Yhteenveto
Windows 9. marraskuuta 2021 julkaistuihin CVE-2021-42282 -päivityksiin lisätään seuraavat määritteiden määritteiden tarkistamiset Active Directoryssa (AD):
-
Käyttäjänimen (UPN) ja palvelun päänimi (SPN) yksilöllisyyden (uusi Windows 8, Windows Server 2012 ja aiemmat versiot)
-
SPN-tunnusten yksilöllisyyden (uusi kaikille Windows versioille)
Käyttäjänimen ja palvelun päänimien yksilöllisyyden
Tämä ominaisuus takaa, että spn-tunnukset ovat yksilöllisiä toimialuepuussa, mikä estää tietokoneita ja toimialueen ohjauskojia lisäämästä päällekkäisiä SPN-nimiä. Tämä toiminto on jo olemassa Windows 8.1:ssä ja sitä uudempi versioissa, ja se kuvataan spn- ja upn-ominaisuuksissa.
SPN-aliaksen yksilöllisuus
Olemassa oleva AD-määrite määrittää aliakset useille yleisille palveluluokille vastaavalle HOST SPN :lle palveluille, kuten CIFS, HTTP ja RPC. AD-määrite määritetään luettelona Active Directory -puuryhmän kokoonpanon nimeämiskontekstissa. Käyttäjä, jolla ei ole järjestelmänvalvojan oikeuksia, ei välttämättä määritä uudelleen päänimiä, jotka on implisiittisesti määritetty eri tilille tällä aliaksella.
Huomautus Tämä vahvistus on otettu käyttöön upn- ja spn-tunnusten yksilöllisyyden tarkistuksen lisäksi.
SPN-aliaksen yksilöllisyyden vahvistus on oletusarvoisesti käytössä. Voit poistaa nämä todennukset käytöstä muokkaamalla dSHeuristics-määritteen 21. merkkiä, joka tulkitaan merkkisarjaksi. dSHeuristics-määritettä ei ole oletusarvoisesti olemassa, mutta voit lisätä sen erottomalle nimelle "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local". Mahdolliset asetukset ja niitä vastaavat bittiarvot ovat seuraavat:
-
Arvo 0 – tarkoittaa Pakota kaikki (bittiä ei ole määritetty 000) Oletus
-
Arvo 1 – tarkoittaa POISTA UPN-yksilöllisyyden tarkistus käytöstä (bitti 0 asetettu - 001)
-
Arvo 2 – tarkoittaa POISTA SPN:n yksilöllisyyden tarkistus käytöstä (bit 1 -010)
-
Arvo 3 – tarkoittaa POISTA UPN Uniqueness and SPN Uniqueness verification käytöstä. (bittien 0 ja 1 joukko – 011)
-
Arvo 4 – tarkoittaa POISTA SPN-aliaksen yksilöllisyyden tarkistus käytöstä (bitti 2: 100)
-
Arvo 5 – tarkoittaa POISTA SPN-tunnus JA UPN-yksilöllisyyden tarkistus käytöstä (bittien 2 ja bittien 0 joukko – 101)
-
Arvo 6 – tarkoittaa POISTA SPN-tunnus JA SPN-yksilöllisyyden käytöstä (bittien 2 ja bittien 1 joukko - 110)
-
Arvo 7 – tarkoittaa Poista käytöstä kaikki (kaikki bittit on määritetty 111)
Esimerkki: Jos haluat poistaa SPN-aliaksen yksilöllisyyden tarkistuksen käytöstä, dSHeuristics-määritteen arvoksi tulee määrittää "000000000100000000024".
Tässä tapauksessa on määritetty seuraavat merkit: 10. merkki: On määritettävä arvoksi 1, jos dSHeuristics-määrite on vähintään 10 merkkiä 20. merkki: On määritettävä arvoksi 2, jos dSHeuristics-määrite on vähintään 20 merkkiä 21. merkki: On määritettävä arvoksi yllä olevassa luettelossa; arvo 4 tarkoittaa Poista SPN-tunnusten yksilöllisyyden käytöstä.Huomautus Jos dSHeuristics-määrite on jo määritetty, muista yhdistää olemassa olevat asetukset uuteen dSHeuristics-määritemerkkijonoon ja varmistaa, että 10., 20. ja 21. merkki on määritetty edellä. Muiden jo määritettyjen merkkien pitäisi pysyä muuttumattomina.
Lisätietoja dSHeuristics-merkkien määrittämisestä on seuraavissa asiakirjoissa:
Lisätietoja
Mikä on palvelun päänimi?
Palvelun päänimi (SPN) on palveluesiintymän yksilöllinen tunniste. Kerberos-todennus liittää palvelun esiintymän palvelun kirjautumistiliin palvelun nimien avulla. Näin asiakassovellus voi pyytää, että palvelu todentaa tilin, vaikka asiakkaalla ei olisi tilin nimeä. Lisätietoja on kohdassa Palvelun päänimi .
Mikä on käyttäjän päänimi?
Käyttäjän päänimi (UPN) on sähköpostityylinen kirjautumisnimi käyttäjälle, joka perustuu Internetin RFC 822 -standardiin. Lisätietoja on kohdassa User-Principal-Name -määrite.
Usein kysytyt kysymykset
Kysymys1 Entä jos minun on rekisteröitävä päällekkäinen HOST aliaksen SPN tilille?
A1 Rekisteröi vaadittu SPN järjestelmänvalvojaksi.
Kysymys2 Mitä tapahtuu, jos poistan spn- tai UPN-yksilöllisyyden käytöstä?
A2 Emme suosittele tätä. Jos SPN-tunnukset eivät ole yksilöllisiä, kaikki päällekkäisiä spn-nimiä ei ole rekisteröity lainkaan. SpN-kaksoiskappaleen rekisteröiminen vaikuttaa samalla tavalla kuin alkuperäisen nimien rekisteröiminen. Jos UPN-tunnukset eivät ole yksilöllisiä, päällekkäisiä upnteja käyttävät käyttäjähaun epäonnistuvat.
Q3 Mitä tapahtuu, jos poistan SPN-aliaksen yksilöllisyyden käytöstä?
A3 Emme suosittele tätä. Muu kuin järjestelmänvalvoja voi muuttaa olemassa olevan aliaksen SPN:n tarkkuuden nykyisestä ratkaisusta tietokoneeseen, joka ei ole järjestelmänvalvojan hallinnassa. Tämä tietokone saattaa toimia palveluna, koska Kerberosin palvelimen todentaminen hyväksyy uuden tilin palvelun oikeaksi isännäksi alkuperäisen HOST SPN -palvelun sijaan.
Kysymys 4: Miten toimialueen järjestelmänvalvoja voi etsiä verkossa jo olemassa olevan spN-tunnuksen tai up-tunnuksen kaksoiskappaleet?
A4 Tämä ei ole käytännöllistä, jos kirjoitat laajoja komentosarjoja, jotta voit luetteloida kaikki toimialueen SPN-tunnukset ja UPN-tunnukset ja korreloida kaksoiskappaleiden etsimiseen.
Kysymys 5 Mitä tapahtuu, jos minulla on seos toimialueen ohjauskojuja, jotka on päivitetty ja joita ei ole päivitetty tai jotka eivät ole toimialueohjainten välillä ristiriitaa?
A5 Replikointia ei estetä päällekkästen UPN-arvojen tai SPN-nimien vuoksi. Tästä syystä kaksoiskappaleet voivat replikoida toisille toimialueen ohjauskoneille, jos upn-tunnukset tai päänimien kaksoiskappaleet luodaan toimialueen ohjauskoneeseen, jossa ei ole päivitystä.