KB5008102—Active Directory Security Accounts Manager 強化變更 (CVE-2021-42278)

摘要

CVE-2021-42278 解決了安全性忽略弱點，可讓潛在攻擊者使用電腦帳戶 sAMAccountName 詐騙來類比網域控制站。

本文提供 2021 年 11 月 9 日及更新版本為CVE-2021-42278所發佈的 Windows 更新所進行之 Active Directory Security Accounts Manager (SAM) 強化變更的其他詳細資料及常見問題區段。

Active Directory 驗證檢查

安裝 CVE-2021-42278之後，Active Directory 會執行下列由沒有電腦帳戶系統管理員許可權的使用者所建立或修改之電腦帳戶之 sAMAccountName 和 UserAccountControl 屬性上的驗證檢查。 

1. sAMAccountType 驗證使用者和電腦帳戶

   • ObjectClass=電腦 (或電腦帳戶) 帳戶的 UserAccountControl 標UF_WORKSTATION_TRUST_ACCOUNT或UF_SERVER_TRUST_ACCOUNT

   • ObjectClass=User 必須有 UAC 標UF_NORMAL_ACCOUNT或UF_INTERDOMAIN_TRUST_ACCOUNT

2. 電腦帳戶的 sAMAccountName 驗證

   其UserAccountControl屬性包含 UF_WORKSTATION_TRUST_ACCOUNT 標號的電腦帳戶sAMAccountName必須以單一貨幣符號 ($) 。 當未符合這些條件時，Active Directory 會0x523 ERROR_INVALID_ACCOUNTNAME。 失敗的驗證會記錄在 System 事件記錄中的 Directory-Services-SAM 事件 ID 16991 中。

當未符合這些條件時，Active Directory 會ACCESS_DENIED。 失敗的驗證會記錄在 System 事件記錄中的 Directory-Services-SAM 事件 ID 16990 中。

稽核事件

常見問題集

Q1。 此更新如何影響 Active Directory 中現有的物件？

A1。 對於現有的物件，當沒有系統管理員許可權的使用者修改 sAMAccountName 或 UserAccountControl 屬性時，即會發生驗證。

Q2。 什麼是 sAMAccountName？

A2。 sAMAccountName 是 Active Directory 中所有安全性主體的唯一屬性，包括使用者、群組和電腦。 sAMAccountName的名稱限制性記錄于3.1.1.6 原始更新的屬性限制條件中。

Q3。 什麼是 sAMAccountType？

A3。 如需詳細資訊，請閱讀下列檔：

• 3.1.1.8.1 objectClass

• SAM-Account-Type 屬性

有三種可能的 sAMAccountType 值對應至四個可能的 UserAccountcontrol 標標，如下所示：

Q4。 UserAccountControl 的可能值是什麼？

A4。 如需詳細資訊，請閱讀下列檔：

• 使用 UserAccountControl 標標操作使用者帳戶屬性

• 2.2.16 userAccountControl Bits

• Win32_UserAccount課程

• ADS_USER_FLAG_ENUM列舉 (iads.h)

Q5。 如何尋找環境中已存在的不相容物件？

A5。 系統管理員可以使用類似下列範例的 PowerShell 腳本，搜尋其目錄中現有的不相容帳戶。

若要尋找不符合 sAMAccountName的電腦帳戶：

若要尋找不符合 UserAccountControl sAMAccountType 的電腦帳戶：

資源

• 如何使用 UserAccountControl 標標操作使用者帳戶屬性

• MS15-096：Active Directory 服務中的漏洞可能會允許拒絕服務：2015 年 9 月 8 日