Tipp: Informationen zum Anzeigen der neuen oder überarbeiteten Inhalte vom 14. März 2023 finden Sie in den verschiedenen Tags [14. März 2023 – Start] und [Ende – 14. März 2023] im gesamten Artikel.
Zusammenfassung
Windows-Updates, die am und nach dem 11. Oktober 2022 veröffentlicht wurden, enthalten zusätzliche Schutzmaßnahmen, die von CVE-2022-38042 eingeführt wurden. Diese Schutzmaßnahmen verhindern absichtlich, dass Domänenbeitrittsvorgänge ein vorhandenes Computerkonto in der Zieldomäne wiederverwenden, es sei denn:
-
Der Benutzer, der den Vorgang versucht, ist der Ersteller des vorhandenen Kontos.
Oder
-
Der Computer wurde von einem Mitglied der Domänenadministratoren erstellt.
Oder
[14. März 2023 – Start]
-
Der Besitzer des Computerkontos, das wiederverwendet wird, ist Mitglied von "Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen". Gruppenrichtlinie Einstellung. Diese Einstellung erfordert die Installation von Windows-Updates, die am oder nach dem 14. März 2023 auf ALLEN Mitgliedscomputern und Domänencontrollern veröffentlicht wurden.
Aktualisierungen, die am und nach dem 14. März 2023 veröffentlicht wurden, bietet zusätzliche Optionen für betroffene Kunden auf Windows Server 2012 R2 und allen unterstützten Clients. Weitere Informationen finden Sie in den Abschnitten Verhalten vom 11. Oktober 2022 und Ergreifen von Maßnahmen . [Ende – 14. März 2023]
Verhalten vor dem 11. Oktober 2022
Bevor Sie die kumulativen Updates vom 11. Oktober 2022 oder höher installieren, fragt der Clientcomputer Active Directory nach einem vorhandenen Konto mit demselben Namen ab. Diese Abfrage tritt während der Domänenbeitritts- und Computerkontobereitstellung auf. Wenn ein solches Konto vorhanden ist, versucht der Client automatisch, es wiederzuverwenden.
Hinweis Der Wiederverwendungsversuch schlägt fehl, wenn der Benutzer, der den Domänenbeitritt versucht, nicht über die entsprechenden Schreibberechtigungen verfügt. Wenn der Benutzer jedoch über ausreichende Berechtigungen verfügt, ist der Domänenbeitritt erfolgreich.
Es gibt zwei Szenarien für den Domänenbeitritt mit den entsprechenden Standardverhalten und -flags wie folgt:
-
Domänenbeitritt (NetJoinDomain)
-
Standardmäßig wird die Kontowiederverwendung verwendet (es sei denn , NETSETUP_NO_ACCT_REUSE Flag angegeben ist)
-
-
Kontobereitstellung (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Standardmäßig wird KEINE Wiederverwendung verwendet (es sei denn , NETSETUP_PROVISION_REUSE_ACCOUNT angegeben ist).)
-
Verhalten vom 11. Oktober 2022
Nachdem Sie die kumulativen Windows-Updates vom 11. Oktober 2022 oder höher auf einem Clientcomputer installiert haben, führt der Client während des Domänenbeitritts zusätzliche Sicherheitsüberprüfungen durch, bevor versucht wird, ein vorhandenes Computerkonto wiederzuverwenden. Algorithmus:
-
Der Wiederverwendungsversuch für Konten ist zulässig, wenn der Benutzer, der den Vorgang versucht, der Ersteller des vorhandenen Kontos ist.
-
Der Wiederverwendungsversuch für Konten ist zulässig, wenn das Konto von einem Mitglied von Domänenadministratoren erstellt wurde.
Diese zusätzlichen Sicherheitsüberprüfungen werden durchgeführt, bevor versucht wird, dem Computer beizutreten. Wenn die Überprüfungen erfolgreich sind, unterliegt der Rest des Joinvorgangs wie zuvor Active Directory-Berechtigungen.
Diese Änderung wirkt sich nicht auf neue Konten aus.
Hinweis Nach der Installation der kumulativen Windows-Updates vom 11. Oktober 2022 oder höher schlägt der Domänenbeitritt mit der Wiederverwendung von Computerkonten möglicherweise absichtlich mit dem folgenden Fehler fehl:
Fehler 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "In Active Directory ist ein Konto mit demselben Namen vorhanden. Die erneute Verwendung des Kontos wurde durch die Sicherheitsrichtlinie blockiert."
Wenn ja, wird das Konto absichtlich durch das neue Verhalten geschützt.
Die Ereignis-ID 4101 wird ausgelöst, sobald der obige Fehler auftritt und das Problem in c:\windows\debug\netsetup.log protokolliert wird. Führen Sie die folgenden Schritte unter Ergreifen von Maßnahmen aus, um den Fehler zu verstehen und das Problem zu beheben.
Verhalten vom 14. März 2023
[14. März 2023 – Start]
In den Windows-Updates, die am oder nach dem 14. März 2023 veröffentlicht wurden, haben wir einige Änderungen an der Sicherheitshärtung vorgenommen. Diese Änderungen umfassen alle Änderungen, die wir am 11. Oktober 2022 vorgenommen haben.
Zunächst haben wir den Bereich der Gruppen erweitert, die von dieser Härtung ausgenommen sind. Neben Domänenadministratoren sind jetzt auch Unternehmensadministratoren und integrierte Administratorengruppen von der Besitzprüfung ausgenommen.
Zweitens haben wir eine neue Gruppenrichtlinie-Einstellung implementiert. Administratoren können damit eine Zulassungsliste von Besitzern vertrauenswürdiger Computerkonten angeben. Das Computerkonto umgeht die Sicherheitsüberprüfung, wenn eine der folgenden Aussagen zutrifft:
-
Das Konto gehört einem Benutzer, der im Gruppenrichtlinie "Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen" als vertrauenswürdiger Besitzer angegeben ist.
-
Das Konto gehört einem Benutzer, der Mitglied einer Gruppe ist, die im Gruppenrichtlinie "Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen" als vertrauenswürdiger Besitzer angegeben ist.
Um diese neue Gruppenrichtlinie verwenden zu können, muss auf dem Domänencontroller und auf dem Mitgliedscomputer das Update vom 14. März 2023 oder höher konsistent installiert sein. Einige von Ihnen verfügen möglicherweise über bestimmte Konten, die Sie bei der automatisierten Computerkontoerstellung verwenden. Wenn diese Konten vor Missbrauch sicher sind und Sie ihnen vertrauen, Computerkonten zu erstellen, können Sie sie ausschließen. Sie sind weiterhin vor der ursprünglichen Sicherheitsanfälligkeit geschützt, die durch die Windows-Updates vom 11. Oktober 2022 behoben wurde.
Wir planen auch, die ursprüngliche NetJoinLegacyAccountReuse-Registrierungseinstellung in einem zukünftigen Windows-Update zu entfernen. Diese Entfernung ist vorläufig für das Update vom 9. September 2023 geplant. Veröffentlichungsdaten können sich ändern.
Hinweis Wenn Sie den Schlüssel NetJoinLegacyAccountReuse auf Ihren Clients bereitgestellt und auf den Wert 1 festgelegt haben, müssen Sie diesen Schlüssel jetzt entfernen (oder auf 0 festlegen), um von den neuesten Änderungen zu profitieren. [Ende – 14. März 2023]
Handeln Sie
[14. März 2023 – Start]
Konfigurieren Sie die neue Zulassungslistenrichtlinie mithilfe der Gruppenrichtlinie auf einem Domänencontroller. Entfernen Sie alle clientseitigen Legacyumgehungen so bald wie möglich vor September 2023. Gehen Sie dann wie folgt vor:
-
Sie müssen die Updates vom 14. März 2023 auf allen Mitgliedscomputern und Domänencontrollern installieren.
-
Konfigurieren Sie in einer neuen oder vorhandenen Gruppenrichtlinie, die für alle Domänencontroller gilt, die Einstellungen in den folgenden Schritten.
-
Doppelklicken Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen auf Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen.
-
Wählen Sie Diese Richtlinieneinstellung definieren und <Sicherheit bearbeiten...>aus.
-
Verwenden Sie die Objektauswahl, um Benutzer oder Gruppen von Erstellern und Besitzern vertrauenswürdiger Computerkonten zur Berechtigung Zulassen hinzuzufügen. (Als bewährte Methode wird dringend empfohlen, Gruppen für Berechtigungen zu verwenden.) Fügen Sie nicht das Benutzerkonto hinzu, das den Domänenbeitritt durchführt.
Warnung: Beschränken Sie die Mitgliedschaft auf die Richtlinie auf vertrauenswürdige Benutzer und Dienstkonten. Fügen Sie dieser Richtlinie keine authentifizierten Benutzer, alle benutzer oder andere große Gruppen hinzu. Fügen Sie stattdessen bestimmte vertrauenswürdige Benutzer und Dienstkonten zu Gruppen hinzu, und fügen Sie diese Gruppen der Richtlinie hinzu.
-
Warten Sie auf das Gruppenrichtlinie Aktualisierungsintervall, oder führen Sie gpupdate /force auf allen Domänencontrollern aus.
-
Vergewissern Sie sich, dass der Registrierungsschlüssel HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" mit der gewünschten SDDL aufgefüllt wird. Bearbeiten Sie die Registrierung nicht manuell.
-
Versuchen Sie, einen Computer mit dem Update vom 14. März 2023 oder höher zu verbinden. Stellen Sie sicher, dass eines der in der Richtlinie aufgeführten Konten das Computerkonto besitzt. Stellen Sie außerdem sicher, dass für die Registrierung nicht der Schlüssel NetJoinLegacyAccountReuse aktiviert ist (auf 1 festgelegt). Wenn der Domänenbeitritt fehlschlägt, überprüfen Sie die c:\windows\debug-\netsetup.log.
Wenn Sie weiterhin eine alternative Problemumgehung benötigen, überprüfen Sie die Workflows zur Bereitstellung von Computerkonten, und ermitteln Sie, ob Änderungen erforderlich sind. [Ende – 14. März 2023]
-
Führen Sie den Joinvorgang mit demselben Konto aus, das das Computerkonto in der Zieldomäne erstellt hat.
-
Wenn das vorhandene Konto veraltet (nicht verwendet) ist, löschen Sie es, bevor Sie versuchen, der Domäne erneut beizutreten.
-
Benennen Sie den Computer um, und schließen Sie sich mit einem anderen Konto an, das noch nicht vorhanden ist.
-
Wenn sich das vorhandene Konto im Besitz eines vertrauenswürdigen Sicherheitsprinzipals befindet und ein Administrator das Konto wiederverwenden möchte, befolgen Sie die Anweisungen im Abschnitt Aktion ausführen, um das Windows-Update vom März 2023 zu installieren und eine Zulassungsliste zu konfigurieren.
Wichtige Anleitung für die Verwendung des Registrierungsschlüssels NetJoinLegacyAccountReuse
Achtung: Wenn Sie diesen Schlüssel festlegen, um diese Schutzmaßnahmen zu umgehen, machen Sie Ihre Umgebung anfällig für CVE-2022-38042, es sei denn, es wird unten auf Ihr Szenario verwiesen. Verwenden Sie diese Methode nicht ohne Bestätigung, dass der Ersteller/Besitzer des vorhandenen Computerobjekts ein sicherer und vertrauenswürdiger Sicherheitsprinzipal ist.
[14. März 2023 – Start]
Aufgrund der neuen Gruppenrichtlinie sollten Sie den Registrierungsschlüssel NetJoinLegacyAccountReuse nicht mehr verwenden. Wir behalten den Schlüssel für die nächsten sechs (6) Monate bei, falls Sie Problemumgehungen benötigen. Wenn Sie das neue Gruppenrichtlinienobjekt in Ihrem Szenario nicht konfigurieren können, empfehlen wir Ihnen dringend, sich an Microsoft-Support zu wenden.
Pfad |
HKLM\System\CurrentControlSet\Control\LSA |
Typ |
REG_DWORD |
Name |
NetJoinLegacyAccountReuse |
Wert |
1 Andere Werte werden ignoriert. |
Hinweis Microsoft entfernt die Unterstützung für die Registrierungseinstellung NetJoinLegacyAccountReuse in einem zukünftigen Windows-Update. Diese Entfernung ist vorläufig für das Update vom 9. September 2023 geplant. Veröffentlichungsdaten können sich ändern. [Ende – 14. März 2023]
Nicht-Lösungen
[14. März 2023 – Start]
-
Nachdem Sie Updates vom 14. März 2023 oder höher auf DCs und Clients in der Umgebung installiert haben, verwenden Sie nicht die Registrierung NetJoinLegacyAccountReuse . Führen Sie stattdessen die Schritte unter Aktion ausführen aus, um das neue Gruppenrichtlinienobjekt zu konfigurieren. [Ende – 14. März 2023]
-
Fügen Sie der Sicherheitsgruppe Domänenadministratoren keine Dienstkonten oder Bereitstellungskonten hinzu.
-
Bearbeiten Sie den Sicherheitsdeskriptor für Computerkonten nicht manuell, um den Besitz solcher Konten neu zu definieren. Während die Bearbeitung des Besitzers ermöglicht, dass die neuen Überprüfungen erfolgreich sind, behält das Computerkonto möglicherweise die gleichen potenziell riskanten und unerwünschten Berechtigungen für den ursprünglichen Besitzer bei, es sei denn, es wurde explizit überprüft und entfernt.
-
Fügen Sie den Registrierungsschlüssel NetJoinLegacyAccountReuse nicht zu Basisbetriebssystemimages hinzu, da der Schlüssel nur vorübergehend hinzugefügt und dann direkt nach Abschluss des Domänenbeitritts entfernt werden sollte.
Neue Ereignisprotokolle
Ereignisprotokoll |
SYSTEM |
Ereignisquelle |
Netjoin |
Ereigniskennung |
4100 |
Ereignistyp |
Information |
Ereignistext |
"Während des Domänenbeitritts hat der kontaktierte Domänencontroller ein vorhandenes Computerkonto in Active Directory mit demselben Namen gefunden. Es wurde versucht, dieses Konto erneut zu verwenden. Domänencontroller durchsucht: <Domänencontrollername>Vorhandenes Computerkonto DN: <DN-Pfad des Computerkontos>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145. |
Ereignisprotokoll |
SYSTEM |
Ereignisquelle |
Netjoin |
Ereigniskennung |
4101 |
Ereignistyp |
Fehler |
Ereignistext |
"Während des Domänenbeitritts hat der kontaktierte Domänencontroller ein vorhandenes Computerkonto in Active Directory mit demselben Namen gefunden. Ein Versuch, dieses Konto erneut zu verwenden, wurde aus Sicherheitsgründen verhindert. Domänencontroller durchsucht: Vorhandenes Computerkonto DN: Der Fehlercode wurde <Fehlercode>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145." |
Die Debugprotokollierung ist standardmäßig in C:\Windows\Debug\netsetup.log auf allen Clientcomputern verfügbar (es ist keine ausführliche Protokollierung erforderlich).
Beispiel für die Debugprotokollierung, die generiert wird, wenn die Wiederverwendung des Kontos aus Sicherheitsgründen verhindert wird:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Neue Ereignisse im März 2023 hinzugefügt
[14. März 2023 – Start]
Dieses Update fügt vier (4) neue Ereignisse im SYSTEM-Protokoll auf dem Domänencontroller wie folgt hinzu:
Ereignisebene |
Information |
Ereignis-ID |
16995 |
Protokoll |
SYSTEM |
Ereignisquelle |
Directory-Services-SAM |
Ereignistext |
Der Sicherheitskonto-Manager verwendet den angegebenen Sicherheitsdeskriptor für die Überprüfung von Wiederverwendungsversuchen des Computerkontos während des Domänenbeitritts. SDDL-Wert: <SDDL-Zeichenfolge> Diese Zulassungsliste wird über eine Gruppenrichtlinie in Active Directory konfiguriert. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ereignisebene |
Fehler |
Ereignis-ID |
16996 |
Protokoll |
SYSTEM |
Ereignisquelle |
Directory-Services-SAM |
Ereignistext |
Der Sicherheitsdeskriptor, der die Wiederverwendungsliste des Computerkontos enthält, die verwendet wird, um zu überprüfen, ob der Domänenbeitritt von Clientanforderungen falsch formatiert ist. SDDL-Wert: <SDDL-Zeichenfolge> Diese Zulassungsliste wird über eine Gruppenrichtlinie in Active Directory konfiguriert. Um dieses Problem zu beheben, muss ein Administrator die Richtlinie aktualisieren, um diesen Wert auf einen gültigen Sicherheitsdeskriptor festzulegen oder ihn zu deaktivieren. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ereignisebene |
Fehler |
Ereignis-ID |
16997 |
Protokoll |
SYSTEM |
Ereignisquelle |
Directory-Services-SAM |
Ereignistext |
Der Sicherheitskonto-Manager hat ein Computerkonto gefunden, das verwaist zu sein scheint und nicht über einen vorhandenen Besitzer verfügt. Computerkonto: S-1-5-xxx Computerkontobesitzer: S-1-5-xxx Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ereignisebene |
Warnung |
Ereignis-ID |
16998 |
Protokoll |
SYSTEM |
Ereignisquelle |
Directory-Services-SAM |
Ereignistext |
Der Sicherheitskonto-Manager hat eine Clientanforderung zur Wiederverwendung eines Computerkontos während des Domänenbeitritts abgelehnt. Das Computerkonto und die Clientidentität haben die Sicherheitsüberprüfungen nicht erfüllt. Benutzerkonto: S-1-5-xxx Computerkonto: S-1-5-xxx Computerkontobesitzer: S-1-5-xxx Überprüfen Sie die Datensatzdaten dieses Ereignisses auf den NT-Fehlercode. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145 |
Bei Bedarf kann netsetup.log weitere Informationen bereitstellen. Sehen Sie sich das folgende Beispiel auf einem funktionierenden Computer an.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Wenn nur der Client über das Update vom 14. März 2023 oder höher verfügt, gibt die Active Directory-Richtlinienüberprüfung 0x32 STATUS_NOT_SUPPORTED zurück. Frühere Überprüfungen, die in den November-Hotfixes implementiert wurden, werden wie unten gezeigt angewendet.
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
[Ende – 14. März 2023]