Padoms.: Lai skatītu jauno vai pārskatīto 2024. gada janvāra saturu, skatiet raksta tagus [2024. gada janvāris — Sākums] un [Beigas — 2024. gada janvāris].
Kopsavilkums
Windows atjauninājumi, kas izlaisti 2022. gada 11. oktobrī un kas izlaisti pēc tam, satur CVE-2022-38042 ieviestos papildu aizsardzībus. Šīs aizsardzības apzināti neļauj domēna pievienošanas operācijām atkārtoti izmantot mērķa domēnā esošu datora kontu, ja vien:
-
Lietotājs, kas mēģina veikt operāciju, ir esošā konta izveidotājs.
Vai
-
Datoru izveidoja domēna administratoru dalībnieks.
Vai
-
Atkārtoti izmantotā datora konta īpašnieks ir domēna kontrollera "Domēna kontrollera: atļaut datora konta atkārtotu izmantošanu domēna pievienošanas laikā" dalībnieks. grupas politika iestatījumu. Šim iestatījumam ir nepieciešama Windows atjauninājumu instalēšana, kas izlaista 2023. gada 14. martā vai pēc tam, VISOS dalībnieku datoros un domēnu kontrolleros.
Atjauninājumi izlaista 2023. gada 14. martā un 2023. gada 12. septembrī, nodrošinās papildu opcijas ietekmētajiem klientiem sistēmā Windows Server 2012 R2 un visos atbalstītajos klientos. Papildinformāciju skatiet 2022. gada 11 . oktobra darbībā un sadaļā Rīcība .
Darbība pirms 2022. gada 11. oktobra
Pirms 2022. gada 11. oktobra vai jaunāku atjauninājumu instalēšanas klienta dators pieprasa Active Directory esošam kontam ar tādu pašu nosaukumu. Šis vaicājums tiek izpildīts domēna pievienošanas un datora konta nodrošināšanas laikā. Ja šāds konts pastāv, klients automātiski mēģinās to izmantot atkārtoti.
Piezīme Atkārtotas izmantošanas mēģinājums neizdosies, ja lietotājam, kurš mēģina veikt domēna savienošanu, nav atbilstošo rakstīšanas atļauju. Tomēr, ja lietotājam ir pietiekami daudz atļauju, domēna pievienošana ir sekmīga.
Pastāv divi scenāriji domēna savienojumam ar attiecīgi noklusējuma darbībām un karodziņiem, kā norādīts tālāk.
-
Domain Join (NetJoinDomain)
-
Noklusējums konta atkārtotai izmantošanai ( ja NETSETUP_NO_ACCT_REUSE norādīts karodziņš)
-
-
Kontu nodrošināšana (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Noklusējums NO atkārtotai izmantošanai ( ja NETSETUP_PROVISION_REUSE_ACCOUNT nav norādīta vērtība.)
-
2022. gada 11. oktobra darbība
Pēc 2022. gada 11. oktobra vai jaunāku Windows kumulatīvo atjauninājumu instalēšanas klienta datorā domēna pievienošanas laikā klients veiks papildu drošības pārbaudes, pirms mēģināsit atkārtoti izmantot esošu datora kontu. Algoritms:
-
Konta atkārtotas izmantošanas mēģinājums tiks atļauts, ja lietotājs mēģinās veikt darbību ar esošā konta veidotāju.
-
Konta atkārtotas izmantošanas mēģinājums tiks atļauts, ja kontu ir izveidojis domēna administratoru dalībnieks.
Šīs papildu drošības pārbaudes tiek veiktas pirms pievienošanās datoram. Ja pārbaudes ir sekmīgas, uz pārējo pievienošanās operāciju attiecas Active Directory atļaujas kā iepriekš.
Šīs izmaiņas neietekmē jaunos kontus.
Piezīme Pēc 2022. gada 11. oktobra vai jaunāku Windows kumulatīvo atjauninājumu instalēšanas domēna savienojums ar datora kontu atkārtoti var būt tīšām neizdoties ar šādu kļūdu:
Kļūdas 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Pakalpojumā Active Directory ir konts ar tādu pašu nosaukumu. Konta atkārtota izmantošana tika bloķēta ar drošības politiku."
Šādā gadījumā kontu ar nolūku aizsargā jaunā darbība.
Notikuma ID 4101 tiek aktivizēts, tiklīdz rodas iepriekš minētā kļūda, un problēma tiks reģistrēta c:\windows\atkļūdošanas\netsetup.log. Veiciet tālāk norādītās darbības rakstā Rīcība, lai izprastu neveiksmi un novērstu problēmu.
2023. gada 14. marta darbība
Windows atjauninājumos, kas izlaisti 2023. gada 14. martā vai pēc tam, mēs veicām dažas izmaiņas drošības drošībai. Šīs izmaiņas ietver visas izmaiņas, ko veicām 2022. gada 11. oktobrī.
Vispirms mēs paplašinājām to grupu tvērumu, kuras ir atbrīvotas no šīs rūcības. Papildus domēnu administratoriem, uzņēmuma administratoriem un iebūvētajām administratoru grupām tagad nav jāpārbauda īpašumtiesības.
Otrkārt, mēs ieviesām jaunu grupas politika iestatījumu. Administratori to var izmantot, lai norādītu uzticamu datoru kontu īpašnieku atļauto sarakstu. Datora konts apiet drošības pārbaudi, ja ir spēkā viens no šiem nosacījumiem:
-
Konts pieder lietotājam, kas domēna kontrollerī domēna kontrollerī ir norādīts kā uzticams īpašnieks, un tādējādi tiek grupas politika.
-
Konts pieder lietotājam, kurš ir grupas dalībnieks, kas domēna kontrollerī kā uzticams īpašnieks ir norādīts grupas "Domēna kontrolleris: atļaut datora kontu atkārtoti izmantot domēna pievienošanas laikā" grupas politika.
Lai izmantotu šo jauno grupas politika, domēna kontrollerim un dalībnieka datoram vienmēr jābūt instalētam 2023. gada 14. marta vai jaunākas versijas atjauninājumam. Dažiem no jums var būt konkrēti konti, kurus izmantojat automatizētā datora konta izveidei. Ja šo kontu izmantošana ir droša pret ļaunprātīgu izmantošanu un uzticaties viņiem, lai izveidotu datora kontus, varat tos atbrīvot. Jūs joprojām būsiet aizsargāts pret sākotnējo ievainojamību, ko novērš 2022. gada 11. oktobra Windows atjauninājumi.
2023. gada 12. septembra darbība
Windows atjauninājumos, kas izlaisti 2023. gada 12. septembrī vai pēc tam, mēs veicām dažas papildu izmaiņas drošības drošībai. Šīs izmaiņas ietver visas izmaiņas, ko veicām 2022. gada 11. oktobrī, un izmaiņas no 2023. gada 14. marta.
No tika novērsta problēma, kur domēna pievienošana, izmantojot viedkartes autentifikāciju, neizdevās neatkarīgi no politikas iestatījuma. Lai novērstu šo problēmu, pārējās drošības pārbaudes pārvietojām atpakaļ uz domēna kontrolleri. Tāpēc pēc 2023. gada septembra drošības atjauninājuma klientu datori autentificē SAMRPC izsauc domēna kontrollerim drošības validācijas pārbaudes, kas saistītas ar datoru kontu atkārtotu izmantotāju.
Tomēr tas var izraisīt domēna savienojuma atteici vidē, kurā iestatīta šāda politika: Tīkla piekļuve: Ierobežot klientu piekļuvi attālajiem zvaniem uz SAM. Informāciju par to, kā novērst šo problēmu, skatiet sadaļā "Zināmās problēmas".
Mēs arī plānojam nākamajā Windows atjauninājumā noņemt sākotnējo NetJoinLegacyAccountReuse reģistra iestatījumu. [2024. gada janvāris — sākums]Šī noņemšana ir varbūtēji ieplānota atjauninājumam, sākot ar 2024. gada 13. augustu. Izlaides datumi var mainīties. [Beigas — 2024. gada janvāris]
Piezīme Ja klientiem izvietojāt atslēgu NetJoinLegacyAccountReuse un iestatījāt to kā 1. vērtību, jums šī atslēga ir jānoņem (vai jāiestata uz 0), lai varētu izmantot jaunākās izmaiņas.
Rīcība
Konfigurējiet jauno atļauto sarakstu politiku, grupas politika domēna kontrollerī un noņemiet visus mantotos klienta puses risinājumus. Pēc tam rīkojieties šādi:
-
2023. gada 12. septembra vai jaunākas versijas atjauninājumi ir jāinstalē visos dalībnieku datoros un domēnu kontrolleros.
-
Jaunā vai esošā grupas politikā, kas attiecas uz visiem domēna kontrolleriem, konfigurējiet iestatījumus tālāk esošajās darbībās.
-
Sadaļā Datora konfigurācija\Politikas\Windows Iestatījumi\Drošības iestatījumi\Lokālās politikas\Drošības opcijas veiciet dubultklikšķi uz Domēna kontrolleris: atļaut datora konta atkārtotu izmantošanu domēna pievienošanas laikā.
-
Atlasiet Definēt šo politikas iestatījumu un <Rediģēt drošību...>.
-
Izmantojiet objektu atlasītāju, lai atļauju atļautu pievienot uzticamu datoru kontu veidotājus un īpašniekus vai grupu lietotājus vai grupas. (Ieteicams izmantot grupas atļauju apmaiņai.) Ne pievienojiet lietotāja kontu, kas veic domēna pievienošanos.
Brīdinājums.: Ierobežot dalību politikā tikai uzticamiem lietotājiem un pakalpojumu kontiem. Šai politikai ne pievienot autentificētus lietotājus, ne visas, ne citas lielas grupas. Tā vietā pievienojiet grupai konkrētus uzticamus lietotājus un pakalpojumu kontus un pievienojiet šīs grupas politikai.
-
Uzgaidiet, līdz tiek grupas politika atsvaidzināšanas intervāls vai jāpalaiž gpupdate/force visās domēna kontrolleros.
-
Pārliecinieties, vai HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" reģistra atslēga tiek aizpildīta ar vēlamo SDDL. Nerediģējat reģistru manuāli.
-
Mēģiniet pievienoties datoram, kurā ir instalēti 2023. gada 12. septembra vai jaunākas versijas atjauninājumi. Nodrošiniet, lai vienam no politikā minētajiem kontiem būtu datora konta īpašumtiesības. Pārliecinieties arī, vai tā reģistrā nav iespējota atslēga NetJoinLegacyAccountReuse (iestatīta uz 1). Ja domēna pievienošana neizdodas, pārbaudiet izvēles rūtiņu c:\windows\atkļūdot\netsetup.log.
Ja jums joprojām ir nepieciešams alternatīvs risinājums, pārskatiet datora konta nodrošināšanas darbplūsmas un saprotiet, vai ir nepieciešamas izmaiņas.
-
Veiciet pievienošanās darbību, izmantojot to pašu kontu, kas mērķa domēnā izveidoja datora kontu.
-
Ja esošais konts ir novecošs (neizmantots), izdzēsiet to, pirms mēģināt pievienoties domēnam vēlreiz.
-
Pārdēvējiet datoru un pievienojieties, izmantojot citu kontu, kurš vēl nepastāv.
-
Ja esošais konts pieder uzticamam drošības pamatsummai un administrators vēlas atkārtoti izmantot kontu, izpildiet sadaļā Darbība norādītās darbības norādījumus, lai instalētu 2023. gada septembra vai jaunāku Windows atjauninājumu un konfigurētu atļauto vienumu sarakstu.
Svarīgi norādījumi par NetJoinLegacyAccountReuse reģistra atslēgas lietošanu
Brīdinājums.: Ja izvēlēsities iestatīt šo atslēgu, lai apietu šo aizsardzību, jūsu vide būs neaizsargāta pret CVE-2022-38042, ja vien jūsu scenārijs nav atbilstoši norādīts tālāk. Neizmantojiet šo metodi bez apstiprinājuma, ka esošā datora objekta izveidotājs/īpašnieks ir drošs un uzticams drošības pamatsumma.
Pateicoties jaunajai grupas politika, vairs nevajadzētu izmantot reģistra atslēgu NetJoinLegacyAccountReuse. [2024. gada janvāris — sākums]Mēs saglabāsim atslēgu tuvākajiem vairākiem mēnešiem, ja jums būs nepieciešami risinājumi. [Beigas — 2024. gada janvāris]Ja savā scenārijā nevarat konfigurēt jauno GPO, iesakām sazināties ar Microsoft atbalsta dienestu.
|
Ceļš |
HKLM\System\CurrentControlset\Control\LSA |
|
Veids |
REG_DWORD |
|
Nosaukums |
NetJoinLegacyAccountReuse |
|
Vērtība |
1 Citas vērtības tiek ignorētas. |
PiezīmeMicrosoft noņems atbalstu NetJoinLegacyAccountReuse reģistra iestatījumam nākamajā Windows atjauninājumā. [2024. gada janvāris — sākums]Šī noņemšana ir varbūtēji ieplānota atjauninājumam, sākot ar 2024. gada 13. augustu. Izlaides datumi var mainīties. [Beigas — 2024. gada janvāris]
Nesolutions
-
Pēc 2023. gada 12. septembra vai jaunāku atjauninājumu instalēšanas DC un klientiem vidē neizmantojiet reģistru NetJoinLegacyAccountReuse . Tā vietā izpildiet darbības, kas veicamas, lai konfigurētu jauno GPO.
-
Ne add service accounts or provisioning accounts to the Domain Admins security group.
-
Nerediģējat drošības deskriptoru datora kontos, mēģinot atkārtoti definēt šādu kontu īpašumtiesības, ja vien iepriekšējais īpašnieka konts nav izdzēsts. Rediģējot īpašnieku, jaunās pārbaudes ļaus gūt panākumus, datora konts, iespējams, saglabās to pašu iespējamo risku, nevajadzīgas atļaujas sākotnējam īpašniekam, ja vien nav tieši pārskatītas un noņemtas.
-
Neatzīmējiet NetJoinLegacyAccountReuse reģistra atslēgu, lai bāzētu OS attēlus, jo atslēga ir tikai īslaicīgi jāpievieno un pēc tam jānoņem tieši pēc domēna savienojuma pabeigšanas.
Jauni notikumu žurnāli
|
Notikumu žurnāls |
SYSTEM |
|
Notikuma avots |
Netjoin |
|
Notikuma ID |
4100 |
|
Notikuma tips |
Informaīvs |
|
Notikuma teksts |
"Domēna pievienošanas laikā domēna kontrolleris, ar kuru sazinājās, atrada esošu datora kontu pakalpojumā Active Directory ar tādu pašu nosaukumu. Tika atļauts atkārtoti izmantot šo kontu. Domēna kontrollera meklēšana: <domēna kontrollera nosaukuma>Esošā datora konta DN: <DN ceļš datora kontam>. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2202145 šeit: Citi. |
|
Notikumu žurnāls |
SYSTEM |
|
Notikuma avots |
Netjoin |
|
Notikuma ID |
4101 |
|
Notikuma tips |
Kļūda |
|
Notikuma teksts |
Domēna pievienošanas laikā domēna kontrolleris, ar kuru sazinājās, atrada esošu datora kontu pakalpojumā Active Directory ar tādu pašu nosaukumu. Drošības apsvērumu dēļ tika novērsts mēģinājums atkārtoti izmantot šo kontu. Domēna kontrollera meklēšana: esošā datora konta DN: Kļūdas kods tika <koda>. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2202145 šeit: Citi. |
Atkļūdošanas reģistrēšana ir pieejama pēc noklusējuma (nav jāiespējo verbose reģistrēšana) C:\Windows\Atkļūdošanas\netsetup.log visos klientu datoros.
Atkļūdošanas reģistrēšanas piemērs, kas ģenerēts, ja konta atkārtota izmantošana ir novērsta drošības apsvērumu dēļ:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
2023. gada martā pievienoti jauni notikumi
Šajā atjauninājumā tiek pievienotas četras (4) jaunas notikumi SYSTEM žurnālā domēna kontrollerī šādi:
|
Notikuma līmenis |
Informaīvs |
|
Notikuma ID |
16995 |
|
Log |
SYSTEM |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma teksts |
Drošības konta pārvaldnieks izmanto norādīto drošības deskriptoru datora konta atkārtotas izmantošanas mēģinājumu validācijai domēna pievienošanās laikā. SDDL vērtība: <SDDL virknes> Šis atļauto vienumu saraksts tiek konfigurēts, izmantojot grupas politiku pakalpojumā Active Directory. Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Notikuma līmenis |
Kļūda |
|
Notikuma ID |
16996 |
|
Log |
SYSTEM |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma teksts |
Drošības vienums, kas satur datora konta atkārtotas lietošanas atļauto vienumu sarakstu, kas tiek izmantots, lai validētu klientu pieprasījumu domēna savienojumu, ir nepareizi formatēts. SDDL vērtība: <SDDL virknes> Šis atļauto vienumu saraksts tiek konfigurēts, izmantojot grupas politiku pakalpojumā Active Directory. Lai novērstu šo problēmu, administratoram ir jāatjaunina politika, lai iestatītu šo vērtību kā derīgu drošības deskriptoru vai to atspējotu. Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Notikuma līmenis |
Kļūda |
|
Notikuma ID |
16997 |
|
Log |
SYSTEM |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma teksts |
Drošības konta pārvaldnieks atrada datora kontu, kas šķiet bez īpašnieka un kam nav esoša īpašnieka. Datora konts: S-1-5-xxx Datora konta īpašnieks: S-1-5-xxx Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Notikuma līmenis |
Brīdinājums |
|
Notikuma ID |
16998 |
|
Log |
SYSTEM |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma teksts |
Drošības kontu pārvaldnieks noraidīja klienta pieprasījumu atkārtoti izmantot datora kontu domēna pievienošanās laikā. Datora konts un klienta identitāte neatbilda drošības validācijas pārbaudēm. Klienta konts: S-1-5-xxx Datora konts: S-1-5-xxx Datora konta īpašnieks: S-1-5-xxx Pārbaudiet šī notikuma ierakstu datus, lai iegūtu NT kļūdas kodu. Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ja nepieciešams, netsetup.log var sniegt papildinformāciju. Skatiet tālāk esošo piemēru no darba datora.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Zināmās problēmas
|
1. problēma |
Pēc 2023. gada 12. septembra atjauninājumu instalēšanas domēna savienojums var neizdoties vidē, kur iestatīta šāda politika: Tīkla piekļuve — Ierobežot klientu piekļuvi attāliem zvaniem uz SAM — Windows drošība | Microsoft iemācieties. Tas ir tāpēc, ka klienta datori tagad veic autentificētu SAMRPC zvanus domēna kontrollerim, lai veiktu drošības validācijas pārbaudes saistībā ar datoru kontu atkārtotu pārbaudi. Piemērs no netsetup.log, kur radās šī problēma: |
|
2. problēma |
Ja datora īpašnieka konts ir izdzēsts un notiek mēģinājums atkārtoti izmantot datora kontu, sistēmas notikumu žurnālā tiek reģistrēts notikums 16997. Ja tā notiek, ir pietiekami atkārtoti piešķirt īpašumtiesības citam kontam vai grupai. |
|
3. problēma |
Ja tikai klientam ir 2023. gada 14. marta vai jaunākas versijas atjauninājums, Active Directory politikas pārbaude atgriezīs 0x32 STATUS_NOT_SUPPORTED. Iepriekšējās pārbaudes, kas tika ieviestas novembra labojumfailos, tiks lietotas, kā parādīts tālāk. |
