Tóm tắt
Windows cập nhật cho CVE-2021-42282 được phát hành vào ngày 9 tháng 11 năm 2021, hãy thêm các xác minh sau cho thuộc tính trong Active Directory (AD):
-
Tên chính của người dùng (UPN) và tên chính của dịch vụ (SPN) (mới với Windows 8, Windows Server 2012 và các bản phát hành trước đó)
-
Tính duy nhất của biệt danh SPN (mới với tất cả các Windows bản mới)
Tên chính của người dùng và sự duy nhất của tên chính trong dịch vụ
Tính năng này đảm bảo rằng CÁC SPN là duy nhất trong rừng, giúp ngăn không cho máy tính và bộ kiểm soát miền thêm các SPN trùng lặp. Chức năng này đã tồn tại trong Windows 8.1 trở lên và được mô tả trong đặc điểm duy nhất của SPN và UPN.
Tính duy nhất của biệt danh SPN
Một thuộc tính AD hiện có sẽ xác định biệt danh cho nhiều lớp dịch vụ phổ biến với HOST SPN tương đương cho các dịch vụ như CIFS, HTTP và RPC. Thuộc tính AD được xác định là một danh sách trong ngữ cảnh đặt tên cấu hình của một rừng Active Directory. Một người dùng không có quyền của người quản trị có thể không gán lại một SPN được gán ngầm cho một tài khoản khác bằng cách sử dụng biệt danh này.
Chú ý Xác minh này được thực hiện bên cạnh việc xác minh tính duy nhất của UPN và SPN.
Xác minh tính duy nhất của biệt danh SPN được bật theo mặc định. Bạn có thể tắt các xác nhận này bằng cách sửa đổi ký tự thứ 21 của thuộc tính dSHeuristics , được hiểu là một chuỗi ký tự. Thuộc tính dSHeuristics không tồn tại theo mặc định, nhưng bạn có thể thêm thuộc tính đó dưới tên đặc trưng "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Các thiết đặt có thể có và giá trị bit tương ứng như sau:
-
Giá trị 0 – có nghĩa là Bắt buộc Tất cả (không đặt bit nào là 000) Mặc định
-
Giá trị 1 – nghĩa là Tắt xác minh Tính duy nhất UPN (đặt bit 0 - 001)
-
Giá trị 2 – nghĩa là Tắt xác minh tính duy nhất của SPN (bộ bit 1 - 010)
-
Giá trị 3 – nghĩa là Tắt Tính duy nhất UPN VÀ Xác minh Tính duy nhất SPN. (bit 0 và 1 set - 011)
-
Giá trị 4 – nghĩa là Tắt Xác minh duy nhất biệt danh SPN (bộ bit 2 - 100)
-
Giá trị 5 – nghĩa là Tắt xác minh Sự duy nhất của SPN VÀ DUY NHẤT UPN (bit 2 và bit 0 được đặt - 101)
-
Giá trị 6 - nghĩa là Tắt Biệt danh SPN VÀ Tính duy nhất SPN (bit 2 và bit 1 set - 110)
-
Giá trị 7 – nghĩa là Vô hiệu hóa Tất cả (tất cả bit đặt 111)
Ví dụ: If you have no other dSHeuristics settings enabled in your forest and you only want to disable SPN alias uniqueness verification, the dSHeuristics attribute should be set to: "000000000100000000024"
Các ký tự được đặt trong trường hợp này là: char thứ 10: Phải được đặt thành 1 nếu thuộc tính dSHeuristics tối thiểu là 10 ký tự char thứ 20: Phải được đặt thành 2 nếu thuộc tính dSHeuristics tối thiểu 20 ký tự Ký tự 21: Phải được đặt thành một giá trị trong danh sách ở trên; giá trị 4 có nghĩa là Tắt Tính duy nhất của Biệt danh SPN.Chú ý Nếu thuộc tính dSHeuristics đã được thiết lập, hãy đảm bảo sáp nhập các thiết đặt hiện có vào chuỗi thuộc tính dSHeuristics mới của bạn và xác nhận rằng ký tự thứ 10, 20 và 21 được đặt như trên. Các ký tự khác đã được đặt sẽ không thay đổi.
Để biết thêm thông tin về việc đặt cấu hình ký tự dSHeuristics, vui lòng tham khảo các tài liệu sau đây:
Thông tin Bổ sung
Tên chính của dịch vụ là gì?
Tên chính của dịch vụ (SPN) là một mã định danh duy nhất cho một phiên bản dịch vụ. Xác thực Kerberos sử dụng SPN để liên kết một phiên bản dịch vụ với tài khoản đăng nhập dịch vụ. Điều này cho phép một ứng dụng khách yêu cầu dịch vụ xác thực tài khoản ngay cả khi máy khách không có tên tài khoản. Vui lòng xem Tên Chính của Dịch vụ để biết thêm chi tiết.
Tên người dùng chính là gì?
Tên chính của người dùng (UPN) là tên đăng nhập kiểu email cho người dùng dựa trên RFC 822 tiêu chuẩn internet. Để biết thêm chi tiết, vui lòng xem thuộc tính Tên Người dùng-Chính.
Câu hỏi thường gặp
Hỏi 1 Điều gì sẽ xảy ra nếu tôi cần đăng ký một SPN biệt danh HOST trùng lặp cho tài khoản?
A1 Đăng ký SPN bắt buộc với tư cách người quản trị.
Q2 Điều gì sẽ xảy ra nếu tôi tắt tính duy nhất của SPN hoặc UPN?
A2 Chúng tôi không đề xuất điều này. Nếu SPN không phải là duy nhất, thì giống như bất kỳ SPN nào được trùng lặp hoàn toàn không được đăng ký. Việc đăng ký SPN trùng lặp có tác dụng tương tự như bỏ đăng ký SPN gốc. Nếu các UPN không phải là duy nhất, tra cứu người dùng sử dụng các UPN trùng lặp sẽ không thành công.
Q3 Điều gì sẽ xảy ra nếu tôi tắt tính duy nhất của biệt danh SPN?
A3 Chúng tôi không đề xuất điều này. Người không phải là người quản trị có thể thay đổi độ phân giải của một SPN biệt danh hiện có từ độ phân giải hiện tại của nó thành một máy tính dưới sự kiểm soát của người không phải là người quản trị. Máy tính đó có thể hoạt động như dịch vụ đó vì xác thực máy chủ mà Kerberos cung cấp sẽ chấp nhận tài khoản mới là máy chủ chính xác cho dịch vụ thay vì tài khoản ban đầu với HOST SPN.
Q4 Làm thế nào người quản trị miền có thể tìm thấy các SPN hoặc UPN trùng lặp đã có trên mạng?
A4 Điều này không thực tế nếu không viết tập lệnh chuyên sâu để liệt nhất tất cả các SPN và UPN từ miền và tương quan để tìm các mục trùng lặp.
Q5 Điều gì sẽ xảy ra nếu tôi kết hợp các bộ điều khiển tên miền được cập nhật và không được cập nhật hoặc không khớp giữa các bộ điều khiển tên miền?
A5 Sao nhân bản sẽ không bị chặn do các UPN hoặc SPN trùng lặp. Do đó, các mục trùng lặp có thể nhân bản tới bộ kiểm soát miền khác nếu các UPN hoặc SPN trùng lặp được tạo ra trên bộ kiểm soát miền không có bản cập nhật.