Savjet: Da biste pregledali novi ili revidirani sadržaj iz rujna 2023., pročitajte oznake [Rujan 2023. – Start] i [Kraj – rujan 2023.] u članku.
Sažetak
Ažuriranja sustava Windows objavljena 11. listopada 2022. i nakon toga sadrže dodatne zaštite koje je uveo CVE-2022-38042. Te zaštite namjerno onemogunjuju operacijama pridruživanja domeni ponovno korištenje postojećeg računa računala u ciljnoj domeni, osim ako:
-
Korisnik koji je pokušao operaciju autor je postojećeg računa.
Ili
-
Računalo je stvorio član administratora domene.
Ili
-
Vlasnik računa računala koji se ponovno koristi član je kontrolera domene: Dopusti ponovno korištenje računa računala tijekom pridruživanja domeni." pravilnik grupe postavku. Za tu je postavku potrebna instalacija ažuriranja sustava Windows objavljenih 14. ožujka 2023. ili kasnije na svim računalima i domenski kontrolerima.
Ažuriranja objavljen 14. ožujka 2023. i 12. rujna 2023. pružit će dodatne mogućnosti zahvaćenim korisnicima u sustavu Windows Server 2012 R2 i novijim i svim podržanim klijentima. Dodatne informacije potražite u odjeljcima Ponašanje od 11. listopada 2022 . i Radnja .
Ponašanje prije 11. listopada 2022.
Prije nego što instalirate kumulativna ažuriranja od 11. listopada 2022. ili novija, klijentsko računalo upitit će Active Directory za postojeći račun s istim nazivom. Taj se upit pojavljuje tijekom pridruživanja domeni i dodjele resursa računu računala. Ako takav račun postoji, klijent će ga automatski pokušati ponovno koristiti.
Napomena Pokušaj ponovnog korištenja neće uspjeti ako korisnik koji pokuša operaciju pridruživanja domeni nema odgovarajuće dozvole za pisanje. No ako korisnik ima dovoljno dozvola, pridruživanje domeni će uspjeti.
Dva su scenarija za pridruživanje domeni s odgovarajućim zadanim ponašanjem i zastavicama na sljedeći način:
-
Pridruživanje domeni (NetJoinDomain)
-
Zadano ponovno korištenje računa (osim ako NETSETUP_NO_ACCT_REUSE navedena zastavica)
-
-
Dodjela resursa računu (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Zadano na NE ponovno korištenje ( osim NETSETUP_PROVISION_REUSE_ACCOUNT nije navedeno.)
-
Ponašanje 11. listopada 2022.
Kada instalirate kumulativna ažuriranja sustava Windows od 11. listopada 2022. ili novija na klijentskom računalu, tijekom pridruživanja domeni klijent će provesti dodatne sigurnosne provjere prije ponovnog korištenja postojećeg računa računala. Algoritam:
-
Pokušaj ponovnog korištenja računa bit će dopušten ako je korisnik koji pokušava izvesti operaciju autor postojećeg računa.
-
Pokušaj ponovnog korištenja računa bit će dopušten ako je račun stvorio član administratora domene.
Te se dodatne sigurnosne provjere izvršavaju prije pokušaja pridruživanja računalu. Ako su provjere uspješne, ostatak operacije pridruživanja podliježe dozvolama servisa Active Directory kao i prije.
Ta promjena ne utječe na nove račune.
Napomena Nakon instalacije kumulativnih ažuriranja za Windows od 11. listopada 2022. ili novije verzije, ponovno korištenje domene s računom računala možda neće uspjeti uz sljedeću pogrešku:
Pogreška 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Račun s istim nazivom postoji u servisu Active Directory. Ponovno korištenje računa blokirano je sigurnosnim pravilnikom."
Ako je tako, račun je namjerno zaštićen novim ponašanjem.
ID događaja 4101 aktivirat će se kada se pojavi pogreška iznad i problem će se prijaviti u c:\windows\debug\netsetup.log. Slijedite korake u nastavku u odjeljku Poduzmi radnju da biste razumjeli neuspjeh i riješili problem.
14. ožujka 2023.
U ažuriranjima sustava Windows objavljenima 14. ožujka 2023. ili kasnije unijeli smo nekoliko promjena u otegu sigurnosti. Te promjene obuhvaćaju sve promjene koje smo unijeli 11. listopada 2022.
Najprije smo proširili opseg grupa koje su izuzete od tog oteživanja. Osim administratora domene, administratori u tvrtki ili ustanovi i grupe ugrađenih administratora sada su izuzeti iz provjere vlasništva.
Drugo, implementirani smo novu pravilnik grupe postavke. Administratori ga mogu koristiti tako da navedu popis dopuštenih vlasnika računa pouzdanih računala. Račun računala zaobilazi sigurnosnu provjeru ako je istinito nešto od sljedećeg:
-
Račun je u vlasništvu korisnika koji je naveden kao pouzdani vlasnik u odjeljku "Domain controller: Allow computer account re-use during domain join" (Kontroler domene: dopusti ponovno korištenje računa računala tijekom pridruživanja domeni) pravilnik grupe.
-
Račun je u vlasništvu korisnika koji je član grupe određene kao pouzdani vlasnik u odjeljku "Domain controller: Allow computer account re-use during domain join" (Kontroler domene: Dopusti ponovno korištenje računa računala tijekom pridruživanja domeni) pravilnik grupe.
Da biste koristili tu novu pravilnik grupe, kontroler domene i računalo članova moraju dosljedno imati instalirano ažuriranje od 14. ožujka 2023. ili novije. Neki od vas možda imaju određene račune koje koristite pri automatskom stvaranju računa računala. Ako su ti računi sigurni od zloupotrebe i smatrate ih pouzdanima za stvaranje računa računala, možete ih izuzeti. I dalje ćete biti sigurni od izvorne ranjivosti umanjite ažuriranjem sustava Windows od 11. listopada 2022.
[rujan 2023. – Start]
Ponašanje 12. rujna 2023.
U ažuriranjima sustava Windows objavljenima 12. rujna 2023. ili kasnije izvršili smo nekoliko dodatnih promjena u poboljšanju sigurnosti. Te promjene obuhvaćaju sve promjene koje smo unijeli u listopadu 11. listopada 2022. i promjene od 14. ožujka 2023.
Riješili smo problem zbog kojeg pridruživanje domeni pomoću provjere autentičnosti pametne kartice nije uspjelo bez obzira na postavku pravilnika. Da bismo riješili taj problem, preostale sigurnosne provjere vratili smo na domenski kontroler. Stoga nakon sigurnosnog ažuriranja za rujan 2023. klijentska računala provjeravaju autentičnost SAMRPC poziva domenskom kontroleru radi provjere sigurnosne provjere valjanosti povezane s ponovnim korištenjem računa računala.
No to može uzrokovati neuspjeh pridruživanja domeni u okruženjima u kojima je postavljen sljedeći pravilnik: pristup mreži: ograničavanje klijenata radi udaljenih poziva samu. Informacije o rješavanju tog problema potražite u odjeljku "Poznati problemi".
Planiramo i ukloniti izvornu postavku registra NetJoinLegacyAccountReuse u budućem ažuriranju sustava Windows. Ovo je uklanjanje uvjetno zakazano za ažuriranje od 13. veljače 2024. Datumi izdanja podložni su promjenama. [End – rujan 2023.]
Napomena Ako ste implementirati ključ NetJoinLegacyAccountReuse na klijentima i postavite ga na vrijednost 1, sada morate ukloniti taj ključ (ili ga postaviti na 0) da biste imali koristi od najnovijih promjena.
Akcija
Konfigurirajte novi pravilnik popisa dopuštenih putem pravilnik grupe na domenskom kontroleru i uklonite sva naslijeđena klijentska zaobilazna rješenja. Zatim učinite sljedeće:
-
Ažuriranja od 12. rujna 2023. ili novije morate instalirati na sva računala članova i domenski kontroleri.
-
U novom ili postojećem pravilniku grupe koji se odnosi na sve kontrolere domene konfigurirajte postavke u koracima u nastavku.
-
U odjeljku Konfiguracija računala\Pravilnici\Postavke sustava Windows\Sigurnosne postavke\Lokalni pravilnici\ Sigurnosne mogućnosti dvokliknite Domenski kontroler: Dopusti ponovno korištenje računa računala tijekom pridruživanja domeni.
-
Odaberite Definiraj ovu postavku pravilnika i <Uređivanje sigurnosti...>.
-
Pomoću alata za odabir objekata korisnicima ili grupama pouzdanih autora računa i vlasnika računala dodajte dozvolu Dopusti . (Preporučujemo da kao najbolju praksu koristite grupe za dozvole.) Nemojte dodavati korisnički račun koji izvodi pridruživanje domeni.
Upozorenje: Ograničite članstvo na pravilnik na pouzdane korisnike i račune servisa. U pravilnik nemojte dodavati provjerene korisnike, sve ili druge velike grupe. Umjesto toga dodajte određene pouzdane korisnike i račune servisa u grupe i dodajte te grupe u pravilnik.
-
Pričekajte da se pravilnik grupe interval osvježavanja ili pokrenite gpupdate /force na svim domenski kontrolerima.
-
Provjerite je li ključ registra HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" popunjen željenim SDDL-om. Registar nemojte ručno uređivati.
-
Pokušajte se pridružiti računalu na kojem su instalirana ažuriranja od 12. rujna 2023. ili novija. Provjerite je li jedan od računa navedenih u pravilniku vlasnik računa računala. Provjerite i nije li u registru omogućen ključ NetJoinLegacyAccountReuse (postavljen na 1). Ako pridruživanje domeni ne uspije, provjerite c:\windows\debug\netsetup.log.
Ako vam je i dalje potrebno alternativno zaobilazno rješenje, pregledajte tijekove rada za dodjelu resursa računa računala i provjerite jesu li potrebne promjene.
-
Operaciju pridruživanja provedite pomoću istog računa koji je stvorio račun računala u ciljnoj domeni.
-
Ako je postojeći račun u mirovanju (ne koristi se), izbrišite ga prije ponovnog pokušaja pridruživanja domeni.
-
Preimenujte računalo i pridružite se pomoću drugog računa koji već ne postoji.
-
Ako je postojeći račun u vlasništvu pouzdanog upravitelja sigurnosti i administrator želi ponovno koristiti račun, slijedite upute u odjeljku Poduzmi akciju da biste instalirali ažuriranja za Rujan 2023. ili novije verzije sustava Windows i konfigurirali popis dopuštenih.
Važne smjernice za korištenje ključa registra NetJoinLegacyAccountReuse
Oprez: Ako odlučite postaviti taj ključ za zaobilaženje tih zaštita, vaše će okruženje biti izloženo CVE-2022-38042, osim ako se vaš scenarij prema potrebi ne referencira u nastavku. Nemojte koristiti ovu metodu bez potvrde da je autor/vlasnik postojećeg računalnog objekta siguran i pouzdan upravitelj sigurnosti.
Zbog nove pravilnik grupe više ne biste trebali koristiti ključ registra NetJoinLegacyAccountReuse. Ključ ćemo sačuvati za sljedeća četiri (4) mjeseca u slučaju da su vam potrebna zaobilazna rješenja. Ako ne možete konfigurirati novi GPO u scenariju, preporučujemo vam da se obratite Microsoftovoj podršci.
|
Put |
HKLM\System\CurrentControlSet\Control\LSA |
|
Vrsta |
REG_DWORD |
|
Naziv |
NetJoinLegacyAccountReuse |
|
Vrijednost |
1 Ostale se vrijednosti zanemaruju. |
NapomenaMicrosoft će ukloniti podršku za postavku registra NetJoinLegacyAccountReuse u budućem ažuriranju sustava Windows. Ovo je uklanjanje uvjetno zakazano za ažuriranje od 13. veljače 2024. Datumi izdanja podložni su promjenama.
Nesolucije
-
Kada instalirate ažuriranja od 12. rujna 2023. ili novija na DC-ove i klijente u okruženju, nemojte koristiti registar NetJoinLegacyAccountReuse . Umjesto toga, slijedite korake u odjeljku Poduzmi akciju da biste konfigurirali novi GPO.
-
Nemojte dodavati račune servisa ni dodjele resursa u sigurnosnu grupu administratora domene.
-
Nemojte ručno uređivati opisnik sigurnosti na računalnim računima u pokušaju da ponovno definirate vlasništvo nad takvim računima, osim ako prethodni vlasnički račun nije izbrisan. Prilikom uređivanja vlasnika omogućit će se uspješne nove provjere, račun računala može zadržati iste potencijalno riskantne, neželjene dozvole za izvornog vlasnika, osim ako ih izričito ne pregledate i uklonite.
-
Nemojte dodati ključ registra NetJoinLegacyAccountReuse za osnovne slike OS-a jer je ključ potrebno privremeno dodati, a zatim ukloniti izravno nakon dovršetka pridruživanja domeni.
Novi zapisnici događaja
|
Zapisnik događaja |
SUSTAV |
|
Izvor događaja |
Netjoin |
|
ID događaja |
4100 |
|
Vrsta događaja |
Informativne |
|
Tekst događaja |
"Tijekom pridruživanja domeni kontrolor domene s kontaktom pronašao je postojeći račun računala u servisu Active Directory s istim nazivom. Dopušten je pokušaj ponovnog korištenja tog računa. Pretraživanje kontrolora domene: <naziv kontrolora domene>Postojeći račun računala DN: <DN put računa računala>. Dodatne https://go.microsoft.com/fwlink/?linkid=2202145 potražite u članku. |
|
Zapisnik događaja |
SUSTAV |
|
Izvor događaja |
Netjoin |
|
ID događaja |
4101 |
|
Vrsta događaja |
Pogreška |
|
Tekst događaja |
Tijekom pridruživanja domeni s kontrolorom domene pronađen je postojeći račun računala u servisu Active Directory s istim nazivom. Pokušaj ponovnog korištenja ovog računa je onemogućen iz sigurnosnih razloga. Pretražili smo domenski kontroler: postojeći račun računala DN: kod pogreške <kod pogreške>. Dodatne https://go.microsoft.com/fwlink/?linkid=2202145 potražite u članku. |
Zapisivanje pogrešaka po zadanom je dostupno (nije potrebno omogućiti opširno zapisivanje) u C:\Windows\Ispravljanje pogrešaka\netsetup.log na svim klijentskim računalima.
Primjer zapisivanja pogrešaka generiranog kada je ponovno korištenje računa onemogućeno iz sigurnosnih razloga:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Novi događaji dodani u ožujku 2023.
Ovo ažuriranje dodaje četiri (4) nova događaja u zapisnik SUSTAVA na kontroloru domene na sljedeći način:
|
Razina događaja |
Informativne |
|
ID događaja |
16995 |
|
Prijavite |
SUSTAV |
|
Izvor događaja |
Imenički servisi- SAM |
|
Tekst događaja |
Upravitelj sigurnosnog računa koristi navedeni sigurnosni opisnik za provjeru valjanosti pokušaja ponovnog korištenja računa računala tijekom pridruživanja domeni. SDDL vrijednost: <nizova SDDL> Ovaj popis dopuštenih konfiguracija je putem pravilnika grupe u servisu Active Directory. Dodatne informacije potražite u članku http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Razina događaja |
Pogreška |
|
ID događaja |
16996 |
|
Prijavite |
SUSTAV |
|
Izvor događaja |
Imenički servisi- SAM |
|
Tekst događaja |
Opisnik sigurnosti koji sadrži popis dopuštenih ponovnih korištenja računa računala koji se koristi za provjeru valjanosti pridruživanja domeni klijentskih zahtjeva nije valjan. SDDL vrijednost: <nizova SDDL> Ovaj popis dopuštenih konfiguracija je putem pravilnika grupe u servisu Active Directory. Da bi ispravio taj problem, administrator će morati ažurirati pravilnik da bi tu vrijednost postavio na valjani sigurnosni opisnik ili ga onemogućio. Dodatne informacije potražite u članku http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Razina događaja |
Pogreška |
|
ID događaja |
16997 |
|
Prijavite |
SUSTAV |
|
Izvor događaja |
Imenički servisi- SAM |
|
Tekst događaja |
Upravitelj sigurnosnog računa pronašao je račun računala koji se čini napuštenim i nema postojećeg vlasnika. Račun računala: S-1-5-xxx Vlasnik računa računala: S-1-5-xxx Dodatne informacije potražite u članku http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Razina događaja |
Upozorenje |
|
ID događaja |
16998 |
|
Prijavite |
SUSTAV |
|
Izvor događaja |
Imenički servisi- SAM |
|
Tekst događaja |
Upravitelj sigurnosnog računa odbio je klijentski zahtjev za ponovnim korištenjem računa računala tijekom pridruživanja domeni. Račun računala i identitet klijenta nisu zadovoljavali sigurnosne provjere valjanosti. Klijentski račun: S-1-5-xxx Račun računala: S-1-5-xxx Vlasnik računa računala: S-1-5-xxx Provjerite podatke zapisa ovog događaja za kôd pogreške NT. Dodatne informacije potražite u članku http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ako je potrebno, netsetup.log može dati dodatne informacije. Pogledajte primjer u nastavku s radnog računala.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Poznati problemi
|
1. problem |
Nakon instalacije ažuriranja od 12. rujna 2023. ili novije, pridruživanje domeni možda neće uspjeti u okruženjima u kojima je postavljen sljedeći pravilnik: Pristup mreži – ograničavanje klijenata koji smiju upućivati udaljene pozive SAM-u – Sigurnost u sustavu Windows | Microsoft Learn. To je zato što klijentska računala sada provjeravaju autentičnost SAMRPC poziva kontroloru domene radi provjere valjanosti sigurnosti povezane s ponovnim korištenjem računa računala. Primjer iz netsetup.log gdje se taj problem pojavio: |
|
Drugi problem |
Ako je račun vlasnika računala izbrisan, a dogodi se pokušaj ponovnog korištenja računa računala, događaj 16997 bit će zapisan u zapisnik događaja sustava. Ako se to dogodi, možete ponovno dodijeliti vlasništvo drugom računu ili grupi. |
|
Treći problem |
Ako samo klijent ima ažuriranje od 14. ožujka 2023. ili novije, provjera pravilnika servisa Active Directory vratit će se 0x32 STATUS_NOT_SUPPORTED. Prethodne provjere implementirani u hitnim popravcima za studeni primijenit će se kao što je prikazano u nastavku: |
