KB5008382—驗證使用者主體名稱、服務主體名稱及服務主體名稱別名的唯一性 (CVE-2021-42282)

使用者主體名稱與服務主體名稱唯一性

此功能確保 SPN 在森林中是唯一的，防止電腦與網域控制器新增重複的 SPN。 此功能已存在於 Windows 8.1 及以上版本，並以 SPN 與 UPN 的獨特性描述。

SPN 別名唯一性

現有的 AD 屬性為許多常見服務類別定義了與 CIFS、HTTP 和 RPC 等服務等同 HOST SPN 的別名。 AD 屬性定義為 Active Directory 森林的組建命名上下文中的清單。 沒有管理員權限的使用者，可能無法透過此別名重新指派隱含分配給其他帳號的 SPN。

附註： 此驗證是與 UPN 及 SPN 唯一性驗證的額外驗證。

SPN 別名的唯一性驗證預設是開啟的。 你可以透過修改 dSHeuristics 屬性的^第 21 個字元來關閉這些驗證，該字元會被解讀為一系列字元。 dSHeuristics 屬性預設不存在，但你可以以「CN=Directory Service，CN=Windows NT，CN=Services，CN=Configuration，DC=support，DC=本地」來新增。 可能的設定及其對應的位元值如下：

• 值 0 – 表示強制所有 (無位元設定為 000) 預設

• 值 1 – 表示 停用 UPN 唯一性驗證 (位元0 設定 - 001)

• 值 2 – 表示 停用 SPN 唯一性驗證 (位元 1 集合 - 010)

• 值 3 – 意指停用 UPN 唯一性與 SPN 唯一性驗證。 (位元0與1集合 - 011)

• 值 4 – 表示 停用 SPN 別名唯一性驗證 (位元 2 設定 - 100)

• 值 5 – 表示停用 SPN 別名與 UPN 唯一性驗證 (位元 2 與位元 0 設定 - 101)

• 值 6 - 表示 disable SPN 別名及 SPN 唯一性 (位元 2 與位元 1 設定 - 110)

• 值7 – 表示停用所有 (所有位元設定為 111)

範例：如果你的森林中沒有啟用其他 dSHeuristics 設定，且只想關閉 SPN 別名唯一性驗證， dSHeuristics 屬性應該設為：「000000000100000000024」

設定在此案例中的角色有：
第 10^個角色 ：若 dSHeuristics 屬性至少為 10 字元
，必須設為 1 第 20^個角色 ：若 dSHeuristics 屬性至少有 20 字元
，必須設為 2 第 21^個字 元：必須設定為上述列表中的某個值;值 4 表示停用 SPN 別名唯一性。

附註： 如果 dSHeuristics 屬性已經設定好，請確保將現有設定合併到新的 dSHeuristics 屬性字串中，並確認第 10、20 和第 21 個字元的設定如上所述。 其他已設定的角色應該保持不變。

如需更多關於配置 dSHeuristics 字元的資訊，請參閱以下文件：

• dSHeuristics 屬性規範

• dSHeuristics 屬性摘要與作業系統 Version-Specific 細節

詳細資訊

什麼是服務負責人名稱？

SPN) (服務主體名稱是服務實例的唯一識別碼。 Kerberos 認證使用 SPN 將服務實例與服務登入帳號關聯起來。 這讓客戶端應用程式即使客戶端沒有帳號名稱，也能請求服務認證帳號。 詳情請參閱 服務負責人姓名 。

什麼是使用者主體名稱？

UPN) (使用者主名稱是一種基於網際網路標準 RFC 822 的電子郵件式登入名稱。 更多細節請參閱 User-Principal-Name 屬性。