Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Tip: Pokud chcete zobrazit nový nebo revidovaný obsah z ledna 2024, podívejte se v článku na značky [Leden 2024 – Start] a [End - January 2024].

Shrnutí

Aktualizace Windows vydané 11. října 2022 a po nich obsahují další ochranu zavedenou v cve-2022-38042. Tato ochrana záměrně brání operacím připojení k doméně v opakovaném využitím existujícího účtu počítače v cílové doméně, pokud:

  • Uživatel, který se o operaci pokouší, je tvůrcem existujícího účtu.

    NEBO

  • Počítač vytvořil člen skupiny správců domény.

    NEBO

  • Vlastník účtu počítače, který se opakovaně používá, je členem řadiče domény: Povolit opakované použití účtu počítače během připojení k doméně. Zásady skupiny nastavení. Toto nastavení vyžaduje instalaci aktualizací Windows vydaných 14. března 2023 nebo později na VŠECHNY členské počítače a řadiče domény.

Aktualizace vydané 14. března 2023 a 12. září 2023 a po jeho uplynutí, budou poskytovat další možnosti pro ovlivněné zákazníky s Windows Server 2012 R2 a vyšší a pro všechny podporované klienty. Další informace najdete v částech Chování z 11. října 2022 a Akce

Chování před 11. říjnem 2022

Před instalací kumulativních aktualizací z 11. října 2022 nebo novějších se klientský počítač dotáže služby Active Directory na existující účet se stejným názvem. K tomuto dotazu dochází během připojení k doméně a zřizování účtu počítače. Pokud takový účet existuje, klient se ho automaticky pokusí znovu použít.

Poznámka Pokus o opakované použití se nezdaří, pokud uživatel, který se pokusí o operaci připojení k doméně, nemá příslušná oprávnění k zápisu. Pokud má ale uživatel dostatečná oprávnění, připojení k doméně bude úspěšné.

Existují dva scénáře pro připojení k doméně s odpovídajícími výchozími chováními a příznaky, jak je uvedeno níže:

Chování z 11. října 2022 

Po instalaci kumulativních aktualizací systému Windows z 11. října 2022 nebo novějších do klientského počítače provede klient během připojení k doméně další kontroly zabezpečení před pokusem o opakované použití existujícího účtu počítače. Algoritmus:

  1. Pokus o opakované použití účtu bude povolen, pokud je uživatel, který se o operaci pokouší, autorem existujícího účtu.

  2. Pokus o opakované použití účtu bude povolen, pokud byl účet vytvořen členem správce domény.

Tyto další kontroly zabezpečení se provádějí před pokusem o připojení k počítači. Pokud jsou kontroly úspěšné, zbytek operace připojení podléhá oprávněním Active Directory stejně jako předtím.

Tato změna nemá vliv na nové účty.

Poznámka Po instalaci kumulativních aktualizací windows z 11. října 2022 nebo novějších může připojení k doméně s opětovným použitím účtu počítače záměrně selhat s následující chybou:

Chyba 0xaac (2732): NERR_AccountReuseBlockedByPolicy: Ve službě Active Directory existuje účet se stejným názvem. Opakované použití účtu bylo zablokováno zásadami zabezpečení."

Pokud ano, je účet záměrně chráněn novým chováním.

Událost s ID 4101 se aktivuje, jakmile dojde k výše uvedené chybě a problém se zaprotokoluje do souboru c:\windows\debug\netsetup.log. Pokud chcete porozumět selhání a vyřešit problém, postupujte podle níže uvedených kroků v tématu Provedení akce.

Chování z 14. března 2023

V aktualizacích Windows vydaných 14. března 2023 nebo později jsme provedli několik změn v posílení zabezpečení. Tyto změny zahrnují všechny změny, které jsme udělali v 11. říjnu 2022.

Nejprve jsme rozšířili rozsah skupin, které jsou z tohoto posílení zabezpečení vyloučené. Kromě správců domény jsou teď z kontroly vlastnictví vyloučeni i skupiny Enterprise Administrators a Předdefinovaní správci.

Za druhé jsme implementovali nové nastavení Zásady skupiny. Správci ho můžou použít k určení seznamu povolených vlastníků důvěryhodných účtů počítačů. Účet počítače obejde kontrolu zabezpečení, pokud platí některá z následujících podmínek:

  • Vlastníkem účtu je uživatel zadaný jako důvěryhodný vlastník v Zásady skupiny "Řadič domény: Povolit opakované použití účtu počítače během připojení k doméně".

  • Vlastníkem účtu je uživatel, který je členem skupiny zadané jako důvěryhodný vlastník v Zásady skupiny "Řadič domény: Povolit opakované použití účtu počítače během připojení k doméně".

Chcete-li použít tento nový Zásady skupiny, řadič domény a členský počítač musí mít trvale nainstalovanou aktualizaci ze 14. března 2023 nebo novější. Někteří z vás můžou mít konkrétní účty, které používáte při automatickém vytváření účtů počítače. Pokud jsou tyto účty v bezpečí před zneužitím a vy jim důvěřujete při vytváření účtů počítačů, můžete je vyloučit. Budete stále v bezpečí proti původní chybě zabezpečení, kterou zmírní aktualizace Windows z 11. října 2022.

Chování v září 12, 2023

V aktualizacích Windows vydaných 12. září 2023 nebo později jsme provedli několik dalších změn v posílení zabezpečení. Tyto změny zahrnují všechny změny, které jsme udělali v 11. říjnu 2022, a změny ze 14. března 2023.

Vyřešili jsme problém, kdy připojení k doméně pomocí ověřování čipovou kartou selhalo bez ohledu na nastavení zásad. Abychom tento problém vyřešili, přesunuli jsme zbývající kontroly zabezpečení zpět na řadič domény. Proto po aktualizaci zabezpečení ze září 2023 klientské počítače provádějí ověřená volání SAMRPC řadiče domény, aby provedly kontroly ověření zabezpečení související s opětovným používáním účtů počítačů.

To ale může způsobit selhání připojení k doméně v prostředích, kde jsou nastavené následující zásady: Přístup k síti: Omezení klientů, kteří můžou vzdáleně volat sam.  Informace o řešení tohoto problému najdete v části Známé problémy.

V budoucí aktualizaci systému Windows také plánujeme odebrat původní nastavení registru NetJoinLegacyAccountReuse . [Leden 2024 – začátek]Toto odebrání je předběžně naplánováno na aktualizaci datovanou 13. srpna 2024. Data vydání se můžou změnit. [Konec – leden 2024]

Poznámka Pokud jste na klienty nasadili klíč NetJoinLegacyAccountReuse a nastavili jste ho na hodnotu 1, musíte teď tento klíč odebrat (nebo ho nastavit na hodnotu 0), abyste mohli využívat nejnovější změny. 

Provedení akce

Nakonfigurujte nové zásady seznamu povolených pomocí Zásady skupiny na řadiči domény a odeberte všechna starší alternativní řešení na straně klienta. Pak udělejte toto:

  1. Aktualizace z 12. září 2023 nebo novější musíte nainstalovat na všechny členské počítače a řadiče domény. 

  2. V nových nebo existujících zásadách skupiny, které platí pro všechny řadiče domény, nakonfigurujte nastavení v následujících krocích.

  3. V části Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení poklikejte na položku Řadič domény: Povolit opakované použití účtu počítače během připojení k doméně.

  4. Vyberte Definovat nastavení této zásady a <Upravit zabezpečení >.

  5. Pomocí nástroje pro výběr objektů přidejte uživatele nebo skupiny důvěryhodných tvůrců a vlastníků účtů počítačů k oprávnění Povolit . (Jako osvědčený postup důrazně doporučujeme používat pro oprávnění skupiny.) Nepřidávejte uživatelský účet, který provádí připojení k doméně.

    Upozornění: Omezte členství na zásadu na důvěryhodné uživatele a účty služeb. Do této zásady nepřidávejte ověřené uživatele, všechny uživatele ani jiné velké skupiny. Místo toho přidejte do skupin konkrétní důvěryhodné uživatele a účty služeb a přidejte tyto skupiny do zásad.

  6. Počkejte na Zásady skupiny intervalu aktualizace nebo na všech řadičích domény spusťte příkaz gpupdate /force.

  7. Ověřte, že klíč registru HKLM\System\CCS\Control\SAM – ComputerAccountReuseAllowList je naplněn požadovaným SDDL. Neupravujte registr ručně.

  8. Pokuste se připojit k počítači, na který jsou nainstalované aktualizace z 12. září 2023 nebo novější. Ujistěte se, že jeden z účtů uvedených v zásadách vlastní účet počítače. Ujistěte se také, že jeho registr nemá povolený klíč NetJoinLegacyAccountReuse (nastavený na hodnotu 1). Pokud připojení k doméně selže, zkontrolujte c:\windows\debug\netsetup.log.

Pokud stále potřebujete alternativní řešení, projděte si pracovní postupy zřizování účtů počítače a zjistěte, jestli se vyžadují změny. 

  1. Operaci připojení proveďte pomocí stejného účtu, který vytvořil účet počítače v cílové doméně.

  2. Pokud je stávající účet zastaralý (nepoužívá se), odstraňte ho před dalším pokusem o připojení k doméně.

  3. Přejmenujte počítač a připojte se pomocí jiného účtu, který ještě neexistuje.

  4. Pokud stávající účet vlastní důvěryhodný objekt zabezpečení a správce chce účet znovu použít, postupujte podle pokynů v části Provedení akce a nainstalujte aktualizace Systému Windows ze září 2023 nebo novější a nakonfigurujte seznam povolených.

Důležité pokyny k použití klíče registru NetJoinLegacyAccountReuse

Upozornění: Pokud se rozhodnete tento klíč nastavit tak, aby tyto ochrany obešel, ponecháte své prostředí ohrožené chybou CVE-2022-38042, pokud se na váš scénář nebude odkazovat níže podle potřeby. Tuto metodu nepoužívejte bez potvrzení, že tvůrce nebo vlastník existujícího objektu počítače je zabezpečený a důvěryhodný objekt zabezpečení. 

Vzhledem k novému Zásady skupiny byste už neměli používat klíč registru NetJoinLegacyAccountReuse. [Leden 2024 – začátek]Klíč pro případ, že budete potřebovat alternativní řešení, zachováme ho na několik dalších měsíců. [Konec – leden 2024]Pokud ve svém scénáři nemůžete nakonfigurovat nový objekt zásad skupiny, důrazně doporučujeme kontaktovat podpora Microsoftu.

Cestu

HKLM\System\CurrentControlSet\Control\LSA

Typ

REG_DWORD

Název

NetJoinLegacyAccountReuse

Hodnota

1

Ostatní hodnoty jsou ignorovány.

Poznámka Microsoft odebere podporu pro nastavení registru NetJoinLegacyAccountReuse v budoucí aktualizaci systému Windows. [Leden 2024 – začátek]Toto odebrání je předběžně naplánováno na aktualizaci datovanou 13. srpna 2024. Data vydání se můžou změnit. [Konec – leden 2024]

Neřešení

  • Po instalaci aktualizací z 12. září 2023 nebo novějších na řadiče domény a klienty v prostředí nepoužívejte registr NetJoinLegacyAccountReuse . Místo toho postupujte podle kroků v tématu Provedení akce a nakonfigurujte nový objekt zásad skupiny. 

  • Nepřidávejte účty služeb ani účty zřizování do skupiny zabezpečení Domain Admins.

  • Pokud nebyl předchozí účet vlastníka odstraněn, neupravujte popisovač zabezpečení na účtech počítačů ručně při pokusu o redefinování vlastnictví těchto účtů. Úprava vlastníka sice umožní úspěšné nové kontroly, ale účet počítače si může zachovat stejná potenciálně riziková a nežádoucí oprávnění pro původního vlastníka, pokud ho explicitně nekontroluje a neodebere.

  • Nepřidávejte klíč registru NetJoinLegacyAccountReuse do základních imagí operačního systému, protože klíč by měl být přidán pouze dočasně a následně odebrán přímo po dokončení připojení k doméně.

Nové protokoly událostí

Protokol událostí

SYSTÉMU
 

Zdroj události

Netjoin

ID události

4100

Typ události

Informační

Text události

"Během připojení k doméně našel řadič domény existující účet počítače ve službě Active Directory se stejným názvem.

Byl povolen pokus o opakované použití tohoto účtu.

Prohledán řadič domény: <název řadiče domény>název existujícího účtu počítače DN: <cesta DN> účtu počítače. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2202145.

Protokol událostí

SYSTÉMU

Zdroj události

Netjoin

ID události

4101

Typ události

Chyba

Text události

Během připojení k doméně kontaktovaný řadič domény našel existující účet počítače ve službě Active Directory se stejným názvem. Pokus o opětovné použití tohoto účtu byl z bezpečnostních důvodů znemožněný. Prohledáno řadič domény: Název dn existujícího účtu počítače: Kód chyby byl <kód chyby>. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2202145.

Protokolování ladění je ve výchozím nastavení dostupné (není nutné povolit podrobné protokolování) v C:\Windows\Debug\netsetup.log na všech klientských počítačích.

Příklad protokolování ladění vygenerovaného v případě, že se z bezpečnostních důvodů zabrání opakovanému použití účtu:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nové události přidané v březnu 2023 

Tato aktualizace přidá čtyři (4) nové události v protokolu SYSTEM na řadiči domény následujícím způsobem:

Úroveň události

Informační

ID události

16995

Protokolu

SYSTÉMU

Zdroj události

Adresářové služby – SAM

Text události

Správce účtu zabezpečení používá zadaný popisovač zabezpečení k ověření pokusů o opakované použití účtu počítače během připojení k doméně.

Hodnota SDDL: <řetězcová> SDDL

Tento seznam povolených položek se konfiguruje prostřednictvím zásad skupiny ve službě Active Directory.

Další informace najdete v tématu http://go.microsoft.com/fwlink/?LinkId=2202145.

Úroveň události

Chyba

ID události

16996

Protokolu

SYSTÉMU

Zdroj události

Adresářové služby – SAM

Text události

Popisovač zabezpečení obsahující účet počítače znovu použít seznam povolených položek, který se používá k ověření připojení k doméně žádostí klientů, je poškozený.

Hodnota SDDL: <řetězcová> SDDL

Tento seznam povolených položek se konfiguruje prostřednictvím zásad skupiny ve službě Active Directory.

Pokud chcete tento problém vyřešit, správce bude muset aktualizovat zásadu tak, aby tuto hodnotu nastavil na platný popisovač zabezpečení nebo ji zakázal.

Další informace najdete v tématu http://go.microsoft.com/fwlink/?LinkId=2202145.

Úroveň události

Chyba

ID události

16997

Protokolu

SYSTÉMU

Zdroj události

Adresářové služby – SAM

Text události

Správce účtu zabezpečení našel účet počítače, který vypadá jako osamocený a nemá existujícího vlastníka.

Účet počítače: S-1-5-xxx

Vlastník účtu počítače: S-1-5-xxx

Další informace najdete v tématu http://go.microsoft.com/fwlink/?LinkId=2202145.

Úroveň události

Upozornění

ID události

16998

Protokolu

SYSTÉMU

Zdroj události

Adresářové služby – SAM

Text události

Správce účtu zabezpečení zamítl žádost klienta o opakované použití účtu počítače během připojení k doméně.

Účet počítače a identita klienta nesplní ověřovací kontroly zabezpečení.

Klientský účet: S-1-5-xxx

Účet počítače: S-1-5-xxx

Vlastník účtu počítače: S-1-5-xxx

Zkontrolujte v datech záznamu této události kód chyby NT.

Další informace najdete v tématu http://go.microsoft.com/fwlink/?LinkId=2202145.

V případě potřeby může soubor netsetup.log poskytnout další informace. Podívejte se na následující příklad z pracovního počítače.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Známé problémy

Problém 1

Po instalaci aktualizací z 12. září 2023 nebo novějších může připojení k doméně selhat v prostředích, kde jsou nastavené následující zásady: Přístup k síti – Omezení povolených vzdálených volání SAM klientům – Zabezpečení Windows | Microsoft Learn. Důvodem je to, že klientské počítače nyní provádějí ověřená volání SAMRPC řadiče domény, aby provedly kontroly ověřování zabezpečení související s opětovným používáním účtů počítačů.
    
To se očekává. Aby správci tuto změnu přizpůsobili, měli by buď zachovat výchozí nastavení zásady SAMRPC řadiče domény, nebo explicitně zahrnout skupinu uživatelů provádějící připojení k doméně do nastavení SDDL, aby jim udělila oprávnění. 

Příklad z souboru netsetup.log, kde došlo k tomuto problému:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problém 2

Pokud byl účet vlastníka počítače odstraněn a dojde k pokusu o opakované použití účtu počítače, do protokolu událostí systému se zaprotokoluje událost 16997. Pokud k tomu dojde, je v pořádku znovu přiřadit vlastnictví k jinému účtu nebo skupině.

Problém 3

Pokud má pouze klient aktualizaci ze 14. března 2023 nebo novější, vrátí se kontrola zásad služby Active Directory 0x32 STATUS_NOT_SUPPORTED. Předchozí kontroly, které byly implementovány v listopadových opravách hotfix, budou platit, jak je znázorněno níže:

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×