|
Thay đổi ngày |
Thay đổi mô tả |
|
Ngày 3 tháng 2 năm 2026 |
|
Tóm tắt
Các bản cập nhật Windows cho CVE-2021-42282 được phát hành vào ngày 9 tháng 11 năm 2021 thêm các xác minh sau cho các thuộc tính trong Active Directory (AD):
-
Tên chính của người dùng (UPN) và duy nhất tên chính của dịch vụ (SPN) (mới đối với các bản phát hành Windows 8, Windows Server 2012 và cũ hơn)
-
Tính duy nhất của biệt danh SPN (mới đối với tất cả các phiên bản Windows)
Tên chính của người dùng và tính duy nhất của tên chính dịch vụ
Tính năng này đảm bảo rằng các SPN là duy nhất trong một rừng, ngăn không cho máy tính và bộ kiểm soát miền thêm các SPN trùng lặp. Chức năng này đã tồn tại Windows 8.1 và được mô tả trong spn và UPN duy nhất.
Tính duy nhất của biệt danh SPN
Một thuộc tính AD hiện có xác định biệt danh cho nhiều lớp dịch vụ phổ biến với HOST SPN tương đương cho các dịch vụ như CIFS, HTTP và RPC. Thuộc tính AD được định nghĩa là danh sách trong ngữ cảnh đặt tên cấu hình của rừng Active Directory. Người dùng không có quyền người quản trị có thể không gán lại SPN được gán ngầm cho tài khoản khác bằng cách sử dụng biệt danh này.
Lưu ý Việc xác minh này được thực hiện ngoài việc xác minh tính duy nhất UPN và SPN.
Xác minh tính duy nhất của biệt danh SPN được bật theo mặc định. Bạn có thể tắt các xác minh này bằng cách sửa đổi ký tự 21st của thuộc tính dSHeuristics , được hiểu là một chuỗi ký tự. Thuộc tính dSHeuristics không tồn tại theo mặc định, nhưng bạn có thể thêm thuộc tính đó dưới tên phân biệt "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Các thiết đặt có thể có và giá trị bit tương ứng của chúng như sau:
-
Giá trị 0 – có nghĩa là Thực thi Tất cả (không có bit nào được đặt 000) Mặc định
-
Giá trị 1 – có nghĩa là Tắt xác minh Tính duy nhất UPN (bộ bit 0 - 001)
-
Giá trị 2 – có nghĩa là Tắt xác minh Tính duy nhất SPN (bộ bit 1 - 010)
-
Giá trị 3 – có nghĩa là Tắt xác minh Tính duy nhất UPN và Tính duy nhất SPN. (bit 0 và 1 set - 011)
-
Giá trị 4 – có nghĩa là Tắt xác minh Tính duy nhất của biệt danh SPN (tập hợp bit 2 - 100)
-
Giá trị 5 – có nghĩa là Tắt xác minh Biệt danh SPN VÀ UPN (bit 2 và bit 0 set - 101)
-
Giá trị 6 - có nghĩa là Tắt Biệt danh SPN VÀ Tính duy nhất SPN (bit 2 và bit 1 bộ - 110)
-
Giá trị 7 – có nghĩa là Tắt Tất cả (tất cả các bit được đặt 111)
Ví dụ: Nếu bạn không có cài đặt dSHeuristics khác được bật trong rừng của bạn và bạn chỉ muốn tắt xác minh tính duy nhất biệt của SPN, thuộc tính dSHeuristics nên được đặt thành: "000000000100000000024" Các ký tự được đặt trong trường hợp này là: 10th char: Phải được đặt thành 1 nếu thuộc tính dSHeuristics ít nhất là 10 ký tự 20th char: Phải được đặt thành 2 nếu thuộc tính dSHeuristics ít nhất là 20 ký tự 21st char: Phải được đặt thành một giá trị trong danh sách ở trên; giá trị 4 có nghĩa là Tắt Tính duy nhất Biệt danh SPN.
Lưu ý Nếu thuộc tính dSHeuristics đã được thiết lập, hãy đảm bảo hợp nhất các thiết đặt hiện có vào chuỗi thuộc tính dSHeuristics mới của bạn và xác nhận rằng các ký tự thứ 10, 20 và 21 được đặt như trên. Các ký tự khác đã được đặt sẽ không thay đổi.
Để biết thêm thông tin về cách đặt cấu hình ký tự dSHeuristics, vui lòng tham khảo các tài liệu sau:
Thông tin thêm
Tên chính của dịch vụ là gì?
Tên chính của dịch vụ (SPN) là một mã định danh duy nhất cho một phiên bản dịch vụ. Xác thực Kerberos sử dụng CÁC SPN để liên kết một phiên bản dịch vụ với tài khoản đăng nhập dịch vụ. Điều này cho phép một ứng dụng khách để yêu cầu dịch vụ xác thực một tài khoản ngay cả khi khách hàng không có tên tài khoản. Vui lòng xem Tên Chính của Dịch vụ để biết thêm chi tiết.
Tên chính của người dùng là gì?
Tên chính của người dùng (UPN) là tên đăng nhập kiểu email cho người dùng dựa trên tiêu chuẩn internet RFC 822. Để biết thêm chi tiết, vui lòng xem thuộc tính User-Principal-Name.
Câu hỏi thường gặp
Câu hỏi 1 Điều gì sẽ xảy ra nếu tôi cần đăng ký một biệt danh HOST trùng lặp SPN cho tài khoản?
A1 Đăng ký SPN bắt buộc với tư cách Người quản trị Doanh nghiệp Active Directory.
Câu hỏi 2 Điều gì sẽ xảy ra nếu tôi tắt tính duy nhất SPN hoặc UPN?
A2 Chúng tôi không đề xuất điều này. Nếu SPN không phải là duy nhất thì nó giống như bất kỳ SPN nào bị trùng lặp hoàn toàn không được đăng ký. Việc đăng ký SPN trùng lặp cũng có tác dụng tương tự như chưa đăng ký SPN ban đầu. Nếu các UPN không phải là duy nhất, thì sẽ không thể tra cứu người dùng bằng các UPN trùng lặp.
Câu hỏi 3 Điều gì sẽ xảy ra nếu tôi tắt tính duy nhất của biệt danh SPN?
A3 Chúng tôi không đề xuất điều này. Người không phải là người quản trị có thể thay đổi độ phân giải của một biệt danh SPN hiện có từ độ phân giải hiện tại sang một máy tính nằm dưới sự kiểm soát của người không phải người quản trị. Máy tính đó có thể hoạt động như dịch vụ đó vì xác thực máy chủ mà Kerberos cung cấp sẽ chấp nhận tài khoản mới làm máy chủ chính xác cho dịch vụ thay vì tài khoản gốc với SPN MÁY CHỦ.
Câu hỏi 4 Làm thế nào người quản trị miền có thể tìm thấy các SPN hoặc UPN trùng lặp đã có trên mạng?
A4 Điều này là không thực tế nếu không viết tập lệnh mở rộng để liệt kê tất cả các SPN và UPN từ miền và tương quan để tìm các mục trùng lặp.
Q5 Điều gì sẽ xảy ra nếu tôi có một hỗn hợp của bộ kiểm soát miền được cập nhật và không được cập nhật hoặc không phù hợp các thiết đặt giữa các bộ kiểm soát miền?
A5 Sao nhân bản sẽ không bị chặn do CÁC UPN hoặc SPN trùng lặp. Vì vậy, bản trùng lặp có thể sao chép đến bộ kiểm soát miền khác nếu các UPN trùng lặp hoặc SPN được tạo ra trên bộ điều khiển miền không có bản cập nhật.
