摘要

針對 CVE-2021-42282 於 2021 年 11 月 9 日發行的 Windows 更新,為 Active Directory (AD) 中的屬性新增下列驗證:

  • 使用者主體名稱 (UPN) 和服務主體名稱 (SPN) 唯一性 (Windows 8、Windows Server 2012 及較舊版本的新功能)

  • SPN 別名唯一性 (所有 Windows 版本的新功能)

使用者主體名稱與服務主體名稱唯一性

此功能可保證樹系中 SPN 的唯一性,防止電腦和網域控制站新增重複的 SPN。 此功能已經存在於 Windows 8.1 和更新版本,並描述為 SPN 和 UPN 唯一性

SPN 別名唯一性

現有的 AD 屬性可將許多常見服務類別的別名,定義為與 CIFS、HTTP 和 RPC 等服務相同的 HOST SPN。 AD 屬性定義為 Active Directory 樹系設定命名內容的清單。 非系統管理員可能不會使用此別名,重新指派已隱含指派給其他帳戶的 SPN。

注意 除了驗證 UPN 和 SPN 唯一性之外,也會實作此驗證。

預設會啟用 SPN 別名唯一性驗證。 您可以修改解譯為一系列位元的 DS-Heuristics 字元 21,來關閉這些驗證。 根據預設,dSHeuristics 屬性並不存在,但您可以在辨別名稱 “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local” 下,予以新增。 可能的設定和其對應的位元值如下所示:

  • 位元 0:強制執行 UPN 唯一性

  • 位元 1:強制執行 SPN 唯一性

  • 位元 2:強制執行 SPN 別名唯一性

如需有關設定 dSHeuristics 位元的詳細資訊,請參閱下列文件:

其他相關資訊

什麼是服務主體名稱?

服務主體名稱 (SPN) 是服務執行個體的唯一識別碼。 Kerberos 驗證使用 SPN,將服務執行個體與服務登入帳戶建立關聯。 這讓用戶端應用程式可以在用戶端沒有帳戶名稱的情況下,要求該服務驗證帳戶。 如需詳細資訊,請參閱服務主體名稱 (部分機器翻譯)。

什麼是使用者主體名稱?

根據網際網路標準 RFC 822,使用者主體名稱 (UPN) 是電子郵件樣式的使用者登入名稱。 如需詳細資訊,請參閱 User-Principal-Name 屬性 (部分機器翻譯)。

常見問題集

問 1: 如果我必須為帳戶註冊重複的 HOST 別名 SPN,該怎麼處理?

答 1: 將所需的 SPN 註冊為系統管理員。

問 2:如果我將 SPN 或 UPN 唯一性關閉,會發生什麼情況?

答 2: 不建議您這麼做。 如果 SPN 並不是唯一的,就像是完全未註冊任何重複的 SPN 。 註冊重複的 SPN,效果等同於將原始 SPN 取消註冊。 如果 UPN 並不是唯一的,使用者若使用重複的 UPN 查閱,就會失敗。

問 3:如果我將 SPN 別名唯一性關閉,會發生什麼情況?

答 3: 不建議您這麼做。 非系統管理員可能會將現有別名 SPN 的解析,從目前的解析變更為在非系統管理員控制下的電腦。 此電腦可能會作為該服務,因為 Kerberos 提供的伺服器驗證接受將新帳戶作為該服務的正確主機,而不是使用 HOST SPN 的原始帳戶。

問 4:網域系統管理員要如何找出網路上已存在的重複 SPN 或 UPN?

答 4: 這一定要撰寫大量的指令碼,列舉網域中的所有 SPN 和 UPN 並予以相互關聯,才能找出重複項目。

問 5:如果我混合使用已更新和未更新的網域控制站,或彼此設定不相符的網域控制站,會發生什麼情況?

答 5: 複寫不會因為 UPN 或 SPN 重複,而遭到封鎖。 因此,如果在沒有更新的網域控制站上,建立重複的 UPN 或 SPN,還是可以將重複項目複寫至其他網域控制站。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×