Съвет: За да видите новото или преработеното съдържание от януари 2024 г., вижте етикетите [януари 2024 г. – начало] и [Край – януари 2024г.] в статията.
Резюме
Актуализациите на Windows, издадени на и след 11 октомври 2022 г., съдържат допълнителни защити, въведени от CVE-2022-38042. Тези защити умишлено не позволяват на операциите за присъединяване към домейн да използват повторно съществуващ акаунт на компютър в целевия домейн, освен ако:
-
Потребителят, опитващ операцията, е създателят на съществуващия акаунт.
Или
-
Компютърът е създаден от член на администраторите на домейна.
Или
-
Собственикът на акаунта на компютъра, който се използва повторно, е член на "Домейнов контролер: Позволяване на повторно използване на акаунт на компютър по време на присъединяване към домейн". групови правила настройката. Тази настройка изисква инсталирането на актуализации на Windows, издадени на или след 14 март 2023 г., на ВСИЧКИ компютри членове и домейнови контролери.
Актуализации, издаден на и след 14 март 2023 г. и 12 септември 2023 г., ще предостави допълнителни опции за засегнатите клиенти на Windows Server 2012 R2 и по-нови версии и за всички поддържани клиенти. За повече информация вижте разделите Поведение на 11 октомври 2022 г. и Предприемане на действие .
Поведение преди 11 октомври 2022 г.
Преди да инсталирате 11 октомври 2022 г. или по-нови кумулативни актуализации, клиентски компютър заявки Active Directory за съществуващ акаунт със същото име. Тази заявка възниква по време на присъединяване към домейн и осигуряване на акаунт на компютър. Ако такъв акаунт съществува, клиентът автоматично ще се опита да го използва повторно.
Забележка Опитът за повторно използване ще е неуспешен, ако потребителят, който опитва операцията за присъединяване към домейна, няма подходящите разрешения за записване. Ако обаче потребителят има достатъчно разрешения, присъединяване към домейн ще успее.
Има два сценария за присъединяване към домейн със съответните поведения и флагове по подразбиране, както следва:
-
Присъединяване към домейн (NetJoinDomain)
-
Настройки по подразбиране за повторно използване на акаунта (освен ако не е зададен флаг за NETSETUP_NO_ACCT_REUSE )
-
-
Осигуряване на акаунт (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
По подразбиране не се използва повторно (освен ако не е зададен NETSETUP_PROVISION_REUSE_ACCOUNT .)
-
Поведение от 11 октомври 2022 г.
След като инсталирате кумулативните актуализации на Windows от 11 октомври 2022 г. или по-късно на клиентски компютър, по време на присъединяване към домейн клиентът ще извърши допълнителни проверки за защита, преди да се опита да използва повторно съществуващ акаунт на компютъра. Алгоритъм:
-
Опитът за повторно използване на акаунта ще бъде разрешен, ако потребителят, който се опитва да извърши операцията, е създателят на съществуващия акаунт.
-
Опитът за повторно използване на акаунта ще бъде разрешен, ако акаунтът е създаден от член на администраторите на домейни.
Тези допълнителни проверки за защита се извършват, преди да се опитате да се присъедините към компютъра. Ако проверките са успешни, останалата част от операцията за присъединяване подлежи на разрешения на Active Directory както преди.
Тази промяна не засяга новите акаунти.
Забележка След инсталирането на кумулативните актуализации на Windows от 11 октомври 2022 г. или по-нова, присъединяване към домейн с повторно използване на акаунт на компютър може нарочно да е неуспешно със следната грешка:
Грешка 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Акаунт със същото име съществува в Active Directory. Повторното използване на акаунта е блокирано от правилата за защита."
Ако е така, акаунтът е преднамерено защитен от новото поведение.
ИД на събитие 4101 ще бъде задействан, след като възникне грешката по-горе и проблемът ще бъде регистриран в c:\windows\debug\netsetup.log. Следвайте стъпките по-долу в Предприемане на действие, за да разберете неуспеха и да отстраните проблема.
Поведение от 14 март 2023 г.
В актуализациите на Windows, издадени на или след 14 март 2023 г., направихме няколко промени в подсилването на защитата. Тези промени включват всички промени, които извършихме през 11 октомври 2022 г.
Първо, разширихме обхвата на групите, които са освободени от това втвърдяване. В допълнение към администраторите на домейни, корпоративните администратори и вградените групи на администраторите сега са освободени от проверката за собственост.
Второ, внедрихме нова настройка за групови правила. Администраторите могат да го използват, за да зададете списък с разрешени акаунти на надеждните собственици на компютърни акаунти. Акаунтът на компютъра ще заобиколи проверката за защита, ако е вярно едно от следните неща:
-
Акаунтът е собственост на потребител, зададен като надежден собственик в групови правила "Домейнов контролер: Разрешаване на повторно използване на акаунт на компютър по време на присъединяване към домейн".
-
Акаунтът е собственост на потребител, който е член на група, зададена като надежден собственик в "Домейнов контролер: Позволяване на повторно използване на акаунт на компютър по време на присъединяване към домейн" групови правила.
За да използвате тази нова групови правила, домейн контролерът и компютърът член трябва последователно да имат инсталирана актуализация от 14 март 2023 г. или по-нова. Някои от вас може да имат определени акаунти, които използвате при автоматично създаване на акаунти на компютъра. Ако тези акаунти не могат да бъдат злоупотребявани и имате доверие при създаването на компютърни акаунти, можете да ги освободите. Все още ще бъдете защитени срещу първоначалната уязвимост, смекчена от актуализациите на Windows от 11 октомври 2022 г.
Поведение от 12 септември 2023 г.
В актуализациите на Windows, издадени на или след 12 септември 2023 г., направихме няколко допълнителни промени в подсилването на защитата. Тези промени включват всички промени, които извършихме през 11 октомври 2022 г., и промените от 14 март 2023 г.
Обърнато е внимание на проблем, при който присъединяването към домейн чрез удостоверяване със смарт карта е неуспешно, независимо от настройката на правилата. За да коригираме този проблем, преместихме останалите проверки за защита обратно в домейновия контролер. Затова след актуализацията на защитата от септември 2023 г. клиентските машини правят удостоверени SAMRPC повиквания към домейновия контролер за извършване на проверки за проверка на защитата, свързани с повторно използване на акаунти на компютъра.
Това обаче може да доведе до неуспешно присъединяване към домейн в среди, в които са зададени следните правила: Мрежов достъп: Ограничаване на клиентите, на които е разрешено да правят отдалечени повиквания към SAM. Вижте раздела "Известни проблеми" за информация как да отстраните този проблем.
Също така планираме да премахнем първоначалната настройка на системния регистър NetJoinLegacyAccountReuse в бъдеща актуализация на Windows. [Януари 2024 г. - Начало]Това премахване е планирано под въпрос за актуализацията от 13 август 2024 г. Датите на издаване подлежат на промяна. [Край – януари 2024 г.]
Забележка Ако сте разположили ключа NetJoinLegacyAccountReuse на вашите клиенти и сте го настроили на стойност 1, сега трябва да премахнете този ключ (или да го настроите на 0), за да се възползвате от най-новите промени.
Предприемане на действие
Конфигурирайте новите правила за списъци с разрешени чрез групови правила на домейнов контролер и премахнете всички наследени заобиколни решения от страна на клиента. След това направете следното:
-
Трябва да инсталирате актуализациите от 12 септември 2023 г. или по-нови на всички компютри членове и домейнови контролери.
-
В нови или съществуващи групови правила, които се отнасят за всички домейнови контролери, конфигурирайте настройките в стъпките по-долу.
-
Под Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options щракнете двукратно върху Домейнов контролер: Разрешаване на повторно използване на акаунт на компютър по време на присъединяване към домейн.
-
Изберете Дефиниране на тази настройка на правила и <Редактиране на защита...>.
-
Използвайте избирача на обекти, за да добавите потребители или групи от надеждни създатели и собственици на акаунти за компютър към разрешаването на разрешение. (Като най-добра практика силно ви препоръчваме да използвате групи за разрешения.) Не добавяйте потребителския акаунт, който изпълнява присъединяване към домейн.
Предупреждение: Ограничете членството до правилата до надеждни потребители и акаунти на услуги. Не добавяйте удостоверени потребители, всички или други големи групи към това правило. Вместо това добавете конкретни надеждни потребители и акаунти на услуги към групите и добавете тези групи към правилата.
-
Изчакайте интервала на обновяване на групови правила или изпълнете gpupdate /force на всички домейнови контролери.
-
Уверете се, че ключът от системния регистър HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" е попълнен с желания SDDL. Не редактирайте ръчно системния регистър.
-
Опит за присъединяване към компютър с инсталирани актуализации от 12 септември 2023 г. или по-нови. Уверете се, че един от акаунтите, изброени в правилата, притежава акаунта на компютъра. Също така се уверете, че системният му регистър няма разрешен ключ NetJoinLegacyAccountReuse (зададен на 1). Ако присъединяване към домейн е неуспешно, проверете c:\windows\debug\netsetup.log.
Ако все още имате нужда от алтернативно заобиколно решение, прегледайте работните потоци за осигуряване на акаунт на компютъра и разберете дали са необходими промени.
-
Изпълнете операцията за присъединяване, като използвате същия акаунт, който е създал акаунта на компютъра в целевия домейн.
-
Ако съществуващият акаунт е остарял (неизползван), изтрийте го, преди да се опитате отново да се присъедините към домейна.
-
Преименувайте компютъра и се присъединете с друг акаунт, който все още не съществува.
-
Ако съществуващият акаунт е собственост на надежден субект на защитата и администратор иска да използва повторно акаунта, следвайте указанията в секцията Предприемане на действие, за да инсталирате актуализациите на Windows от септември 2023 г. или по-нова версия и да конфигурирате списък с разрешени адреси.
Важни указания за използване на ключа на системния регистър NetJoinLegacyAccountReuse
Внимание: Ако изберете да зададете този ключ да заобиколи тези защити, ще оставите вашата среда уязвима на CVE-2022-38042, освен ако вашият сценарий не е посочен по-долу според случая. Не използвайте този метод без потвърждение, че създателят/собственикът на съществуващия обект на компютъра е защитен и надежден субект за защита.
Поради новия групови правила вече не трябва да използвате ключа от системния регистър NetJoinLegacyAccountReuse. [Януари 2024 г. - Начало]Ще запазим ключа за следващите няколко месеца, в случай че имате нужда от заобиколни решения. [Край – януари 2024 г.]Ако не можете да конфигурирате новия GPO във вашия случай, настоятелно ви препоръчваме да се свържете с отдела за поддръжка на Microsoft.
|
Път |
HKLM\System\CurrentControlSet\Control\LSA |
|
Тип |
REG_DWORD |
|
Име |
NetJoinLegacyAccountReuse |
|
Стойност |
1 Другите стойности се игнорират. |
ЗабележкаMicrosoft ще премахне поддръжката за настройката на системния регистър NetJoinLegacyAccountReuse в бъдеща актуализация на Windows. [Януари 2024 г. - Начало]Това премахване е планирано под въпрос за актуализацията от 13 август 2024 г. Датите на издаване подлежат на промяна. [Край – януари 2024 г.]
Нерешавания
-
След като инсталирате 12 септември 2023 г. или по-нови актуализации на DCs и клиенти в средата, не използвайте системния регистър NetJoinLegacyAccountReuse . Вместо това следвайте стъпките в Предприемане на действие за конфигуриране на новия GPO.
-
Не добавяйте акаунти за услуги или не осигурявайте акаунти към групата за защита на администраторите на домейни.
-
Не редактирайте ръчно дескриптора на защитата на акаунтите на компютъра при опит за предефиниране на собствеността на тези акаунти, освен ако предишният акаунт на собственик не е изтрит. Докато редактирането на собственика ще позволи новите проверки да са успешни, акаунтът на компютъра може да запази същите потенциално рискови, нежелани разрешения за първоначалния собственик, освен ако не е изрично прегледан и премахнат.
-
Не добавяйте NetJoinLegacyAccountReuse ключ от системния регистър за базови изображения на ОС, тъй като ключът трябва да бъде добавен само временно и след това да бъде премахнат директно след завършване на съединението на домейна.
Нови регистри на събитията
|
Регистър на събитията |
СИСТЕМА |
|
Източник на събитие |
Netjoin |
|
ИД на събитие |
4100 |
|
Тип събитие |
Информационна |
|
Текст на събитие |
"По време на присъединяване към домейн контролерът на домейна намери съществуващ акаунт на компютър в Active Directory със същото име. Разрешен е опит за повторно използване на този акаунт. Претърсено е домейнов контролер: <име на домейнов контролер>DN на съществуващ компютърен акаунт: <DN път до> на акаунт на компютър. Вижте https://go.microsoft.com/fwlink/?linkid=2202145 за повече информация. |
|
Регистър на събитията |
СИСТЕМА |
|
Източник на събитие |
Netjoin |
|
ИД на събитие |
4101 |
|
Тип събитие |
Грешка |
|
Текст на събитие |
По време на присъединяване към домейн контролерът на домейна намери съществуващ акаунт на компютър в Active Directory със същото име. Опитът за повторно използване на този акаунт е предотвратен от съображения за сигурност. Претърсен е домейнов контролер: Съществуващ акаунт на компютър DN: Кодът на грешката е <код на грешка>. Вижте https://go.microsoft.com/fwlink/?linkid=2202145 за повече информация. |
Регистрирането на грешки е налично по подразбиране (няма нужда да разрешавате многословно регистриране) в C:\Windows\Debug\netsetup.log на всички клиентски компютри.
Пример за регистриране на грешки, генерирано, когато повторното използване на акаунта е възпрепятствано от съображения за сигурност:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Добавени са нови събития през март 2023 г.
Тази актуализация добавя четири (4) нови събития в регистрационния файл на СИСТЕМАТА на домейновия контролер по следния начин:
|
Ниво на събитие |
Информационна |
|
ИД на събитие |
16995 |
|
Влезете |
СИСТЕМА |
|
Източник на събитие |
Справочен указател – SAM |
|
Текст на събитие |
Диспечерът на акаунти за защита използва указания дескриптор на защитата за проверка на опитите за повторно използване на акаунт на компютър по време на присъединяване към домейн. Стойност на SDDL: <> на SDDL низ Този списък с разрешени адреси е конфигуриран чрез групови правила в Active Directory. За повече информация вижте http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Ниво на събитие |
Грешка |
|
ИД на събитие |
16996 |
|
Влезете |
СИСТЕМА |
|
Източник на събитие |
Справочен указател – SAM |
|
Текст на събитие |
Дескрипторът на защитата, който съдържа компютъра акаунт повторно използване позволява списък, който се използва за проверка на клиентски заявки присъединяване към домейн е неправилно. Стойност на SDDL: <> на SDDL низ Този списък с разрешени адреси е конфигуриран чрез групови правила в Active Directory. За да коригира този проблем, администраторът ще трябва да актуализира правилата, за да зададе тази стойност на валиден дескриптор на защитата или да я забрани. За повече информация вижте http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Ниво на събитие |
Грешка |
|
ИД на събитие |
16997 |
|
Влезете |
СИСТЕМА |
|
Източник на събитие |
Справочен указател – SAM |
|
Текст на събитие |
Диспечерът на акаунти за защита откри акаунт на компютър, който изглежда е осиротял и няма съществуващ собственик. Компютърен акаунт: S-1-5-xxx Собственик на акаунт на компютър: S-1-5-xxx За повече информация вижте http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Ниво на събитие |
Предупреждение |
|
ИД на събитие |
16998 |
|
Влезете |
СИСТЕМА |
|
Източник на събитие |
Справочен указател – SAM |
|
Текст на събитие |
Мениджърът на акаунти за защита отхвърли искане на клиент за повторно използване на акаунт на компютър по време на присъединяване към домейн. Акаунтът на компютъра и самоличността на клиента не отговарят на проверките за проверка на защитата. Клиентски акаунт: S-1-5-xxx Компютърен акаунт: S-1-5-xxx Собственик на акаунт на компютър: S-1-5-xxx Проверете данните от записа на това събитие за кода на грешка на NT. За повече информация вижте http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ако е необходимо, netsetup.log може да даде повече информация. Вижте примера по-долу от работещ компютър.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Известни проблеми
|
Брой 1 |
След инсталирането на актуализациите от 12 септември 2023 г. или по-нови, присъединяване към домейн може да е неуспешно в среда, в която са зададени следните правила: Мрежов достъп – ограничаване на потребителите, които имат разрешение да извършват отдалечени повиквания към SAM – Защита в Windows | Microsoft Learn. Това е така, защото клиентските машини сега правят удостоверени SAMRPC повиквания към домейновия контролер, за да изпълняват проверки за проверка на защитата, свързани с повторно използване на акаунти на компютъра. Пример от netsetup.log, където е възникнал този проблем: |
|
Брой 2 |
Ако акаунтът на собственика на компютъра е изтрит и възникне опит за повторно използване на акаунта на компютъра, събитие 16997 ще бъде регистрирано в регистъра на системните събития. Ако това се случи, няма проблем да преназначете собствеността на друг акаунт или група. |
|
Брой 3 |
Ако само клиентът има актуализация от 14 март 2023 г. или по-нова, проверката на правилата на Active Directory ще върне 0x32 STATUS_NOT_SUPPORTED. Предишните проверки, които са изпълнени в горещите корекции от ноември ще се прилагат, както е показано по-долу: |
