Uwaga: Zaktualizowano 13.08.2024 r.; zobacz zachowanie z 13 sierpnia 2024 r.
Podsumowanie
Aktualizacje systemu Windows wydane 11 października 2022 r. zawierają dodatkowe zabezpieczenia wprowadzone przez program CVE-2022-38042. Te zabezpieczenia celowo uniemożliwiają operacjom dołączania do domeny ponowne używanie istniejącego konta komputera w domenie docelowej, chyba że:
-
Użytkownik próbujący podjąć operację jest twórcą istniejącego konta lub
-
Komputer został utworzony przez członka administratora domeny lub
-
Właściciel konta komputera, którego użyto ponownie, jest członkiem "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny". zasady grupy ustawienie. To ustawienie wymaga zainstalowania aktualizacji systemu Windows wydanych 14 marca 2023 r. lub później na wszystkich komputerach członków i kontrolerach domeny.
Aktualizacje wydana 14 marca 2023 r. i 12 września 2023 r. będzie udostępniać dodatkowe opcje dla klientów, których dotyczy problem, na Windows Server 2012 R2 i nowszych oraz wszystkich obsługiwanych klientów. Aby uzyskać więcej informacji, zobacz sekcje Zachowanie z 11 października 2022 r. i Wykonywanie akcji .
Uwaga: Ten artykuł wcześniej odwoływał się do klucza rejestru NetJoinLegacyAccountReuse . Od 13 sierpnia 2024 r. ten klucz rejestru i jego odwołania w tym artykule zostały usunięte.
Zachowanie przed 11 października. 2022
Przed zainstalowaniem aktualizacji zbiorczych z 11 października 2022 r. lub nowszych klient wysyła zapytanie do usługi Active Directory dla istniejącego konta o tej samej nazwie. To zapytanie występuje podczas dołączania do domeny i inicjowania obsługi konta komputera. Jeśli takie konto istnieje, klient automatycznie podejmie próbę jego ponownego użycia.
Uwaga: Próba ponownego użycia nie będzie działać, jeśli użytkownik, który podejmie próbę dołączenia do domeny, nie ma odpowiednich uprawnień zapisu. Jeśli jednak użytkownik ma wystarczająco dużo uprawnień, sprzężenie do domeny zakończy się pomyślnie.
Są to dwa scenariusze sprzężenia domeny z odpowiednimi zachowaniami domyślnymi i flagami w następujący sposób:
-
Przyłączanie do domeny (NetJoinDomain)
-
Domyślny sposób ponownego użycia konta (o ile nie określono flagi NETSETUP_NO_ACCT_REUSE )
-
-
Inicjowanie obsługi klienta (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Domyślnie nie należy ponownie używać (o ile nie określono NETSETUP_PROVISION_REUSE_ACCOUNT).
-
Zachowanie z 11 października 2022 r.
Po zainstalowaniu aktualizacji zbiorczych systemu Windows z 11 października 2022 r. lub nowszych na komputerze klienckim podczas dołączania do domeny klient wykona dodatkowe testy zabezpieczeń przed podjęciem próby ponownego użycia istniejącego konta komputera. Algorytm:
-
Próba ponownego użycia konta będzie dozwolona, jeśli użytkownik próbujący podjąć operację jest twórcą istniejącego konta.
-
Próba ponownego użycia konta będzie dozwolona, jeśli konto zostało utworzone przez członka administratora domeny.
Te dodatkowe testy zabezpieczeń są wykonywane przed próbą dołączenia do komputera. Jeśli testy zostaną zakończone pomyślnie, pozostała część operacji sprzężenia będzie podlegać uprawnieniom usługi Active Directory, tak jak wcześniej.
Ta zmiana nie ma wpływu na nowe konta.
Uwagi:
-
Po zainstalowaniu aktualizacji zbiorczych systemu Windows z 11 października 2022 r. lub nowszych, dołączanie do domeny przy użyciu ponownego użycia konta komputera może celowo przestać działać z następującym błędem:
-
0xaac błędu (2732): NERR_AccountReuseBlockedByPolicy: "W usłudze Active Directory istnieje konto o tej samej nazwie. Ponowne użycie konta zostało zablokowane przez zasady zabezpieczeń".
-
Jeśli tak, konto jest celowo chronione przez nowe zachowanie.
-
Identyfikator zdarzenia 4101 zostanie wyzwolony po wystąpieniu powyższego błędu, a problem zostanie zarejestrowany w \netsetup.log c:\windows\debugowania. Wykonaj poniższe czynności w sekcji Wykonywanie akcji , aby zrozumieć błąd i rozwiązać problem.
Zachowanie z 14 marca 2023 r.
W aktualizacjach systemu Windows wydanych 14 marca 2023 r. lub później wprowadziliśmy kilka zmian w zaostrzaniu zabezpieczeń. Zmiany te obejmują wszystkie zmiany wprowadzone 11 października 2022 r.
Po pierwsze, rozszerzyliśmy zakres grup, które są zwolnione z tego hartowania. Oprócz administratorów domeny grupy Administratorzy przedsiębiorstwa i Administratorzy wbudowani są teraz zwolnione z kontroli własności.
Po drugie, wdrożyliśmy nowe ustawienie zasady grupy. Za jego pomocą administratorzy mogą określić listę dozwolonych zaufanych właścicieli kont komputerów. Konto komputera ominie sprawdzanie zabezpieczeń, jeśli jest spełniony jeden z następujących warunków:
Konto jest własnością użytkownika określonego jako zaufany właściciel w zasady grupy "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny".
Konto jest własnością użytkownika, który jest członkiem grupy określonej jako zaufany właściciel w zasady grupy "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny".
Aby korzystać z tej nowej zasady grupy, kontroler domeny i komputer członkowski muszą mieć zawsze zainstalowaną aktualizację z 14 marca 2023 r. lub nowszą. Niektóre z Was mogą mieć określone konta, których używasz podczas automatycznego tworzenia konta komputera. Jeśli te konta są bezpieczne przed nadużyciami i ufasz im, że utworzysz konta na komputerze, możesz je wykluczyć. Nadal będziesz zabezpieczać się przed pierwotną luką w zabezpieczeniach, która została ograniczona do aktualizacji systemu Windows z 11 października 2022 r.
Zachowanie z 12 września 2023 r.
W aktualizacjach systemu Windows wydanych 12 września 2023 r. lub później wprowadziliśmy kilka dodatkowych zmian w zaostrzaniu zabezpieczeń. Zmiany te obejmują wszystkie zmiany wprowadzone 11 października 2022 r. oraz zmiany z 14 marca 2023 r.
Rozwiązano problem polegający na tym, że przyłączanie do domeny przy użyciu karty inteligentnej nie powiodło się niezależnie od ustawienia zasad. Aby rozwiązać ten problem, przenieśliśmy pozostałe testy zabezpieczeń z powrotem na kontroler domeny. W związku z tym po aktualizacji zabezpieczeń z września 2023 r. komputery klienckie wykonują uwierzytelnione wywołania SAMRPC do kontrolera domeny w celu przeprowadzenia testów sprawdzania poprawności zabezpieczeń związanych z ponownym używaniem kont komputerów.
Może to jednak spowodować niepowodzenie sprzężenia domeny w środowiskach, w których ustawiono następujące zasady : Dostęp do sieci: Ograniczanie klientów uprawnionych do zdalnego nawiązywania połączeń z usługą SAM. Aby uzyskać informacje na temat sposobu rozwiązania tego problemu, zobacz sekcję "Znane problemy".
Zachowanie z 13 sierpnia 2024 r.
W aktualizacjach systemu Windows wydanych 13 sierpnia 2024 r. lub później rozwiązaliśmy wszystkie znane problemy ze zgodnością związane z zasadami listy dozwolonych. Usunęliśmy również obsługę klucza NetJoinLegacyAccountReuse. Zachowanie zaostrzania będzie się utrzymywać niezależnie od ustawienia. Odpowiednie metody dodawania zwolnień przedstawiono w poniższej sekcji Wykonywanie działań.
Podejmij działanie
Skonfiguruj nowe zasady listy dozwolonych przy użyciu zasady grupy na kontrolerze domeny i usuń wszelkie starsze obejścia po stronie klienta. Następnie wykonaj poniższe czynności:
-
Musisz zainstalować aktualizacje z 12 września 2023 r. lub nowsze na wszystkich komputerach członków i kontrolerach domeny.
-
W nowych lub istniejących zasadach grupy, które dotyczą wszystkich kontrolerów domeny, skonfiguruj ustawienia w poniższych krokach.
-
W obszarze Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń kliknij dwukrotnie pozycję Kontroler domeny: Zezwalaj na ponowne używanie konta komputera podczas przyłączania do domeny.
-
Wybierz pozycję Zdefiniuj to ustawienie zasad , a <Edytuj zabezpieczenia...>.
-
Użyj selektora obiektów, aby dodać użytkowników lub grupy zaufanych twórców i właścicieli kont komputerowych do uprawnienia Zezwalaj . (Jako najlepsze rozwiązanie zdecydowanie zalecamy używanie grup na potrzeby uprawnień). Nie dodawaj konta użytkownika wykonującego sprzężenie z domeną.
Ostrzeżenie: Ogranicz członkostwo do zasad do zaufanych użytkowników i kont usług. Nie dodawaj do tych zasad uwierzytelnionych użytkowników, wszystkich ani innych dużych grup. Zamiast tego dodaj konkretnych zaufanych użytkowników i konta usług do grup i dodaj te grupy do zasad.
-
Poczekaj na zasady grupy interwał odświeżania lub uruchom gpupdate /force na wszystkich kontrolerach domeny.
-
Sprawdź, czy klucz rejestru HKLM\System\CCS\Control\SAM — "ComputerAccountReuseAllowList" jest wypełniony odpowiednim rekordem SDDL. Nie edytuj ręcznie rejestru.
-
Spróbuj dołączyć do komputera z zainstalowanymi aktualizacjami z 12 września 2023 r. lub nowszymi. Upewnij się, że jedno z kont wymienionych w zasadach jest właścicielem konta komputera. Jeśli przyłączanie do domeny nie powiedzie się, sprawdź \netsetup.log c:\windows\debugowania.
Jeśli nadal potrzebujesz alternatywnego obejścia, przejrzyj przepływy pracy inicjowania obsługi konta komputera i dowiedz się, czy są wymagane zmiany.
-
Wykonaj operację sprzężenia przy użyciu tego samego konta, które utworzyło konto komputera w domenie docelowej.
-
Jeśli istniejące konto jest przestarzałe (nieużywane), usuń je przed ponowną próbą dołączenia do domeny.
-
Zmień nazwę komputera i dołącz przy użyciu innego konta, które jeszcze nie istnieje.
-
Jeśli istniejące konto jest własnością zaufanego podmiotu zabezpieczeń i administrator chce ponownie użyć konta, postępuj zgodnie ze wskazówkami w sekcji Wykonywanie akcji, aby zainstalować aktualizacje systemu Windows z września 2023 r. lub nowsze oraz skonfigurować listę dozwolonych.
Nierozpuszczanie
-
Nie dodawaj kont usług ani kont inicjowania obsługi administracyjnej do grupy zabezpieczeń Administratorzy domeny.
-
Nie edytuj ręcznie deskryptora zabezpieczeń na kontach komputerów, próbując ponownie zdefiniować własność takich kont, chyba że poprzednie konto właściciela zostało usunięte. Podczas edytowania właściciel włączy nowe testy, aby zakończyć się pomyślnie, konto komputera może zachować takie same potencjalnie ryzykowne, niechciane uprawnienia dla pierwotnego właściciela, chyba że jawnie przejrzane i usunięte.
|
Dziennik zdarzeń |
SYSTEM |
|
Źródło zdarzenia |
Netjoin |
|
Identyfikator zdarzenia |
4100 |
|
Typ zdarzenia |
Informacyjne |
|
Tekst zdarzenia |
"Podczas dołączania do domeny kontroler domeny znalazł w usłudze Active Directory istniejące konto komputera o tej samej nazwie. Próba ponownego użycia tego konta była dozwolona. Przeszukano kontroler domeny: <nazwę kontrolera domeny>DN istniejącego konta komputera: <ścieżkę DN> konta komputera. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Dziennik zdarzeń |
SYSTEM |
|
Źródło zdarzenia |
Netjoin |
|
Identyfikator zdarzenia |
4101 |
|
Typ zdarzenia |
Błąd |
|
Tekst zdarzenia |
Podczas dołączania do domeny kontroler domeny znalazł istniejące konto komputera w usłudze Active Directory o tej samej nazwie. Ze względów bezpieczeństwa uniemożliwiano próbę ponownego użycia tego konta. Przeszukano kontroler domeny: Nazwa DN istniejącego konta komputera: Kod błędu został <kod błędu>. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2202145. |
Funkcja debugowania rejestrowania jest domyślnie dostępna (nie trzeba włączać żadnych funkcji szczegółowego rejestrowania) w folderze C:\Windows\Debug\netsetup.log na wszystkich komputerach klienckich.
Przykład rejestrowania debugowania wygenerowanego po uniemożliwieniu ponownego użycia konta ze względów bezpieczeństwa:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Ta aktualizacja dodaje cztery (4) nowe zdarzenia w dzienniku systemowym na kontrolerze domeny w następujący sposób:
|
Poziom zdarzenia |
Informacyjne |
|
Identyfikator zdarzenia |
16995 |
|
Log |
SYSTEM |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Tekst zdarzenia |
Menedżer kont zabezpieczeń używa określonego deskryptora zabezpieczeń do sprawdzania poprawności prób ponownego użycia konta komputera podczas dołączania do domeny. Wartość SDDL: <> ciągu SDDL Ta lista dozwolonych jest konfigurowana za pomocą zasad grupy w usłudze Active Directory. Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Poziom zdarzenia |
Błąd |
|
Identyfikator zdarzenia |
16996 |
|
Log |
SYSTEM |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Tekst zdarzenia |
Deskryptor zabezpieczeń zawierający listę dozwolonych ponownego użycia konta komputera używaną do sprawdzania poprawności sprzężenia domeny żądań klientów jest nieprawidłowo sformatowany. Wartość SDDL: <> ciągu SDDL Ta lista dozwolonych jest konfigurowana za pomocą zasad grupy w usłudze Active Directory. Aby rozwiązać ten problem, administrator musi zaktualizować zasady, aby ustawić tę wartość na prawidłowy deskryptor zabezpieczeń lub wyłączyć go. Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Poziom zdarzenia |
Błąd |
|
Identyfikator zdarzenia |
16997 |
|
Log |
SYSTEM |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Tekst zdarzenia |
Menedżer kont zabezpieczeń znalazł konto komputera, które wydaje się być odłączone i nie ma istniejącego właściciela. Konto komputera: S-1-5-xxx Właściciel konta komputera: S-1-5-xxx Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Poziom zdarzenia |
Ostrzeżenie |
|
Identyfikator zdarzenia |
16998 |
|
Log |
SYSTEM |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Tekst zdarzenia |
Menedżer kont zabezpieczeń odrzucił żądanie klienta o ponowne użycie konta komputera podczas dołączania do domeny. Konto komputera i tożsamość klienta nie spełniały testów sprawdzania poprawności zabezpieczeń. Konto klienta: S-1-5-xxx Konto komputera: S-1-5-xxx Właściciel konta komputera: S-1-5-xxx Sprawdź dane rekordu tego zdarzenia pod kątem kodu błędu NT. Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145. |
W razie potrzeby netsetup.log może podać więcej informacji.
Znane problemy
|
Problem |
Opis |
|---|---|
|
Problem 1 |
Po zainstalowaniu aktualizacji z 12 września 2023 r. lub nowszych przyłączanie do domeny może zakończyć się niepowodzeniem w środowiskach, w których ustawiono następujące zasady: Dostęp do sieci — ograniczanie klientów uprawnionych do zdalnego nawiązywania połączeń z usługą SAM — Zabezpieczenia Windows | Microsoft Learn. Dzieje się tak dlatego, że komputery klienckie wykonują teraz uwierzytelnione wywołania SAMRPC do kontrolera domeny w celu sprawdzenia poprawności zabezpieczeń związanego z ponownym używaniem kont komputerów. Jest to oczekiwane. Aby uwzględnić tę zmianę, administratorzy powinni zachować domyślne ustawienia zasad SAMRPC kontrolera domeny LUB jawnie dołączyć grupę użytkowników wykonującą przyłączanie do domeny w ustawieniach SDDL w celu udzielenia im uprawnień. Przykład z netsetup.log, w którym wystąpił ten problem: |
|
Problem 2 |
Jeśli konto właściciela komputera zostało usunięte i następuje próba ponownego użycia konta komputera, zdarzenie 16997 zostanie zarejestrowane w dzienniku zdarzeń systemowych. W takim przypadku można ponownie przypisać własność do innego konta lub grupy. |
|
Problem 3 |
Jeśli tylko klient ma aktualizację z 14 marca 2023 r. lub nowszą, sprawdzanie zasad usługi Active Directory zwróci 0x32 STATUS_NOT_SUPPORTED. Poprzednie testy, które zostały zaimplementowane w poprawkach listopadowych, będą miały zastosowanie, jak pokazano poniżej: |
|
Problem 4 |
Po aktualizacji z 13 sierpnia 2024 r. podczas określania konkretnego kontrolera domeny należy określić nazwę nazwy FQDN dns kontrolera domeny. Istnieje znany problem polegający na tym, że będzie działać tylko format nazwy kontrolera domeny DNS FQDN. Wygląda to tak, jakby konfiguracja ponownego sprzężenia domeny nie została poprawnie skonfigurowana. NetSetup.Log W witrynie NetSetup.Log są następujące elementy: Śledzenie sieci W wynikach śledzenia sieci zostanie wyświetlona próba zalogowania się do kontrolera domeny w witrynie SMB przy użyciu poświadczeń użytkownika lokalnego: W wynikach śledzenia sieci może się okazać, że sesja została pomyślnie utworzona przy użyciu biletu Kerberos przy użyciu krótkiej, starszej nazwy komputera. Błąd z sprzężenia netdom Błąd z Add-Computer Wykonywanie operacji "Join in domain 'contoso.com\DC1'" on target "Member12". Add-Computer: Computer 'Member12' failed to join domain 'contoso.com\DC1' from its current workgroup 'WORKGROUP' with following error message: An account with the same name exists in Active Directory. Ponowne użycie konta zostało zablokowane przez zasady zabezpieczeń. Rozwiązanie Rozwiązaniem jest zawsze używanie nazwY FQDN DNS: Netdom: /d:contoso.com\DC1.contoso.com Dodatek Komputer: -Server 'DC1.contoso.com' |
