Tóm tắt
CVE-2021-42278 giải quyết lỗ hổng bảo mật bỏ qua cho phép những kẻ tấn công tiềm năng mạo danh bộ kiểm soát miền bằng cách dùng tài khoản máy tính sAMAccountName spoofing.
Bài viết này cung cấp các chi tiết bổ sung và mục câu hỏi thường gặp về việc trình quản lý Tài khoản Bảo mật Active Directory (SAM) làm cứng các thay đổi được thực hiện bởi các bản cập nhật Windows được phát hành vào ngày 9 tháng 11 năm 2021 và các tùy chọn sau đó như được ghi lại trong CVE-2021-42278.
Kiểm tra xác thực Active Directory
Sau khi cài đặt CVE-2021-42278,Active Directory sẽ thực hiện kiểm tra xác thực được liệt kê bên dưới trên các thuộc tính sAMAccountName và UserAccountControl của tài khoản máy tính được tạo hoặc sửa đổi bởi người dùng không có quyền quản trị đối với tài khoản máy.
-
xác thực sAMAccountType cho tài khoản người dùng và máy tính
-
Tài khoản ObjectClass=Computer (hoặc lớp con của máy tính) phải có cờ UserAccountControl UF_WORKSTATION_TRUST_ACCOUNT hoặc UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=User phải có cờ UAC UF_NORMAL_ACCOUNT hoặc UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
xác thực sAMAccountName cho tài khoản máy tính
SAMAccountName của một tài khoản máy tính có thuộc tính UserAccountControl chứa cờ UF_WORKSTATION_TRUST_ACCOUNT phải kết thúc bằng một ký hiệu đô la duy nhất ($). Khi những điều kiện này không được đáp ứng, Active Directory trả về mã lỗi 0x523 ERROR_INVALID_ACCOUNTNAME. Xác thực không thành công được ghi nhật ký trong ID sự kiện Directory-Services-SAM 16991 trong nhật ký sự kiện Hệ thống.
Khi những điều kiện này không được đáp ứng, Active Directory trả về mã lỗi của ACCESS_DENIED. Xác thực không thành công được ghi nhật ký trong ID sự kiện Directory-Services-SAM 16990 trong nhật ký sự kiện Hệ thống.
Sự kiện kiểm tra
Không xác thực được đối tượng class và UserAccountControl
Khi xác thực UserAccountControl và lớp đối tượng không thành công, sự kiện sau sẽ được ghi nhật ký trong nhật ký Hệ thống:
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Lỗi |
|
Nguồn Sự kiện |
Directory-Services-SAM |
|
ID Sự kiện |
16990 |
|
Văn bản Sự kiện |
Trình quản lý tài khoản bảo mật đã chặn không cho người quản trị tạo tài khoản Active Directory trong miền này với cờ loại tài khoản userAccountControl và ObjectClass không khớp được. Chi tiết: Tên tài khoản: %1%n Đối tượng tài khoảnClass: %2%n userAccountControl: %3%n Địa chỉ người gọi: %4%n Caller SID: %5%n%n |
Lỗi xác thực Tên Tài khoản SAM
Khi xác thực Tên Tài khoản SAM không thành công, sự kiện sau đây sẽ được ghi nhật ký trong nhật ký Hệ thống:
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Lỗi |
|
Nguồn Sự kiện |
Directory-Services-SAM |
|
ID Sự kiện |
16991 |
|
Văn bản Sự kiện |
Trình quản lý tài khoản bảo mật đã chặn người không phải là người quản trị tạo hoặc đổi tên tài khoản máy tính bằng cách sử dụng sAMAccountName không hợp lệ. sAMAccountName trên tài khoản máy tính phải kết thúc bằng một dấu $ở sau. Đã thử sAMAccountName: %1 SAMAccountName được đề xuất: %1$ |
Các sự kiện kiểm tra tạo tài khoản máy tính thành công
The following existing auditing events are available for successful computer account creation:
-
4741(S): Tài khoản máy tính đã được tạo
-
4742(S): Tài khoản máy tính đã được thay đổi
-
4743(S): Tài khoản máy tính đã bị xóa
Để biết thêm thông tin, hãy xem phần Quản lý Tài khoản Máy tính Kiểm tra.
Câu hỏi thường gặp
Q1. Cập nhật này ảnh hưởng đến các đối tượng hiện có trong Active Directory như thế nào?
A1. Đối với các đối tượng hiện có, việc xác thực xảy ra khi người dùng không có quyền người quản trị sửa đổi các thuộc tính sAMAccountName hoặc UserAccountControl.
Q2. SAMAccountName là gì?
A2. sAMAccountName là một thuộc tính duy nhất trên tất cả các tên riêng bảo mật trong Active Directory và bao gồm người dùng, nhóm và máy tính. Các ràng buộc tên cho sAMAccountName được ghi lại trong Ràng buộc Thuộc tính 3.1.1.6cho Cập nhật Tạo ra.
Q3. SAMAccountType là gì?
A3. Để biết thêm thông tin, vui lòng đọc các tài liệu sau:
Có thể có ba giá trị sAMAccountType tương ứng với bốn cờ UserAccountcontrol có thể có như sau:
|
userAccountControl |
sAMAccountType |
|---|---|
|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
|
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
|
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
|
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
Q4. Các giá trị có thể cho UserAccountControl là gì?
A4. Để biết thêm thông tin, vui lòng đọc các tài liệu sau:
Q5. Làm thế nào để tôi có thể tìm thấy các đối tượng không tuân thủ đã tồn tại trong môi trường của mình?
A5. Người quản trị có thể tìm kiếm thư mục của mình cho những tài khoản không tương thích hiện có bằng cách sử dụng tập lệnh PowerShell như các ví dụ dưới đây.
Để tìm tài khoản máy tính có sAMAccountNamekhông tuân thủ:
|
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Để tìm các tài khoản máy tính có UserAccountControl sAMAccountType không tuân thủ:
|
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |
