Tipp: Informationen zum Anzeigen der neuen oder überarbeiteten Inhalte vom Januar 2024 finden Sie in den Tags [Januar 2024 – Start] und [Ende – Januar 2024] in diesem Artikel.
Zusammenfassung
Windows-Updates, die am und nach dem 11. Oktober 2022 veröffentlicht wurden, enthalten zusätzliche Schutzmaßnahmen, die von CVE-2022-38042 eingeführt wurden. Diese Schutzmaßnahmen verhindern absichtlich, dass Domänenbeitrittsvorgänge ein vorhandenes Computerkonto in der Zieldomäne wiederverwenden, es sei denn:
-
Der Benutzer, der den Vorgang versucht, ist der Ersteller des vorhandenen Kontos.
Oder
-
Der Computer wurde von einem Mitglied der Domänenadministratoren erstellt.
Oder
-
Der Besitzer des Computerkontos, das wiederverwendet wird, ist Mitglied von "Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen". Gruppenrichtlinie Einstellung. Diese Einstellung erfordert die Installation von Windows-Updates, die am oder nach dem 14. März 2023 auf ALLEN Mitgliedscomputern und Domänencontrollern veröffentlicht wurden.
Updates, die am und nach dem 14. März 2023 und dem 12. September 2023 veröffentlicht wurden, bietet zusätzliche Optionen für betroffene Kunden auf Windows Server 2012 R2 und allen unterstützten Clients. Weitere Informationen finden Sie in den Abschnitten Verhalten vom 11. Oktober 2022 und Ergreifen von Maßnahmen .
Verhalten vor dem 11. Oktober 2022
Bevor Sie die kumulativen Updates vom 11. Oktober 2022 oder höher installieren, fragt der Clientcomputer Active Directory nach einem vorhandenen Konto mit demselben Namen ab. Diese Abfrage tritt während der Domänenbeitritts- und Computerkontobereitstellung auf. Wenn ein solches Konto vorhanden ist, versucht der Client automatisch, es wiederzuverwenden.
Hinweis Der Wiederverwendungsversuch schlägt fehl, wenn der Benutzer, der den Domänenbeitritt versucht, nicht über die entsprechenden Schreibberechtigungen verfügt. Wenn der Benutzer jedoch über ausreichende Berechtigungen verfügt, ist der Domänenbeitritt erfolgreich.
Es gibt zwei Szenarien für den Domänenbeitritt mit den entsprechenden Standardverhalten und -flags wie folgt:
-
Domänenbeitritt (NetJoinDomain)
-
Standardmäßig wird die Kontowiederverwendung verwendet (es sei denn , NETSETUP_NO_ACCT_REUSE Flag angegeben ist)
-
-
Kontobereitstellung (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Standardmäßig wird KEINE Wiederverwendung verwendet (es sei denn , NETSETUP_PROVISION_REUSE_ACCOUNT angegeben ist).)
-
Verhalten vom 11. Oktober 2022
Nachdem Sie die kumulativen Windows-Updates vom 11. Oktober 2022 oder höher auf einem Clientcomputer installiert haben, führt der Client während des Domänenbeitritts zusätzliche Sicherheitsüberprüfungen durch, bevor versucht wird, ein vorhandenes Computerkonto wiederzuverwenden. Algorithmus:
-
Der Wiederverwendungsversuch für Konten ist zulässig, wenn der Benutzer, der den Vorgang versucht, der Ersteller des vorhandenen Kontos ist.
-
Der Wiederverwendungsversuch für Konten ist zulässig, wenn das Konto von einem Mitglied von Domänenadministratoren erstellt wurde.
Diese zusätzlichen Sicherheitsüberprüfungen werden durchgeführt, bevor versucht wird, dem Computer beizutreten. Wenn die Überprüfungen erfolgreich sind, unterliegt der Rest des Joinvorgangs wie zuvor Active Directory-Berechtigungen.
Diese Änderung wirkt sich nicht auf neue Konten aus.
Hinweis Nach der Installation der kumulativen Windows-Updates vom 11. Oktober 2022 oder höher schlägt der Domänenbeitritt mit der Wiederverwendung von Computerkonten möglicherweise absichtlich mit dem folgenden Fehler fehl:
Fehler 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "In Active Directory ist ein Konto mit demselben Namen vorhanden. Die erneute Verwendung des Kontos wurde durch die Sicherheitsrichtlinie blockiert."
Wenn ja, wird das Konto absichtlich durch das neue Verhalten geschützt.
Die Ereignis-ID 4101 wird ausgelöst, sobald der obige Fehler auftritt, und das Problem wird in c:\windows\debug\netsetup.log protokolliert. Führen Sie die folgenden Schritte unter Ergreifen von Maßnahmen aus, um den Fehler zu verstehen und das Problem zu beheben.
Verhalten vom 14. März 2023
In den Windows-Updates, die am oder nach dem 14. März 2023 veröffentlicht wurden, haben wir einige Änderungen an der Sicherheitshärtung vorgenommen. Diese Änderungen umfassen alle Änderungen, die wir am 11. Oktober 2022 vorgenommen haben.
Zunächst haben wir den Bereich der Gruppen erweitert, die von dieser Härtung ausgenommen sind. Neben Domänenadministratoren sind jetzt auch Unternehmensadministratoren und integrierte Administratorengruppen von der Besitzprüfung ausgenommen.
Zweitens haben wir eine neue Gruppenrichtlinie-Einstellung implementiert. Administratoren können damit eine Zulassungsliste von Besitzern vertrauenswürdiger Computerkonten angeben. Das Computerkonto umgeht die Sicherheitsüberprüfung, wenn eine der folgenden Aussagen zutrifft:
-
Das Konto gehört einem Benutzer, der im Gruppenrichtlinie "Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen" als vertrauenswürdiger Besitzer angegeben ist.
-
Das Konto gehört einem Benutzer, der Mitglied einer Gruppe ist, die im Gruppenrichtlinie "Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen" als vertrauenswürdiger Besitzer angegeben ist.
Um diese neue Gruppenrichtlinie verwenden zu können, muss auf dem Domänencontroller und dem Mitgliedscomputer das Update vom 14. März 2023 oder höher konsistent installiert sein. Einige von Ihnen verfügen möglicherweise über bestimmte Konten, die Sie bei der automatisierten Computerkontoerstellung verwenden. Wenn diese Konten vor Missbrauch sicher sind und Sie ihnen vertrauen, Computerkonten zu erstellen, können Sie sie ausschließen. Sie sind weiterhin vor der ursprünglichen Sicherheitsanfälligkeit geschützt, die durch die Windows-Updates vom 11. Oktober 2022 behoben wurde.
Verhalten vom 12. September 2023
In den Windows-Updates, die am oder nach dem 12. September 2023 veröffentlicht wurden, haben wir einige zusätzliche Änderungen an der Sicherheitshärtung vorgenommen. Diese Änderungen umfassen alle Änderungen, die wir am 11. Oktober 2022 vorgenommen haben, sowie die Änderungen ab dem 14. März 2023.
Es wurde ein Problem behoben, bei dem der Domänenbeitritt mithilfe der intelligenten Karte Authentifizierung unabhängig von der Richtlinieneinstellung fehlgeschlagen ist. Um dieses Problem zu beheben, haben wir die verbleibenden Sicherheitsüberprüfungen wieder auf den Domänencontroller verschoben. Daher führen Clientcomputer nach dem Sicherheitsupdate vom September 2023 authentifizierte SAMRPC-Aufrufe an den Domänencontroller aus, um Sicherheitsüberprüfungen im Zusammenhang mit der Wiederverwendung von Computerkonten durchzuführen.
Dies kann jedoch dazu führen, dass der Domänenbeitritt in Umgebungen fehlschlägt, in denen die folgende Richtlinie festgelegt ist: Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM durchführen dürfen. Informationen zur Behebung dieses Problems finden Sie im Abschnitt "Bekannte Probleme".
Wir planen auch, die ursprüngliche NetJoinLegacyAccountReuse-Registrierungseinstellung in einem zukünftigen Windows-Update zu entfernen. [Januar 2024 – Start]Diese Entfernung ist vorläufig für das Update vom 13. August 2024 geplant. Veröffentlichungsdaten können sich ändern. [Ende – Januar 2024]
Hinweis Wenn Sie den Schlüssel NetJoinLegacyAccountReuse auf Ihren Clients bereitgestellt und auf den Wert 1 festgelegt haben, müssen Sie diesen Schlüssel jetzt entfernen (oder auf 0 festlegen), um von den neuesten Änderungen zu profitieren.
Handeln Sie
Konfigurieren Sie die neue Zulassungslistenrichtlinie mithilfe der Gruppenrichtlinie auf einem Domänencontroller, und entfernen Sie alle clientseitigen Legacyumgehungen. Gehen Sie dann wie folgt vor:
-
Sie müssen die Updates vom 12. September 2023 oder höher auf allen Mitgliedscomputern und Domänencontrollern installieren.
-
Konfigurieren Sie in einer neuen oder vorhandenen Gruppenrichtlinie, die für alle Domänencontroller gilt, die Einstellungen in den folgenden Schritten.
-
Doppelklicken Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen auf Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen.
-
Wählen Sie Diese Richtlinieneinstellung definieren und <Sicherheit bearbeiten...>aus.
-
Verwenden Sie die Objektauswahl, um Benutzer oder Gruppen von Erstellern und Besitzern vertrauenswürdiger Computerkonten zur Berechtigung Zulassen hinzuzufügen. (Als bewährte Methode wird dringend empfohlen, Gruppen für Berechtigungen zu verwenden.) Fügen Sie nicht das Benutzerkonto hinzu, das den Domänenbeitritt durchführt.
Warnung: Beschränken Sie die Mitgliedschaft auf die Richtlinie auf vertrauenswürdige Benutzer und Dienstkonten. Fügen Sie dieser Richtlinie keine authentifizierten Benutzer, alle benutzer oder andere große Gruppen hinzu. Fügen Sie stattdessen bestimmte vertrauenswürdige Benutzer und Dienstkonten zu Gruppen hinzu, und fügen Sie diese Gruppen der Richtlinie hinzu.
-
Warten Sie auf das Gruppenrichtlinie Aktualisierungsintervall, oder führen Sie gpupdate /force auf allen Domänencontrollern aus.
-
Vergewissern Sie sich, dass der Registrierungsschlüssel HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" mit der gewünschten SDDL aufgefüllt ist. Bearbeiten Sie die Registrierung nicht manuell.
-
Versuchen Sie, einen Computer zu verbinden, auf dem die Updates vom 12. September 2023 oder höher installiert sind. Stellen Sie sicher, dass eines der in der Richtlinie aufgeführten Konten das Computerkonto besitzt. Stellen Sie außerdem sicher, dass für die Registrierung nicht der Schlüssel NetJoinLegacyAccountReuse aktiviert ist (auf 1 festgelegt). Wenn der Domänenbeitritt fehlschlägt, überprüfen Sie die c:\windows\debug-\netsetup.log.
Wenn Sie weiterhin eine alternative Problemumgehung benötigen, überprüfen Sie die Workflows zur Bereitstellung von Computerkonten, und ermitteln Sie, ob Änderungen erforderlich sind.
-
Führen Sie den Joinvorgang mit demselben Konto aus, das das Computerkonto in der Zieldomäne erstellt hat.
-
Wenn das vorhandene Konto veraltet (nicht verwendet) ist, löschen Sie es, bevor Sie versuchen, der Domäne erneut beizutreten.
-
Benennen Sie den Computer um, und schließen Sie sich mit einem anderen Konto an, das noch nicht vorhanden ist.
-
Wenn sich das vorhandene Konto im Besitz eines vertrauenswürdigen Sicherheitsprinzipals befindet und ein Administrator das Konto wiederverwenden möchte, befolgen Sie die Anweisungen im Abschnitt Aktion ergreifen, um die Windows-Updates vom September 2023 oder höher zu installieren und eine Zulassungsliste zu konfigurieren.
Wichtige Anleitung für die Verwendung des Registrierungsschlüssels NetJoinLegacyAccountReuse
Achtung: Wenn Sie diesen Schlüssel festlegen, um diese Schutzmaßnahmen zu umgehen, machen Sie Ihre Umgebung anfällig für CVE-2022-38042, es sei denn, es wird unten auf Ihr Szenario verwiesen. Verwenden Sie diese Methode nicht ohne Bestätigung, dass der Ersteller/Besitzer des vorhandenen Computerobjekts ein sicherer und vertrauenswürdiger Sicherheitsprinzipal ist.
Aufgrund der neuen Gruppenrichtlinie sollten Sie den Registrierungsschlüssel NetJoinLegacyAccountReuse nicht mehr verwenden. [Januar 2024 – Start]Wir behalten den Schlüssel für die nächsten Monate bei, falls Sie Problemumgehungen benötigen. [Ende – Januar 2024]Wenn Sie das neue Gruppenrichtlinienobjekt in Ihrem Szenario nicht konfigurieren können, empfehlen wir Ihnen dringend, sich an Microsoft-Support zu wenden.
|
Pfad |
HKLM\System\CurrentControlSet\Control\LSA |
|
Typ |
REG_DWORD |
|
Name |
NetJoinLegacyAccountReuse |
|
Wert |
1 Andere Werte werden ignoriert. |
Hinweis Microsoft entfernt die Unterstützung für die Registrierungseinstellung NetJoinLegacyAccountReuse in einem zukünftigen Windows-Update. [Januar 2024 – Start]Diese Entfernung ist vorläufig für das Update vom 13. August 2024 geplant. Veröffentlichungsdaten können sich ändern. [Ende – Januar 2024]
Nicht-Lösungen
-
Nachdem Sie Updates vom 12. September 2023 oder höher auf DCs und Clients in der Umgebung installiert haben, verwenden Sie nicht die NetJoinLegacyAccountReuse-Registrierung . Führen Sie stattdessen die Schritte unter Aktion ausführen aus, um das neue Gruppenrichtlinienobjekt zu konfigurieren.
-
Fügen Sie der Sicherheitsgruppe Domänenadministratoren keine Dienstkonten oder Bereitstellungskonten hinzu.
-
Bearbeiten Sie die Sicherheitsbeschreibung für Computerkonten nicht manuell, um den Besitz solcher Konten neu zu definieren, es sei denn, das vorherige Besitzerkonto wurde gelöscht. Während die Bearbeitung des Besitzers ermöglicht, dass die neuen Überprüfungen erfolgreich sind, behält das Computerkonto möglicherweise die gleichen potenziell riskanten und unerwünschten Berechtigungen für den ursprünglichen Besitzer bei, es sei denn, es wurde explizit überprüft und entfernt.
-
Fügen Sie den Registrierungsschlüssel NetJoinLegacyAccountReuse nicht zu Basisbetriebssystemimages hinzu, da der Schlüssel nur vorübergehend hinzugefügt und dann direkt nach Abschluss des Domänenbeitritts entfernt werden sollte.
Neue Ereignisprotokolle
|
Ereignisprotokoll |
SYSTEM |
|
Ereignisquelle |
Netjoin |
|
Ereigniskennung |
4100 |
|
Ereignistyp |
Information |
|
Ereignistext |
"Während des Domänenbeitritts hat der kontaktierte Domänencontroller ein vorhandenes Computerkonto in Active Directory mit demselben Namen gefunden. Es wurde versucht, dieses Konto erneut zu verwenden. Domänencontroller durchsucht: <Domänencontrollername>Vorhandenes Computerkonto DN: <DN-Pfad des Computerkontos>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Ereignisprotokoll |
SYSTEM |
|
Ereignisquelle |
Netjoin |
|
Ereigniskennung |
4101 |
|
Ereignistyp |
Fehler |
|
Ereignistext |
Während des Domänenbeitritts hat der kontaktierte Domänencontroller ein vorhandenes Computerkonto in Active Directory mit demselben Namen gefunden. Ein Versuch, dieses Konto erneut zu verwenden, wurde aus Sicherheitsgründen verhindert. Domänencontroller durchsucht: Vorhandenes Computerkonto DN: Der Fehlercode wurde <Fehlercode>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145. |
Die Debugprotokollierung ist standardmäßig in C:\Windows\Debug\netsetup.log auf allen Clientcomputern verfügbar (es ist keine ausführliche Protokollierung erforderlich).
Beispiel für die Debugprotokollierung, die generiert wird, wenn die Wiederverwendung des Kontos aus Sicherheitsgründen verhindert wird:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Neue Ereignisse im März 2023 hinzugefügt
Dieses Update fügt vier (4) neue Ereignisse im SYSTEM-Protokoll auf dem Domänencontroller wie folgt hinzu:
|
Ereignisebene |
Information |
|
Ereignis-ID |
16995 |
|
Protokoll |
SYSTEM |
|
Ereignisquelle |
Directory-Services-SAM |
|
Ereignistext |
Der Sicherheitskonto-Manager verwendet den angegebenen Sicherheitsdeskriptor für die Überprüfung von Wiederverwendungsversuchen des Computerkontos während des Domänenbeitritts. SDDL-Wert: <SDDL-Zeichenfolge> Diese Zulassungsliste wird über eine Gruppenrichtlinie in Active Directory konfiguriert. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Ereignisebene |
Fehler |
|
Ereignis-ID |
16996 |
|
Protokoll |
SYSTEM |
|
Ereignisquelle |
Directory-Services-SAM |
|
Ereignistext |
Der Sicherheitsdeskriptor, der die Wiederverwendungsliste des Computerkontos enthält, die verwendet wird, um zu überprüfen, ob der Domänenbeitritt von Clientanforderungen falsch formatiert ist. SDDL-Wert: <SDDL-Zeichenfolge> Diese Zulassungsliste wird über eine Gruppenrichtlinie in Active Directory konfiguriert. Um dieses Problem zu beheben, muss ein Administrator die Richtlinie aktualisieren, um diesen Wert auf einen gültigen Sicherheitsdeskriptor festzulegen oder ihn zu deaktivieren. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Ereignisebene |
Fehler |
|
Ereignis-ID |
16997 |
|
Protokoll |
SYSTEM |
|
Ereignisquelle |
Directory-Services-SAM |
|
Ereignistext |
Der Sicherheitskonto-Manager hat ein Computerkonto gefunden, das verwaist zu sein scheint und nicht über einen vorhandenen Besitzer verfügt. Computerkonto: S-1-5-xxx Computerkontobesitzer: S-1-5-xxx Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Ereignisebene |
Warnung |
|
Ereignis-ID |
16998 |
|
Protokoll |
SYSTEM |
|
Ereignisquelle |
Directory-Services-SAM |
|
Ereignistext |
Der Sicherheitskonto-Manager hat eine Clientanforderung zur Wiederverwendung eines Computerkontos während des Domänenbeitritts abgelehnt. Das Computerkonto und die Clientidentität haben die Sicherheitsüberprüfungen nicht erfüllt. Benutzerkonto: S-1-5-xxx Computerkonto: S-1-5-xxx Computerkontobesitzer: S-1-5-xxx Überprüfen Sie die Datensatzdaten dieses Ereignisses auf den NT-Fehlercode. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
Bei Bedarf kann netsetup.log weitere Informationen bereitstellen. Sehen Sie sich das folgende Beispiel auf einem funktionierenden Computer an.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Bekannte Probleme
|
Problem 1 |
Nach der Installation der Updates vom 12. September 2023 oder höher kann der Domänenbeitritt in Umgebungen, in denen die folgende Richtlinie festgelegt ist, fehlschlagen: Netzwerkzugriff – Einschränken von Clients, die Remoteaufrufe an SAM durchführen dürfen – Windows-Sicherheit | Microsoft Learn. Dies liegt daran, dass Clientcomputer jetzt authentifizierte SAMRPC-Aufrufe an den Domänencontroller senden, um Sicherheitsüberprüfungen im Zusammenhang mit der Wiederverwendung von Computerkonten durchzuführen. Beispiel aus einer "netsetup.log"-Datei, bei der dieses Problem aufgetreten ist: |
|
Problem 2 |
Wenn das Konto des Computerbesitzers gelöscht wurde und versucht wird, das Computerkonto wiederzuverwenden, wird Ereignis 16997 im Systemereignisprotokoll protokolliert. In diesem Fall ist es in Ordnung, den Besitz einem anderen Konto oder einer anderen Gruppe erneut zuzuweisen. |
|
Problem 3 |
Wenn nur der Client über das Update vom 14. März 2023 oder höher verfügt, gibt die Active Directory-Richtlinienüberprüfung 0x32 STATUS_NOT_SUPPORTED zurück. Vorherige Überprüfungen, die in den November-Hotfixes implementiert wurden, gelten wie unten gezeigt: |
