оновлення.
