KB5020276 — Netjoin : modifications du renforcement de la jonction de domaine

Résumé

Les mises à jour Windows publiées à partir du 11 octobre 2022 contiennent des protections supplémentaires introduites par CVE-2022-38042. Ces protections empêchent intentionnellement les opérations de jointure de domaine de réutiliser un compte d’ordinateur existant dans le domaine cible, sauf si :

L’utilisateur qui tente l’opération est le créateur du compte existant.

Ou
L’ordinateur a été créé par un membre des administrateurs de domaine.

Ou

Le propriétaire du compte d’ordinateur réutilisé est membre du « Contrôleur de domaine : Autoriser la réutilisation du compte d’ordinateur lors de la jonction de domaine ». stratégie de groupe paramètre. Ce paramètre nécessite l’installation des mises à jour Windows publiées à partir du 14 mars 2023 sur TOUS les ordinateurs membres et contrôleurs de domaine.

Mises à jour publiées entre le 14 mars 2023 et le 12 septembre 2023, fourniront des options supplémentaires pour les clients concernés sur Windows Server 2012 R2 et versions ultérieures et tous les clients pris en charge. Pour plus d’informations, consultez les sections Comportement du 11 octobre 2022 et Agir .

Comportement avant le 11 octobre 2022

Avant d’installer les mises à jour cumulatives du 11 octobre 2022 ou ultérieures, l’ordinateur client interroge Active Directory pour obtenir un compte existant portant le même nom. Cette requête se produit lors de la jonction de domaine et de l’approvisionnement de compte d’ordinateur. S’il existe un tel compte, le client tente automatiquement de le réutiliser.

RemarqueLa tentative de réutilisation échoue si l’utilisateur qui tente l’opération de jointure de domaine ne dispose pas des autorisations d’écriture appropriées. Toutefois, si l’utilisateur dispose d’autorisations suffisantes, la jonction de domaine réussit.

Il existe deux scénarios pour la jointure de domaine avec des comportements et des indicateurs par défaut respectifs comme suit :

Jonction de domaine (NetJoinDomain)
- Réutilisation du compte par défaut (sauf si NETSETUP_NO_ACCT_REUSE indicateur est spécifié)
Provisionnement de compte (NetProvisionComputerAccountNetCreateProvisioningPackage).
- La valeur par défaut est AUCUNE réutilisation (sauf si NETSETUP_PROVISION_REUSE_ACCOUNT est spécifié.)

Comportement du 11 octobre 2022

Une fois que vous avez installé les mises à jour cumulatives Windows du 11 octobre 2022 ou ultérieures sur un ordinateur client, pendant la jonction de domaine, le client effectue des vérifications de sécurité supplémentaires avant de tenter de réutiliser un compte d’ordinateur existant. Algorithme:

La tentative de réutilisation du compte est autorisée si l’utilisateur qui tente l’opération est le créateur du compte existant.
La tentative de réutilisation du compte est autorisée si le compte a été créé par un membre des administrateurs de domaine.

Ces vérifications de sécurité supplémentaires sont effectuées avant de tenter de joindre l’ordinateur. Si les vérifications réussissent, le reste de l’opération de jointure est soumis aux autorisations Active Directory comme précédemment.

Cette modification n’affecte pas les nouveaux comptes.

Remarque Après avoir installé les mises à jour cumulatives Windows du 11 octobre 2022 ou ultérieures, la jonction de domaine avec la réutilisation du compte d’ordinateur peut échouer intentionnellement avec l’erreur suivante :

Erreur 0xaac (2732) : NERR_AccountReuseBlockedByPolicy : « Un compte portant le même nom existe dans Active Directory. La réutilisation du compte a été bloquée par la stratégie de sécurité. »

Si c’est le cas, le compte est intentionnellement protégé par le nouveau comportement.

L’ID d’événement 4101 est déclenché une fois que l’erreur ci-dessus se produit et que le problème est enregistré dans c :\windows\debug\netsetup.log. Suivez les étapes ci-dessous dans Prendre des mesures pour comprendre l’échec et résoudre le problème.

Comportement du 14 mars 2023

Dans les mises à jour Windows publiées le ou après le 14 mars 2023, nous avons apporté quelques modifications au renforcement de la sécurité. Ces modifications incluent toutes les modifications que nous avons apportées au 11 octobre 2022.

Tout d’abord, nous avons étendu la portée des groupes qui sont exemptés de ce renforcement. En plus des administrateurs de domaine, les groupes Administrateurs d’entreprise et Administrateurs intégrés sont désormais exemptés de la propriété case activée.

Deuxièmement, nous avons implémenté un nouveau paramètre stratégie de groupe. Les administrateurs peuvent l’utiliser pour spécifier une liste verte de propriétaires de comptes d’ordinateur approuvés. Le compte d’ordinateur contourne le case activée de sécurité si l’une des conditions suivantes est vraie :

Le compte appartient à un utilisateur spécifié en tant que propriétaire approuvé dans le stratégie de groupe « Contrôleur de domaine : Autoriser la réutilisation du compte d’ordinateur lors de la jonction de domaine ».
Le compte appartient à un utilisateur membre d’un groupe spécifié en tant que propriétaire approuvé dans le stratégie de groupe « Contrôleur de domaine : autoriser la réutilisation du compte d’ordinateur lors de la jonction de domaine ».

Pour utiliser cette nouvelle stratégie de groupe, la mise à jour du 14 mars 2023 ou ultérieure doit être installée de manière cohérente sur le contrôleur de domaine et l’ordinateur membre. Certains d’entre vous peuvent avoir des comptes particuliers que vous utilisez dans la création automatisée de comptes d’ordinateur. Si ces comptes sont protégés contre les abus et que vous leur faites confiance pour créer des comptes d’ordinateur, vous pouvez les exempter. Vous serez toujours en sécurité contre la vulnérabilité d’origine atténuée par les mises à jour Windows du 11 octobre 2022.

^{Comportement du 12 septembre 2023}

Dans les mises à jour Windows publiées le ou après le 12 septembre 2023, nous avons apporté quelques modifications supplémentaires au renforcement de la sécurité. Ces modifications incluent toutes les modifications que nous avons apportées au 11 octobre 2022 et celles du 14 mars 2023.

Nous avons résolu un problème où la jonction de domaine à l’aide de l’authentification smart carte a échoué, quel que soit le paramètre de stratégie. Pour résoudre ce problème, nous avons déplacé les vérifications de sécurité restantes vers le contrôleur de domaine. Par conséquent, à la suite de la mise à jour de sécurité de septembre 2023, les ordinateurs clients effectuent des appels SAMRPC authentifiés au contrôleur de domaine pour effectuer des vérifications de validation de sécurité liées à la réutilisation des comptes d’ordinateur.

Toutefois, cela peut entraîner l’échec de la jonction de domaine dans les environnements où la stratégie suivante est définie : Accès réseau : Restreindre les clients autorisés à effectuer des appels distants à SAM. Pour plus d’informations sur la résolution de ce problème, consultez la section « Problèmes connus ».

Nous prévoyons également de supprimer le paramètre de Registre NetJoinLegacyAccountReuse d’origine dans une prochaine mise à jour Windows. [Janvier 2024 - Début]Cette suppression est provisoirement prévue pour la mise à jour du 13 août 2024. Les dates de publication sont susceptibles d’être modifiées. [Fin - janvier 2024]

RemarqueSi vous avez déployé la clé NetJoinLegacyAccountReuse sur vos clients et que vous la définissez sur la valeur 1, vous devez maintenant supprimer cette clé (ou la définir sur 0) pour tirer parti des dernières modifications.

Procédure à suivre

Configurez la nouvelle stratégie de liste verte à l’aide de la stratégie de groupe sur un contrôleur de domaine et supprimez toutes les solutions de contournement côté client héritées. Ensuite, procédez comme suit :

Vous devez installer les mises à jour du 12 septembre 2023 ou ultérieures sur tous les ordinateurs membres et contrôleurs de domaine.
Dans une stratégie de groupe nouvelle ou existante qui s’applique à tous les contrôleurs de domaine, configurez les paramètres dans les étapes ci-dessous.
Sous Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité, double-cliquez sur Contrôleur de domaine : Autoriser la réutilisation du compte d’ordinateur lors de la jonction de domaine.
Sélectionnez Définir ce paramètre de stratégie et <Modifier la sécurité...>.
Utilisez le sélecteur d’objets pour ajouter des utilisateurs ou des groupes de créateurs et de propriétaires de comptes d’ordinateur approuvés à l’autorisation Autoriser . (Comme meilleure pratique, nous vous recommandons vivement d’utiliser des groupes pour les autorisations.) N’ajoutez pas le compte d’utilisateur qui effectue la jonction de domaine.

Avertissement : Limitez l’appartenance à la stratégie aux utilisateurs approuvés et aux comptes de service. N’ajoutez pas d’utilisateurs authentifiés, de tout le monde ou d’autres grands groupes à cette stratégie. Au lieu de cela, ajoutez des utilisateurs approuvés et des comptes de service spécifiques à des groupes, puis ajoutez ces groupes à la stratégie.
Attendez l’intervalle d’actualisation stratégie de groupe ou exécutez gpupdate /force sur tous les contrôleurs de domaine.
Vérifiez que la clé de Registre HKLM\System\CCS\Control\SAM – « ComputerAccountReuseAllowList » est remplie avec le SDDL souhaité. Ne modifiez pas manuellement le Registre.
Essayez de joindre un ordinateur sur lequel les mises à jour du 12 septembre 2023 ou ultérieures sont installées. Vérifiez que l’un des comptes répertoriés dans la stratégie est propriétaire du compte d’ordinateur. Vérifiez également que la clé NetJoinLegacyAccountReuse de son registre n’est pas activée (définie sur 1). Si la jointure de domaine échoue, case activée c :\windows\debug\netsetup.log.

Si vous avez toujours besoin d’une autre solution de contournement, passez en revue les flux de travail d’approvisionnement de compte d’ordinateur et déterminez si des modifications sont nécessaires.

Effectuez l’opération de jointure à l’aide du même compte que celui qui a créé le compte d’ordinateur dans le domaine cible.
Si le compte existant est obsolète (inutilisé), supprimez-le avant de réessayer de joindre le domaine.
Renommez l’ordinateur et joignez-vous à l’aide d’un autre compte qui n’existe pas déjà.
Si le compte existant appartient à un principal de sécurité approuvé et qu’un administrateur souhaite réutiliser le compte, suivez les instructions de la section Prendre des mesures pour installer les mises à jour Windows de septembre 2023 ou ultérieures et configurer une liste verte.

Conseils importants pour l’utilisation de la clé de Registre NetJoinLegacyAccountReuse

Attention : Si vous choisissez de définir cette clé pour contourner ces protections, vous laisserez votre environnement vulnérable à CVE-2022-38042, sauf si votre scénario est référencé ci-dessous le cas échéant. N’utilisez pas cette méthode sans confirmation que le créateur/propriétaire de l’objet ordinateur existant est un principal de sécurité sécurisé et approuvé.

En raison de la nouvelle stratégie de groupe, vous ne devez plus utiliser la clé de Registre NetJoinLegacyAccountReuse. [Janvier 2024 - Début]Nous conserverons la clé pour les prochains mois au cas où vous auurez besoin de solutions de contournement. [Fin - janvier 2024]Si vous ne pouvez pas configurer le nouvel objet de stratégie de groupe dans votre scénario, nous vous encourageons vivement à contacter Support Microsoft.

Chemin d'accès	HKLM\System\CurrentControlSet\Control\LSA
Type	REG_DWORD
Nom	NetJoinLegacyAccountReuse
Valeur	1 Les autres valeurs sont ignorées.

Remarque Microsoft supprimera la prise en charge du paramètre de Registre NetJoinLegacyAccountReuse dans une prochaine mise à jour de Windows. [Janvier 2024 - Début]Cette suppression est provisoirement prévue pour la mise à jour du 13 août 2024. Les dates de publication sont susceptibles d’être modifiées. [Fin - janvier 2024]

Non-solutions

Après avoir installé les mises à jour du 12 septembre 2023 ou ultérieures sur les contrôleurs de domaine et les clients dans l’environnement, n’utilisez pas le registre NetJoinLegacyAccountReuse . Au lieu de cela, suivez les étapes décrites dans Prendre des mesures pour configurer le nouvel objet de stratégie de groupe.
N’ajoutez pas de comptes de service ou de comptes d’approvisionnement au groupe de sécurité Administrateurs du domaine.
Ne modifiez pas manuellement le descripteur de sécurité sur les comptes d’ordinateur dans le but de redéfinir la propriété de ces comptes, sauf si le compte de propriétaire précédent a été supprimé. Bien que la modification du propriétaire permette aux nouvelles vérifications de réussir, le compte d’ordinateur peut conserver les mêmes autorisations potentiellement risquées et indésirables pour le propriétaire d’origine, sauf si elle est explicitement examinée et supprimée.
N’ajoutez pas la clé de Registre NetJoinLegacyAccountReuse aux images de système d’exploitation de base, car la clé ne doit être ajoutée que temporairement, puis supprimée directement une fois la jonction de domaine terminée.

Nouveaux journaux des événements

Journal des événements	SYSTÈME
Source de l’événement	Netjoin
ID d’événement	4100
Type d’événement	Information
Texte de l’événement	« Lors de la jonction de domaine, le contrôleur de domaine contacté a trouvé un compte d’ordinateur existant dans Active Directory portant le même nom. Une tentative de réutilisation de ce compte a été autorisée. Contrôleur de domaine recherché : <nom du contrôleur de domaine>Nom de domaine du compte d’ordinateur existant : <chemin DN du compte d’ordinateur>. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2202145.

Journal des événements	SYSTEM
Source de l’événement	Netjoin
ID d’événement	4101
Type d’événement	Error
Texte de l’événement	Lors de la jonction de domaine, le contrôleur de domaine contacté a trouvé un compte d’ordinateur existant dans Active Directory portant le même nom. Une tentative de réutilisation de ce compte a été empêchée pour des raisons de sécurité. Contrôleur de domaine recherché : nom de domaine du compte d’ordinateur existant : le code d’erreur a été <code d’erreur>. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2202145.

La journalisation du débogage est disponible par défaut (il n’est pas nécessaire d’activer une journalisation détaillée) dans C :\Windows\Debug\netsetup.log sur tous les ordinateurs clients.

Exemple de journalisation de débogage générée lorsque la réutilisation du compte est empêchée pour des raisons de sécurité :

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nouveaux événements ajoutés en mars 2023

Cette mise à jour ajoute quatre (4) nouveaux événements dans le journal SYSTEM sur le contrôleur de domaine comme suit :

Niveau d’événement	Information
ID d’événement	16995
Journal	SYSTEM
Source de l’événement	Directory-Services-SAM
Texte de l’événement	Le gestionnaire de compte de sécurité utilise le descripteur de sécurité spécifié pour la validation des tentatives de réutilisation de compte d’ordinateur lors de la jonction de domaine. Valeur SDDL : <chaîne SDDL> Cette liste verte est configurée par le biais d’une stratégie de groupe dans Active Directory. Pour plus d’informations, consultez http://go.microsoft.com/fwlink/?LinkId=2202145.

Niveau d’événement	Error
ID d’événement	16996
Journal	SYSTEM
Source de l’événement	Directory-Services-SAM
Texte de l’événement	Le descripteur de sécurité qui contient la liste verte de réutilisation du compte d’ordinateur utilisée pour valider la jonction de domaine des demandes clientes est incorrect. Valeur SDDL : <chaîne SDDL> Cette liste verte est configurée par le biais d’une stratégie de groupe dans Active Directory. Pour corriger ce problème, un administrateur doit mettre à jour la stratégie pour définir cette valeur sur un descripteur de sécurité valide ou la désactiver. Pour plus d’informations, consultez http://go.microsoft.com/fwlink/?LinkId=2202145.

Niveau d’événement	Error
ID d’événement	16997
Journal	SYSTEM
Source de l’événement	Directory-Services-SAM
Texte de l’événement	Le gestionnaire de compte de sécurité a trouvé un compte d’ordinateur qui semble orphelin et qui n’a pas de propriétaire existant. Compte d’ordinateur : S-1-5-xxx Propriétaire du compte d’ordinateur : S-1-5-xxx Pour plus d’informations, consultez http://go.microsoft.com/fwlink/?LinkId=2202145.

Niveau d’événement	Avertissement
ID d’événement	16998
Journal	SYSTEM
Source de l’événement	Directory-Services-SAM
Texte de l’événement	Le gestionnaire de compte de sécurité a rejeté une demande cliente de réutilisation d’un compte d’ordinateur lors de la jonction de domaine. Le compte d’ordinateur et l’identité du client n’ont pas satisfait aux vérifications de validation de sécurité. Compte client : S-1-5-xxx Compte d’ordinateur : S-1-5-xxx Propriétaire du compte d’ordinateur : S-1-5-xxx Vérifiez les données d’enregistrement de cet événement pour le code d’erreur NT. Pour plus d’informations, consultez http://go.microsoft.com/fwlink/?LinkId=2202145.

Si nécessaire, netsetup.log peut fournir plus d’informations. Consultez l’exemple ci-dessous à partir d’un ordinateur de travail.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Problèmes connus

Problème 1

Après l’installation des mises à jour du 12 septembre 2023 ou ultérieures, la jonction de domaine peut échouer dans les environnements où la stratégie suivante est définie : Accès réseau - Restreindre les clients autorisés à effectuer des appels distants à SAM - Sécurité Windows | Microsoft Learn. Cela est dû au fait que les ordinateurs clients effectuent désormais des appels SAMRPC authentifiés au contrôleur de domaine pour effectuer des vérifications de validation de sécurité liées à la réutilisation des comptes d’ordinateur.

C’est normal. Pour prendre en charge cette modification, les administrateurs doivent conserver la stratégie SAMRPC du contrôleur de domaine dans les paramètres par défaut ou inclure explicitement le groupe d’utilisateurs effectuant la jointure de domaine dans les paramètres SDDL pour leur accorder l’autorisation.

Exemple d’un fichier netsetup.log où ce problème s’est produit :

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problème 2

Si le compte du propriétaire de l’ordinateur a été supprimé et qu’une tentative de réutilisation du compte d’ordinateur se produit, l’événement 16997 est enregistré dans le journal des événements système. Si cela se produit, il est possible de ré-attribuer la propriété à un autre compte ou groupe.

Problème 3

Si seul le client dispose de la mise à jour du 14 mars 2023 ou ultérieure, le case activée de stratégie Active Directory retourne 0x32 STATUS_NOT_SUPPORTED. Les vérifications précédentes qui ont été implémentées dans les correctifs logiciels de novembre s’appliquent comme indiqué ci-dessous :

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac