KB5008382 – 驗證使用者主體名稱、服務主體名稱及服務主體名稱別名的唯一性 (CVE-2021-42282)

使用者主體名稱與服務主體名稱唯一性

此功能可保證樹系中 SPN 的唯一性，防止電腦和網域控制站新增重複的 SPN。 此功能已經存在於 Windows 8.1 和更新版本，並描述為 SPN 和 UPN 唯一性。

SPN 別名唯一性

現有的 AD 屬性可將許多常見服務類別的別名，定義為與 CIFS、HTTP 和 RPC 等服務相同的 HOST SPN。 AD 屬性定義為 Active Directory 樹系設定命名內容的清單。 沒有系統管理員許可權的使用者可能不會使用此別名，將隱含指派給其他帳戶的 SPN 重新指派。

注意 除了驗證 UPN 和 SPN 唯一性之外，也會實作此驗證。

預設會啟用 SPN 別名唯一性驗證。 您可以修改dSHeuristics屬性的第 21^個字元來關閉這些驗證，該屬性會解譯為一系列字元。 根據預設，dSHeuristics 屬性並不存在，但您可以在辨別名稱 “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local” 下，予以新增。 可能的設定和其對應的位元值如下所示：

• 值 0 – 表示 [強制執行所有 (沒有位設定為 000) 預設值

• 值 1 – 表示停用 UPN 唯一性驗證 (位 0 集 - 001)

• 值 2 – 表示停用 SPN 唯一性驗證 (位 1 集 - 010)

• 值 3 – 表示停用 UPN 唯一性和 SPN 唯一性驗證。 (位 0 和 1 集 - 011)

• 值 4 – 表示停用 SPN 別名唯一性驗證 (位 2 集 - 100)

• 值 5 – 表示停用 SPN 別名和 UPN 唯一性驗證 (位 2 和位 0 集 - 101)

• 值 6 - 表示停用 SPN 別名和 SPN 唯一性 (位 2 和位 1 集 - 110)

• 值 7 – 表示停用所有 (設定為 111)

範例：如果您未在森林中啟用其他 dSHeuristics 設定，而且只想要停用 SPN 別名的唯一性驗證，則 dSHeuristics屬性應設為：「000000000100000000024」

在此情況下設定的字元為：
第 10^個char：如果dSHeuristics屬性至少為 10 個字元
，則必須設定為 1 第 20^個char：如果dSHeuristics屬性至少為 20 個字元
，則必須設定為 2 21^st char：必須設定為上述清單中的值;值 4 表示停用 SPN 別名的唯一性。

附註： 如果 dSHeuristics 屬性已設定完成，請務必將現有的設定合併到新的 dSHeuristics 屬性字串，並確認第 10 個、第 20 個及第 21 個字元設定為上述。 其他已設定的字元應該會保持不變。

如需設定 dSHeuristics字元的詳細資訊，請參閱下列檔：

• dSHeuristics 屬性規格

• dSHeuristics 屬性摘要和作業系統板本特定詳細資料

其他相關資訊

什麼是服務主體名稱？

服務主體名稱 (SPN) 是服務執行個體的唯一識別碼。 Kerberos 驗證使用 SPN，將服務執行個體與服務登入帳戶建立關聯。 這讓用戶端應用程式可以在用戶端沒有帳戶名稱的情況下，要求該服務驗證帳戶。 如需詳細資訊，請參閱服務主體名稱 (部分機器翻譯)。

什麼是使用者主體名稱？

根據網際網路標準 RFC 822，使用者主體名稱 (UPN) 是電子郵件樣式的使用者登入名稱。 如需詳細資訊，請參閱 User-Principal-Name 屬性 (部分機器翻譯)。