Sugerencia: Para ver el contenido nuevo o revisado del 10 de agosto de 2023, consulte las etiquetas [10 de agosto de 2023 - Inicio] y [Fin- 10 de agosto de 2023] del artículo.
Resumen
Las actualizaciones de Windows publicadas el 11 de octubre de 2022 y posteriores contienen protecciones adicionales introducidas por CVE-2022-38042. Estas protecciones impiden intencionadamente que las operaciones de unión a dominios vuelvan a utilizar una cuenta de equipo existente en el dominio de destino a menos que:
-
El usuario que intenta realizar la operación es el creador de la cuenta existente.
O bien
-
El equipo lo creó un miembro de los administradores de dominio.
O bien
-
El propietario de la cuenta de equipo que se está reutilizando es un miembro del "controlador de dominio: Permitir que la cuenta del equipo se vuelva a usar durante la unión a un dominio". directiva de grupo configuración. Esta configuración requiere la instalación de actualizaciones de Windows publicadas el 14 de marzo de 2023 o después en TODOS los equipos miembros y controladores de dominio.
Novedades publicó el 14 de marzo de 2023 y después, proporcionará opciones adicionales para los clientes afectados en Windows Server 2012 R2 y posteriores y en todos los clientes admitidos. Para obtener más información, vea las secciones Comportamiento del 11 de octubre de 2022 y Tomar medidas .
Comportamiento antes del 11 de octubre de 2022
Antes de instalar las actualizaciones acumulativas del 11 de octubre de 2022 o posteriores, el equipo cliente solicita a Active Directory una cuenta existente con el mismo nombre. Esta consulta se produce durante la unión a un dominio y el aprovisionamiento de cuentas de equipo. Si existe dicha cuenta, el cliente intentará volver a usarla automáticamente.
Nota: Se producirá un error en el intento de reutilización si el usuario que intenta la operación de unión al dominio no tiene los permisos de escritura adecuados. Sin embargo, si el usuario tiene permisos suficientes, la unión al dominio se realizará correctamente.
Hay dos escenarios para la unión a un dominio con respectivos comportamientos predeterminados y marcas como se indica a continuación:
-
Unión a dominio (NetJoinDomain)
-
Valores predeterminados para volver a usar la cuenta (a menos que se especifique NETSETUP_NO_ACCT_REUSE marca)
-
-
Aprovisionamiento de cuentas (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
El valor predeterminado es NO volver a usarlo (a menos que se especifique NETSETUP_PROVISION_REUSE_ACCOUNT ).
-
Comportamiento del 11 de octubre de 2022
Después de instalar las actualizaciones acumulativas del 11 de octubre de 2022 o posteriores de Windows en un equipo cliente, durante la unión a un dominio, el cliente realizará comprobaciones de seguridad adicionales antes de intentar volver a usar una cuenta de equipo existente. Algoritmo:
-
Se permitirá el intento de reutilización de la cuenta si el usuario que intenta realizar la operación es el creador de la cuenta existente.
-
Se permitirá el intento de reutilización de la cuenta si la cuenta fue creada por un miembro de administradores de dominio.
Estas comprobaciones de seguridad adicionales se realizan antes de intentar unirse al equipo. Si las comprobaciones se realizan correctamente, el resto de la operación de unión está sujeto a los permisos de Active Directory como antes.
Este cambio no afecta a las cuentas nuevas.
Nota Después de instalar el 11 de octubre de 2022 o las actualizaciones acumulativas de Windows posteriores, la unión a un dominio con la reutilización de la cuenta del equipo podría provocar un error intencionado con el siguiente error:
Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Existe una cuenta con el mismo nombre en Active Directory. Volver a usar la cuenta está bloqueado por la directiva de seguridad".
Si es así, la cuenta está protegida intencionadamente por el nuevo comportamiento.
El id. de evento 4101 se activará una vez que se produzca el error anterior y el problema se registrará en c:\windows\debug\netsetup.log. Siga los pasos que se indican a continuación en Tomar medidas para comprender el error y resolver el problema.
Comportamiento del 14 de marzo de 2023
En las actualizaciones de Windows publicadas el 14 de marzo de 2023 o después, hemos realizado algunos cambios en el endurecimiento de la seguridad. Estos cambios incluyen todos los cambios que hicimos en el 11 de octubre de 2022.
En primer lugar, ampliamos el ámbito de los grupos que están exentos de este endurecimiento. Además de los administradores de dominio, los administradores de empresa y los grupos administradores integrados ahora están exentos de la comprobación de propiedad.
En segundo lugar, implementamos una nueva configuración de directiva de grupo. Los administradores pueden usarlo para especificar una lista de permitidos de propietarios de cuentas de equipo de confianza. La cuenta del equipo omitirá la comprobación de seguridad si se cumple alguna de las siguientes condiciones:
-
La cuenta es propiedad de un usuario especificado como propietario de confianza en el directiva de grupo "Controlador de dominio: Permitir que la cuenta del equipo vuelva a usarse durante la unión al dominio".
-
La cuenta es propiedad de un usuario que es miembro de un grupo especificado como propietario de confianza en el directiva de grupo "Controlador de dominio: Permitir que la cuenta del equipo vuelva a usarse durante la unión a un dominio".
Para usar esta nueva directiva de grupo, el controlador de dominio y el equipo miembro deben tener siempre instalada la actualización del 14 de marzo de 2023 o posterior. Es posible que algunos de ustedes tengan cuentas particulares que usa en la creación automatizada de cuentas de equipo. Si estas cuentas están protegidas frente al abuso y confía en ellas para crear cuentas de equipo, puede excluirlas. Seguirás estando seguro frente a la vulnerabilidad original mitigada por las actualizaciones de Windows del 11 de octubre de 2022.
[10 de agosto de 2023 - Inicio]
También tenemos previsto quitar la configuración original del Registro NetJoinLegacyAccountReuse en una futura actualización de Windows. Esta eliminación está programada provisionalmente para la actualización del 13 de febrero de 2024. Las fechas de lanzamiento están sujetas a cambios. [Fin - 10 de agosto de 2023]
Nota: Si implementó la clave NetJoinLegacyAccountReuse en sus clientes y la estableció en el valor 1, ahora debe quitar esa clave (o establecerla en 0) para beneficiarse de los últimos cambios.
Tomar medidas
Configure la nueva directiva de lista de permitidos con la directiva de grupo en un controlador de dominio. Quite las soluciones alternativas heredadas del lado del cliente tan pronto como sea posible antes de septiembre de 2023. A continuación, haz lo siguiente:
-
Debe instalar las actualizaciones del 14 de marzo de 2023 en todos los equipos miembros y controladores de dominio.
-
En una directiva de grupo nueva o existente que se aplique a todos los controladores de dominio, configure las opciones en los pasos siguientes.
-
En Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad, haz doble clic en Controlador de dominio: Permitir que la cuenta del equipo vuelva a usarse durante la unión al dominio.
-
Seleccione Definir esta configuración de directiva y <Editar seguridad...>.
-
Use el selector de objetos para agregar usuarios o grupos de creadores y propietarios de cuentas de equipo de confianza al permiso Permitir . (Como procedimiento recomendado, se recomienda encarecidamente usar grupos para permisos). No agregue la cuenta de usuario que realiza la unión al dominio.
Advertencia: Limite la pertenencia a la directiva a usuarios de confianza y cuentas de servicio. No agregue usuarios autenticados, a todos los usuarios ni a otros grupos grandes a esta directiva. En su lugar, agregue usuarios de confianza específicos y cuentas de servicio a grupos y agregue esos grupos a la directiva.
-
Espere el intervalo de actualización de directiva de grupo o ejecute gpupdate /force en todos los controladores de dominio.
-
Comprueba que la clave del Registro HKLM\System\CCS\Control\SAM: "ComputerAccountReuseAllowList" se rellena con el SDDL deseado. No edite manualmente el Registro.
-
Intente unirse a un equipo que tenga instalada la actualización del 14 de marzo de 2023 o posterior. Asegúrese de que una de las cuentas enumeradas en la directiva es la propietaria de la cuenta de equipo. Asegúrese también de que su registro no tiene habilitada la clave NetJoinLegacyAccountReuse (establecida en 1). Si se produce un error en la unión al dominio, compruebe c:\windows\debug\netsetup.log.
Si aún necesita una solución alternativa, revise los flujos de trabajo de aprovisionamiento de cuentas de equipo y comprenda si se necesitan cambios.
-
Realice la operación de combinación con la misma cuenta que creó la cuenta de equipo en el dominio de destino.
-
Si la cuenta existente está obsoleta (sin usar), elimínela antes de intentar unirse de nuevo al dominio.
-
Cambie el nombre del equipo y únase con una cuenta diferente que aún no existe.
-
Si la cuenta existente es propiedad de una entidad de seguridad de confianza y un administrador quiere volver a usar la cuenta, sigue las instrucciones de la sección Tomar medidas para instalar la actualización de Windows de marzo de 2023 y configurar una lista de permitidos.
Instrucciones importantes para usar la clave del Registro NetJoinLegacyAccountReuse
Precaución: Si elige establecer esta clave para solucionar estas protecciones, dejará su entorno vulnerable a CVE-2022-38042 a menos que se haga referencia a su escenario a continuación según corresponda. No use este método sin la confirmación de que el creador o el propietario del objeto de equipo existente es una entidad de seguridad segura y de confianza.
Debido a la nueva directiva de grupo, ya no debería usar la clave del Registro NetJoinLegacyAccountReuse. Conservaremos la clave durante los próximos seis (6) meses, en caso de que necesite soluciones alternativas. Si no puede configurar el nuevo GPO en su escenario, le recomendamos que se pongan en contacto con Soporte técnico de Microsoft.
|
Ruta de acceso |
HKLM\System\CurrentControlSet\Control\LSA |
|
Tipo |
REG_DWORD |
|
Nombre |
NetJoinLegacyAccountReuse |
|
Valor |
1 Se pasan por alto otros valores. |
[10 de agosto de 2023 - Inicio]
Nota Microsoft quitará la compatibilidad con la configuración del Registro NetJoinLegacyAccountReuse en una futura actualización de Windows. Esta eliminación está programada provisionalmente para la actualización del 13 de febrero de 2024. Las fechas de lanzamiento están sujetas a cambios. [Fin - 10 de agosto de 2023]
No disolución
-
Después de instalar las actualizaciones del 14 de marzo de 2023 o posteriores en los equipos Y clientes del entorno, no use el registro NetJoinLegacyAccountReuse . En su lugar, siga los pasos de Tomar medida para configurar el nuevo GPO.
-
No agregue cuentas de servicio ni cuentas de aprovisionamiento al grupo de seguridad Administradores de dominio.
-
No edite manualmente el descriptor de seguridad de las cuentas de equipo para volver a definir la propiedad de dichas cuentas. Al editar el propietario, se habilitarán las nuevas comprobaciones para que se realicen correctamente, es posible que la cuenta del equipo conserve los mismos permisos potencialmente arriesgados y no deseados para el propietario original a menos que se revisen y quiten explícitamente.
-
No agregue la clave del Registro NetJoinLegacyAccountReuse a las imágenes del sistema operativo base, ya que solo debe agregarse temporalmente y quitarse directamente después de que se complete la unión al dominio.
Registros de eventos nuevos
|
Registro de eventos |
SISTEMA |
|
Origen del evento |
Netjoin |
|
Id. del evento |
4100 |
|
Tipos de eventos |
Informativo |
|
Texto del evento |
"Durante la unión a un dominio, el controlador de dominio contactado encontró una cuenta de equipo existente en Active Directory con el mismo nombre. Se permitió un intento de volver a usar esta cuenta. Controlador de dominio buscado: <nombre de controlador de dominio>DN cuenta de equipo existente: <ruta de acceso DN de> de cuenta de equipo. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obtener más información. |
|
Registro de eventos |
SYSTEM |
|
Origen del evento |
Netjoin |
|
Id. del evento |
4101 |
|
Tipos de eventos |
Error |
|
Texto del evento |
"Durante la unión a un dominio, el controlador de dominio contactado encontró una cuenta de equipo existente en Active Directory con el mismo nombre. Se ha impedido un intento de volver a usar esta cuenta por motivos de seguridad. Controlador de dominio buscado: DN de cuenta de equipo existente: el código de error se <código de error>. Vea https://go.microsoft.com/fwlink/?linkid=2202145 para obtener más información". |
El registro de depuración está disponible de forma predeterminada (no es necesario habilitar ningún registro detallado) en C:\Windows\Debug\netsetup.log en todos los equipos cliente.
Ejemplo del registro de depuración generado cuando se impide la reutilización de la cuenta por razones de seguridad:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nuevos eventos agregados en marzo de 2023
Esta actualización agrega cuatro (4) eventos nuevos en el registro system en el controlador de dominio como sigue:
|
Nivel de evento |
Informativo |
|
Id. de evento |
16995 |
|
Log |
SYSTEM |
|
Origen del evento |
Servicios de directorio-SAM |
|
Texto del evento |
El administrador de cuentas de seguridad usa el descriptor de seguridad especificado para la validación de intentos de reutilización de la cuenta del equipo durante la unión a un dominio. Valor SDDL: <> de cadena SDDL Esta lista de permitidos se configura a través de la directiva de grupo en Active Directory. Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nivel de evento |
Error |
|
Id. de evento |
16996 |
|
Log |
SYSTEM |
|
Origen del evento |
Servicios de directorio-SAM |
|
Texto del evento |
El descriptor de seguridad que contiene la lista de permitidos de la cuenta de equipo que se usa para validar la unión a un dominio de solicitudes de cliente tiene un formato incorrecto. Valor SDDL: <> de cadena SDDL Esta lista de permitidos se configura a través de la directiva de grupo en Active Directory. Para corregir este problema, un administrador deberá actualizar la directiva para establecer este valor en un descriptor de seguridad válido o deshabilitarlo. Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nivel de evento |
Error |
|
Id. de evento |
16997 |
|
Log |
SYSTEM |
|
Origen del evento |
Servicios de directorio-SAM |
|
Texto del evento |
El administrador de cuentas de seguridad encontró una cuenta de equipo que parece huérfana y no tiene un propietario existente. Cuenta de equipo: S-1-5-xxx Propietario de la cuenta de equipo: S-1-5-xxx Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nivel de evento |
Advertencia |
|
Id. de evento |
16998 |
|
Log |
SYSTEM |
|
Origen del evento |
Servicios de directorio-SAM |
|
Texto del evento |
El administrador de cuentas de seguridad rechazó una solicitud de cliente para volver a usar una cuenta de equipo durante la unión a un dominio. La cuenta del equipo y la identidad del cliente no cumplían las comprobaciones de validación de seguridad. Cuenta de cliente: S-1-5-xxx Cuenta de equipo: S-1-5-xxx Propietario de la cuenta de equipo: S-1-5-xxx Compruebe los datos del registro de este evento para el código de error NT. Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145 |
Si es necesario, netsetup.log puede proporcionar más información. Vea el ejemplo siguiente de un equipo de trabajo.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Si solo el cliente tiene la actualización del 14 de marzo de 2023 o posterior, la comprobación de la directiva de Active Directory devolverá 0x32 STATUS_NOT_SUPPORTED. Las comprobaciones anteriores que se implementaron en las revisiones de noviembre se aplicarán como se muestra a continuación.
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
