Загальні відомості
Windows оновлення для CVE-2021-42282, випущене 9 листопада 2021 р., додайте такі перевірки для атрибутів в Active Directory (AD):
-
Ім'я учасника-користувача (UPN) і унікальність імені учасника служби (від імені учасника служби (до Windows 8, Windows Server 2012 і попередніх випусків)
-
Унікальність псевдоніма SPN (новачок у Windows версій)
Ім'я учасника-користувача та унікальність імені учасника служби
Ця функція гарантує, що SPN унікальні в лісі, що перешкоджає комп'ютерам і контролерам домену додавати повторювані імена SPN. Ця функція вже існує в Windows 8.1 і вище та описується в spN і UPN.
Унікальність псевдоніма SPN
Наявний атрибут AD визначає псевдоніми для багатьох поширених класів служби для еквівалентної мережі HOST SPN для таких служб, як CIFS, HTTP та RPC. Атрибут AD визначається як список у контексті іменування конфігурації лісу Active Directory. Користувач, який не має прав адміністратора, може не перепризначати ім'я spN, яке явно призначено іншому обліковому запису за допомогою цього псевдоніма.
Примітка. Така перевірка впроваджується на доданість до перевірки upN і унікальності SPN.
Перевірки унікальності псевдонімів SPN увімкнуто за замовчуванням. Ці перевірки можна вимкнути, змінивши 21-й символ атрибута dSHeuristics , який інтерпретується як послідовність символів. За замовчуванням атрибут dSHeuristics не існує, але його можна додати під назвою "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Нижче наведено можливі параметри та відповідні значення розрядів.
-
Значення 0 – означає "Примусити все "(не встановлювати 000) за замовчуванням"
-
Значення 1 – означає вимкнення перевірки унікальності UPN (біт 0 – 001)
-
Значення 2 – означає вимкнення перевірки унікальності SPN (біт 1 – 010)
-
Значення 3 – означає вимкнення перевірки унікальності UPN І SPN. (розрядна версія 0 і 1 – 011)
-
Значення 4– означає вимкнення перевірки унікальності псевдоніма SPN (біт 2 – 100)
-
Значення 5. Означає значення Disable SPN Alias and UPN Uniqueness verification (bit 2 і bit 0 set - 101)
-
Значення 6. означає Disable SPN Alias and SPN Uniqueness (bit 2 і bit 1 set - 110)
-
значення 7 – означає "Disable All" (Вимкнути все) (усі розряди 111)
Приклад: Якщо в лісі не ввімкнуто інші параметри dSHeuristics і потрібно вимкнути перевірку унікальності псевдонімів SPN, атрибут dSHeuristics слід установити значення: "000000000100000000024"
Символи, установлені в цьому випадку:
10-й символ: потрібно встановити значення 1, якщо атрибут dSHeuristics містить принаймні 10 символів
20-й символ. Для атрибута dSHeuristics потрібно встановити значення 2, якщо атрибут dSHeuristics має містити не менше 20 символів.
21-й символ: потрібно встановити значення в списку вище; значення 4 означає "Вимкнути унікальність псевдоніма SPN".
Примітка. Якщо атрибут dSHeuristics уже встановлено, переконайтеся, що наявні параметри об'єднано з новим рядком атрибута dSHeuristics і переконайтеся, що для 10-го, 20-го та 21-го символу вказано вище. Інші набори символів залишатимуться без змін.
Докладні відомості про налаштування символів dSHeuristics див. в таких документах:
Додаткова інформація
Що таке ім'я учасника-служби?
Ім'я учасника-служби (SPN) – це унікальний ідентифікатор екземпляра служби. Автентифікація Kerberos використовує SPN, щоб пов'язати екземпляр служби з обліковим записом для входу в службу. Це дає змогу клієнтській програмі надіслати запит на автентифікацію служби облікового запису, навіть якщо в клієнта немає імені облікового запису. Докладні відомості див. в списку Імена учасників служби.
Що таке ім'я учасника-користувача?
Ім'я учасника-користувача (UPN) – це ім'я для входу в обліковий запис електронної пошти на основі інтернет-стандарту RFC 822. Докладні відомості див. в атрибуті User-Principal-Name.
Запитання й відповіді
Запитання. Що робити , якщо потрібно зареєструвати повторюване ім'я хоста з SPN для облікового запису?
A1 Зареєструйте необхідну ім'я spN від імені адміністратора.
2. Що станеться, якщо вимкнути унікальність імен spN або UPN?
A2 Ми не радимо цього робити. Якщо імена SPN не унікальні, це означає, що всі SPN, які повторюються, взагалі не зареєстровано. Після реєстрації повторювана ім'я spN має такий самий результат, як і скасування реєстрації вихідного пакета. Якщо імена UPN не унікальні, підстановки користувачів, які використовують повторювані імена UPN, виявляться невдалими.
3. Що станеться, якщо вимкнути унікальність псевдоніма SPN?
A3 Ми не радимо цього робити. Адміністратор може змінити роздільну здатність наявного псевдоніма spN із його поточної роздільної здатності на комп'ютер під елементом керування, відмінним від адміністратора. Цей комп'ютер може слугувати ними, оскільки серверна автентифікація, яку надає Kerberos, прийме новий обліковий запис як правильний хост для служби, а не вихідний обліковий запис з іменем HOST SPN.
Запитання. Як адміністратор домену може знайти повторювані імена SPN або імена UPN, наявні в мережі?
A4 Це не практично, без написання широких сценаріїв для перелічування всіх імен SPN і UPN із домену та співвідношень для пошуку повторюваних записів.
Q5 Що станеться, якщо в мене є домішка контролерів домену, які оновлюються та не оновлюються або невідповідні параметри між контролерами домену?
A5 Реплікацію не буде заблоковано через повторювані сервери UPN або SPN. Таким чином, повторювані значення можуть реплікуватись на інші контролери домену, якщо на контролері домену створюються повторювані імена UPN або SPN, які не мають оновлення.
