Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

Зведення

Захист для CVE-2022-21920 включено до пакета оновлень від 11 січня 2022 Windows і пізніших Windows оновлень. Ці оновлення містять покращену логіку для виявлення пониження атак за іменами учасників служби за допомогою протоколу автентифікації Microsoft Negotiate.

У цій статті наведено відомості про те, як не вдалось пройти автентифікацію Kerberos.

Додаткові відомості

Інсталяція оновлень від 11 січня 2022 року Windows автентифікація за Windows може призвести до помилки автентифікації для пакетів SPN 3 частин, через які не вдалось пройти автентифікацію Kerberos. У таких середовищах автентифікація Kerberos для 3-частинних SPN не працює протягом певного часу. На сторінці "Клієнтські системи" в Windows Client systems може з'явитися наведена нижче подія.

Подія 40970 LSA Знімок екрана: визначення рельєфу NTLM для певної служби SPN у середовищі тестування Microsoft.

Подія LSA, версія тексту, 40970

Подія 40970

Система безпеки виявила пониження операційної системи під час звернення до spN із 3 частинами

<ім'я SPN>

з кодом помилки "The SAM database on the Windows Server does not have a computer account for the workstation trust relationship (0x0000018b)" Authentication was denied.

Дія

Корпорація Майкрософт рекомендує відрізнити автентифікацію Kerberos для невдалої спроби автентифікації Kerberos. Нижче наведено деякі поширені причини помилки автентифікації Kerberos. 

  • Ім'я SPN, що використовується як цільовий об'єкт для автентифікації, неправильно формується. Докладні відомості див. в додачу до форматів імен унікальних SPN.

    Примітка.: Програми та API можуть мати строгі або різні визначення, що складає законне ім'я SPN для служби.

    Приклади справжня ім'я SPN

    http/webserver 

    Host/machine2.contoso.com 

    Ldap/machine1.contoso.com/contoso.com 

    Service/machine1:10100 


    Приклади неправильноформатних SPN

    SPN 

    Причина 

    Host/host/machine1 

    Хост або хост – це найімолодша помилка, оскільки "хост" – це зазвичай клас обслуговування, а не ім'я комп'ютера. Можливо, справжнім ім'ям SPN є хост/комп'ютер1. 

    Ldap/machine/contoso.com:10100 

    Порти можна вказати на імені хоста ("комп'ютер"), а не в імені екземпляра служби. Імовірно, справжній ім'я SPN – це "ldap/machine:10100/contoso.com". 

    Ldap/dc-a/DC=CONTOSO,DC=COM 

    Певні API очікують на ім'я DNS, а не ім'я FQDN. Наприклад, функція DsBindA (ntdsapi.h) очікується в імені DNS. Якщо ім'я FQDN передається, це може призвести до неправильно збарвленої spN.  
    Законна ім'я spN – "ldap/dc-a/contoso.com"

    Щоб вирішити ці проблеми, скористайтесь правильним ім'ям SPN або зареєструйте неправильну ім'я spN у правильному обліковому записі служби.

  • Ім'я spN, що використовується як цільовий об'єкт для автентифікації, не існує. Щоб вирішити цю проблему, зареєструйте ім'я SPN у правильному обліковому записі служби.

  • На Windows комп'ютера клієнта немає режиму Line of Sight на контролері домену (наприклад, список DCs в автономному режимі, неможливо знайти в службі DNS або заблоковано доступ до порту KDC).

  • Можливо, ви використовуєте імена NetBIOS у сценарії, коли імена NetBIOS не працюють. Приклад доступу до ресурсів домену з комп'ютера, який не приєднано до домену, і роздільна здатність імен NetBIOS вимкнуто або не працює.

    Корпорація Майкрософт рекомендує використовувати ім'я учасника-користувача (UPN) або доменну систему іменування (DNS) замість імені NetBIOS.

Реєстрація SPN 

Залежно від конфігурації програми та середовища SPN може бути настроєно в атрибуті Service Principal Name облікового запису служби або облікового запису комп'ютера, розташованого в домені Active Directory, з якого клієнт Kerberos намагається встановити підключення Kerberos. Щоб автентифікація Kerberos працювала належним чином, цільове ім'я SPN має бути дійсне.

Щоб отримати рекомендації з активації автентифікації Kerberos, див. документацію розгортання або постачальника підтримки для кожної конкретної програми. Деякі інсталятори програм або програми автоматично реєструються з ПАКЕТом оновлень 3 (SPN). Для розробників і адміністраторів є різні варіанти реєстрації spN.

  • Відомості про реєстрацію SPN для екземпляра служби вручну див. в цьому реєстрі.

  • Відомості про те, як програмно зареєструвати SPN для екземпляра служби, див. в статті Як служба реєструє її spN, що описує, як це зробити:

Відомі проблеми

Наразі проблеми з цим оновленням відсутні.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Виявити Спільнота

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Запитайте спільноту Microsoft

Спільнота Microsoft Tech

Оцінювачі Windows

Оцінювачі Microsoft 365

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×