Huomautus: Päivitetty 13.8.2024; katso 13. elokuuta 2024 toiminta

Yhteenveto

11. lokakuuta 2022 ja sen jälkeen julkaistut Windows-päivitykset sisältävät lisäsuojauksia, jotka CVE-2022-38042 on ottanut käyttöön. Nämä suojaukset estävät tarkoituksellisesti toimialueeseen liittymistoimintoja käyttämästä uudelleen aiemmin luotua tietokonetiliä kohdetoimialueella, paitsi jos:

  • Käyttäjä, joka yrittää toimintoa, on olemassa olevan tilin luoja.

    Tai

  • Tietokoneen on luonut toimialueen järjestelmänvalvojien jäsen.

    Tai

  • Uudelleenkäytettävien tietokonetilien omistaja kuuluu toimialueen ohjauskoneeseen: Salli tietokonetilin uudelleenkäyttö toimialueeseen liittymisen aikana. Ryhmäkäytäntöasetus. Tämä asetus edellyttää 14. maaliskuuta 2023 tai sen jälkeen julkaistujen Windows-päivitysten asentamista KAIKKIIN jäsentietokoneisiin ja toimialueen ohjauskoneisiin.

Päivitykset, jotka on julkaistu 14. maaliskuuta 2023 ja 12. syyskuuta 2023 ja sen jälkeen, tarjoavat lisävaihtoehtoja windows server 2012 R2:n ja kaikkien tuettujen asiakkaiden asiakkaille, joita ongelma koskee. Lisätietoja on 11.10.2022 julkaistuissa toiminta- ja Toimintatoimet-osioissa .

Muistiinpano Tässä artikkelissa viitattiin aiemmin NetJoinLegacyAccountReuse-rekisteriavaimeen . 13. elokuuta 2024 alkaen tämä rekisteriavain ja sen tämän artikkelin viittaukset poistettiin. 

Toiminta ennen 11. lokakuuta 2022

Ennen kuin asennat 11. lokakuuta 2022 tai uudemmat kumulatiiviset päivitykset, asiakastietokone etsii Active Directorysta samannimistä tiliä. Tämä kysely suoritetaan toimialueeseen liittymisen ja tietokonetilien valmistelun aikana. Jos tällainen tili on olemassa, asiakas yrittää automaattisesti käyttää sitä uudelleen.

Muistiinpano Uudelleenkäyttöyritys epäonnistuu, jos toimialueen liittymistoimintoa yrittävällä käyttäjällä ei ole asianmukaisia kirjoitusoikeuksia. Jos käyttäjällä on kuitenkin riittävästi käyttöoikeuksia, toimialueeseen liittyminen onnistuu.

Toimialueeseen liittymiselle on kaksi skenaariota, joissa käytetään oletustoimintoja ja -merkintöjä seuraavasti:

11. lokakuuta 2022 -toiminta 

Kun olet asentanut 11. lokakuuta 2022 tai uudemman Windowsin kumulatiivisen päivityksen asiakastietokoneelle, asiakas suorittaa toimialueeseen liittymisen aikana lisäsuojaustarkistuksia ennen kuin yrittää käyttää aiemmin luotua tietokonetiliä uudelleen. Algoritmi:

  1. Tilin uudelleenkäyttöyritys on sallittu, jos toimintoa käyttävä käyttäjä on olemassa olevan tilin luoja.

  2. Tilin uudelleenkäyttöyritys on sallittu, jos tilin on luonut toimialueen järjestelmänvalvojien jäsen.

Nämä lisäsuojaustarkistukset tehdään ennen tietokoneeseen liittymistä. Jos tarkistukset onnistuvat, muut liittymistoiminnot ovat Active Directory -käyttöoikeuksien alaisia, kuten ennenkin.

Tämä muutos ei vaikuta uusiin tileihin.

Huomautus Kun olet asentanut 11. lokakuuta 2022 tai uudemmat Windowsin kumulatiiviset päivitykset, toimialueeseen liittyminen tietokonetilin uudelleenkäytöllä saattaa tarkoituksellisesti epäonnistua seuraavalla virheellä:

Virhe 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Active Directoryssa on samanniminen tili. Suojauskäytäntö esti tilin uudelleenkäytön."

Jos näin on, uusi toiminta suojaa tiliä tarkoituksellisesti.

Tapahtumatunnus 4101 käynnistyy, kun yllä oleva virhe ilmenee ja ongelma kirjataan sisään c:\windows\debug\netsetup.log. Noudata alla olevia ohjeita kohdassa Toimi, jotta ymmärrät virheen ja ratkaiset ongelman.

14. maaliskuuta 2023 -toiminta

Windows-päivityksissä, jotka julkaistiin 14. maaliskuuta 2023 tai sen jälkeen, olemme tehneet muutamia muutoksia suojauksen kovettumiseen. Nämä muutokset sisältävät kaikki muutokset, jotka teimme 11. lokakuuta 2022.

Laajensimme ensin niiden ryhmien laajuutta, jotka on vapautettu tästä kovettumisesta. Toimialueen järjestelmänvalvojien lisäksi yrityksen järjestelmänvalvojat ja sisäiset järjestelmänvalvojaryhmät on nyt vapautettu omistajuuden tarkistuksesta.

Toiseksi olemme ottaneet käyttöön uuden ryhmäkäytäntöasetuksen. Järjestelmänvalvojat voivat sen avulla määrittää sallittujen tietokonetilien omistajien luettelon. Tietokonetili ohittaa suojaustarkistuksen, jos jokin seuraavista on tosi:

  • Tilin omistaa käyttäjä, joka on määritetty luotetuksi omistajaksi Toimialueen ohjauskone: Salli tietokonetilin uudelleenkäyttö toimialueeseen liittymisen aikana -ryhmäkäytännössä.

  • Tilin omistaa käyttäjä, joka kuuluu ryhmään, joka on määritetty luotetuksi omistajaksi Toimialueen ohjauskone: Salli tietokonetilin uudelleenkäyttö toimialueeseen liittymisen aikana -ryhmäkäytännössä.

Jotta voit käyttää tätä uutta ryhmäkäytäntöä, toimialueen ohjauskoneella ja jäsentietokoneella on oltava 14. maaliskuuta 2023 tai uudempi päivitys asennettuna. Joillakin voi olla tiettyjä tilejä, joita käytät automaattisessa tietokonetilien luonnissa. Jos nämä tilit ovat turvassa väärinkäytöksiltä ja luotat heidän luottavan tietokonetilien luomiseen, voit vapauttaa ne. 11. lokakuuta 2022 julkaistut Windows-päivitykset lieventävät edelleen alkuperäistä haavoittuvuutta.

12. syyskuuta 2023 -toiminta

Windows-päivityksissä, jotka julkaistiin 12. syyskuuta 2023 tai sen jälkeen, olemme tehneet muutamia lisämuutoksia suojauksen kovennukseen. Nämä muutokset sisältävät kaikki muutokset, jotka teimme 11. lokakuuta 2022, ja muutokset 14. maaliskuuta 2023.

Korjattu ongelma, jossa toimialueeseen liittyminen älykorttitodennuksen avulla epäonnistui käytäntöasetuksesta riippumatta. Tämän ongelman korjaamiseksi siirsimme jäljellä olevat suojaustarkistukset takaisin toimialueen ohjauskoneeseen. Tämän vuoksi syyskuun 2023 suojauspäivityksen jälkeen asiakaskoneet soittamalla todennettuja SAMRPC-kutsuja toimialueen ohjauskoneeseen tietokonetilien uudelleenkäyttämiseen liittyvien suojaustarkistusten suorittamiseksi.

Tämä voi kuitenkin aiheuttaa toimialueen liittymisen epäonnistumisen ympäristöissä, joissa on määritetty seuraava käytäntö: Verkon käyttö: Asiakasohjelmien salliminen soittaa etäpuheluita SAM-verkkoon.  Katso "Tunnetut ongelmat" -osiosta lisätietoja tämän ongelman ratkaisemisesta.

13. elokuuta 2024 -toiminta

Windows-päivityksissä, jotka julkaistiin 13. elokuuta 2024 tai sen jälkeen, olemme korjanneet kaikki allowlist-käytännön yhteensopivuusongelmat. Myös NetJoinLegacyAccountReuse-avaimen tuki poistettiin. Jäykkymistoiminto säilyy näppäinasetuksesta riippumatta. Soveltuvat tavat poikkeusten lisäämiseksi on lueteltu alla olevassa Toimenpide-osassa. 

Toimi

Määritä uusi sallittujen luetteloiden käytäntö toimialueen ohjauskoneen ryhmäkäytännön avulla ja poista vanhat asiakaspuolen vaihtoehtoiset menetelmät. Toimi sitten seuraavasti:

  1. Sinun on asennettava 12. syyskuuta 2023 tai sitä uudemmat päivitykset kaikkiin jäsentietokoneisiin ja toimialueen ohjauskoneisiin. 

  2. Määritä asetukset alla olevissa vaiheissa uudessa tai aiemmin luodussa ryhmäkäytännössä, joka koskee kaikkia toimialueen ohjauskoneita.

  3. Kaksoisnapsauta Kohdassa Tietokoneasetukset\Käytännöt\Windows-asetukset\Suojausasetukset\Paikalliset käytännöt\Suojausasetukset Toimialueen ohjauskone: Salli tietokonetilin uudelleenkäyttö toimialueeseen liittymisen aikana.

  4. Valitse Määritä tämä käytäntöasetus ja <Muokkaa suojausta...>.

  5. Objektinvalitsimen avulla voit lisätä käyttäjät tai luotettujen tietokonetilien luottajien ja omistajien ryhmät Salli-käyttöoikeuksiin. (Parhaana käytäntönä suosittelemme, että käytät käyttöoikeuksissa ryhmiä.) Älä lisää käyttäjätiliä, joka suorittaa toimialueeseen liittymisen.

    Varoitus: Rajoita käytännön jäsenyys luotettuihin käyttäjiin ja palvelutileihin. Älä lisää tähän käytäntöön todennettuja käyttäjiä, kaikkia tai muita suuria ryhmiä. Lisää sen sijaan tietyt luotetut käyttäjät ja palvelutilit ryhmiin ja lisää nämä ryhmät käytäntöön.

  6. Odota ryhmäkäytännön päivitysväliä tai suorita gpupdate /force kaikissa toimialueen ohjauskoneissa.

  7. Varmista, että HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" -rekisteriavaimeen on täytetty haluttu SDDL. Älä muokkaa rekisteriä manuaalisesti.

  8. Yritä liittyä tietokoneeseen, johon on asennettu 12. syyskuuta 2023 tai uudempia päivityksiä. Varmista, että jokin käytännössä luetelluista tileistä omistaa tietokonetilin. Jos toimialueeseen liittyminen epäonnistuu, tarkista c:\windows\debug\netsetup.log.

Jos tarvitset edelleen vaihtoehtoisen menetelmän, tarkista tietokonetilin valmistelutyönkulut ja ymmärrä, tarvitaanko muutoksia. 

  1. Suorita liittymistoiminto käyttämällä samaa tiliä, joka loi kohdetoimialueeseen tietokonetilin.

  2. Jos aiemmin luotu tili on käyttämätön, poista se ennen kuin yrität liittyä toimialueeseen uudelleen.

  3. Nimeä tietokone uudelleen ja liity siihen käyttämällä toista tiliä, jota ei vielä ole olemassa.

  4. Jos olemassa olevan tilin omistaa luotettu suojauspäämies ja järjestelmänvalvoja haluaa käyttää tiliä uudelleen, asenna syyskuun 2023 tai sitä uudemmat Windows-päivitykset noudattamalla Toimet-osion ohjeita ja määritä sallittujen luettelo.

Ei-ratkaisut

  • Älä lisää palvelutilejä tai valmistelutilejä Toimialueen järjestelmänvalvojien käyttöoikeusryhmään.

  • Älä muokkaa tietokonetilien suojauskuvainta manuaalisesti, jos haluat määrittää uudelleen tällaisten tilien omistajuuden, ellei edellistä omistajatiliä ole poistettu. Kun omistajaa muokataan, uudet tarkistukset onnistuvat, mutta tietokonetilillä voi olla samat mahdollisesti riskialttiit ja ei-toivotut käyttöoikeudet alkuperäiselle omistajalle, ellei sitä erikseen tarkisteta ja poisteta.

Uudet tapahtumalokit

Tapahtumaloki

JÄRJESTELMÄ  

Tapahtumalähde

Netjoin

Tapahtumatunnus

4100

Tapahtumatyyppi

Tiedottava

Tapahtuman teksti

"Toimialueeseen liittymisen aikana toimialueen ohjauskone, johon yhteys on otettu, löysi active directorysta olemassa olevan samannimisen tietokonetilin.

Tämän tilin uudelleenkäyttö on sallittu.

Toimialueen ohjauskone haettu: <toimialueen ohjauskoneen nimi>Olemassa oleva tietokonetili DN: <DN-polku tietokonetilin>. Lisätietoja on https://go.microsoft.com/fwlink/?linkid=2202145 kohdassa.

Tapahtumaloki

JÄRJESTELMÄ

Tapahtumalähde

Netjoin

Tapahtumatunnus

4101

Tapahtumatyyppi

Virhe

Tapahtuman teksti

Toimialueeseen liittymisen aikana toimialueen ohjauskone, johon yhteys on otettu, löysi aiemmin luodun tietokonetilin Active Directorysta samannimisenä. Yritys käyttää tätä tiliä uudelleen estettiin tietoturvasyistä. Toimialueen ohjauskone etsi: Olemassa oleva tietokonetili DN: Virhekoodi oli <virhekoodi>. Lisätietoja on https://go.microsoft.com/fwlink/?linkid=2202145 kohdassa.

Virheenkorjausloki on oletusarvoisesti käytettävissä (mitään yksityiskohtaista kirjaamista ei tarvitse ottaa käyttöön) kohteessa C:\Windows\Debug\netsetup.log kaikissa asiakastietokoneissa.

Esimerkki virheenkorjauslokista, joka luodaan, kun tilin uudelleenkäyttö estetään tietoturvasyistä:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Maaliskuussa 2023 lisätyt uudet tapahtumat 

Tämä päivitys lisää neljä (4) uutta tapahtumaa toimialueen ohjauskoneen JÄRJESTELMÄ-lokiin seuraavasti:

Tapahtumataso

Tiedottava

Tapahtumatunnus

16995

Loki

JÄRJESTELMÄ

Tapahtumalähde

Directory-Services-SAM

Tapahtuman teksti

Suojaustilien hallinta käyttää määritettyä suojauskuvainta tietokonetilin uudelleenkäyttöyritysten tarkistamiseen toimialueeseen liittymisen aikana.

SDDL-arvo: <SDDL-merkkijonon>

Tämä sallittujen luettelo määritetään Active Directoryn ryhmäkäytännön avulla.

Lisätietoja on http://go.microsoft.com/fwlink/?LinkId=2202145.

Tapahtumataso

Virhe

Tapahtumatunnus

16996

Loki

JÄRJESTELMÄ

Tapahtumalähde

Directory-Services-SAM

Tapahtuman teksti

Suojauskuvain, joka sisältää tietokonetilin uudelleenkäytön sallitun luettelon, jota käytetään asiakaspyyntöjen toimialueen liittymisen vahvistamiseen, on virheellinen.

SDDL-arvo: <SDDL-merkkijonon>

Tämä sallittujen luettelo määritetään Active Directoryn ryhmäkäytännön avulla.

Tämän ongelman korjaamiseksi järjestelmänvalvojan on päivitettävä käytäntö, jotta hän voi määrittää tämän arvon kelvolliseen suojauskuvaukseen tai poistaa sen käytöstä.

Lisätietoja on http://go.microsoft.com/fwlink/?LinkId=2202145.

Tapahtumataso

Virhe

Tapahtumatunnus

16997

Loki

JÄRJESTELMÄ

Tapahtumalähde

Directory-Services-SAM

Tapahtuman teksti

Suojaustilien hallinta löysi tietokonetilin, joka näyttää olevan orpo ja jolla ei ole olemassa olevaa omistajaa.

Tietokonetili: S-1-5-xxx

Tietokonetilin omistaja: S-1-5-xxx

Lisätietoja on http://go.microsoft.com/fwlink/?LinkId=2202145.

Tapahtumataso

Varoitus

Tapahtumatunnus

16998

Loki

JÄRJESTELMÄ

Tapahtumalähde

Directory-Services-SAM

Tapahtuman teksti

Suojaustilien hallinta hylkäsi asiakaspyynnön tietokonetilin uudelleenkäytöstä toimialueeseen liittymisen aikana.

Tietokonetili ja asiakkaan tunnistetiedot eivät täyttäneet suojauksen tarkistamisen tarkistuksia.

Asiakastili: S-1-5-xxx

Tietokonetili: S-1-5-xxx

Tietokonetilin omistaja: S-1-5-xxx

Tarkista tämän tapahtuman tietuetiedot NT-virhekoodin varalta.

Lisätietoja on http://go.microsoft.com/fwlink/?LinkId=2202145.

Tarvittaessa netsetup.log voi antaa lisätietoja.

Tunnetut ongelmat

Ongelma 1

Kun olet asentanut 12. syyskuuta 2023 tai uudemmat päivitykset, toimialueeseen liittyminen voi epäonnistua ympäristöissä, joissa on määritetty seuraava käytäntö: Verkkoyhteys - Asiakasohjelmien salliminen soittaa etäpuheluita SAM-verkkoon - Windowsin suojaus | Microsoft Learn. Tämä johtuu siitä, että asiakaskoneet tekevät nyt todennettuja SAMRPC-kutsuja toimialueen ohjauskoneeseen tietokonetilien uudelleenkäyttämiseen liittyvien suojauksen tarkistusten suorittamiseksi.     Tämä on odotettavissa. Tämän muutoksen huomioon ottamiseksi järjestelmänvalvojien on joko säilytettävä toimialueen ohjauskoneen SAMRPC-käytäntö oletusasetuksissa tai nimenomaisesti sisällytettävä käyttäjäryhmä, joka suorittaa toimialueeseen liittymisen SDDL-asetuksissa, jotta he voivat myöntää heille käyttöoikeuden. 

Esimerkki netsetup.log, jossa tämä ongelma ilmeni:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Ongelma 2

Jos tietokoneen omistajatili on poistettu ja tietokonetiliä yritetään käyttää uudelleen, tapahtuma 16997 kirjataan järjestelmän tapahtumalokiin. Jos näin käy, voit määrittää omistusoikeuden uudelleen toiselle tilille tai ryhmälle.

Ongelma 3

Jos vain asiakkaalla on 14. maaliskuuta 2023 tai uudempi päivitys, Active Directory -käytännön tarkistus palauttaa 0x32 STATUS_NOT_SUPPORTED. Marraskuun hotfix-korjauksissa tehdyt aiemmat tarkistukset otetaan käyttöön alla esitetyllä tavalla:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.