Porada: Aby wyświetlić nową lub poprawioną zawartość ze stycznia 2024 r., zobacz tagi [Styczeń 2024 — Start] i [Koniec — styczeń 2024] w tym artykule.
Podsumowanie
Aktualizacje systemu Windows wydane 11 października 2022 r. zawierają dodatkowe zabezpieczenia wprowadzone przez program CVE-2022-38042. Te zabezpieczenia celowo uniemożliwiają operacjom dołączania do domeny ponowne używanie istniejącego konta komputera w domenie docelowej, chyba że:
-
Użytkownik próbujący akcji jest twórcą istniejącego konta.
Lub
-
Komputer został utworzony przez członka administratora domeny.
Lub
-
Właściciel konta komputera, którego użyto ponownie, jest członkiem "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny". zasady grupy ustawienie. To ustawienie wymaga zainstalowania aktualizacji systemu Windows wydanych 14 marca 2023 r. lub później na wszystkich komputerach członków i kontrolerach domeny.
Aktualizacje wydana 14 marca 2023 r. i 12 września 2023 r. będzie udostępniać dodatkowe opcje dla klientów, których dotyczy problem, na Windows Server 2012 R2 i nowszych oraz wszystkich obsługiwanych klientów. Aby uzyskać więcej informacji, zobacz sekcje Zachowanie z 11 października 2022 r. i Wykonywanie akcji .
Zachowanie przed 11 października 2022 r.
Przed zainstalowaniem aktualizacji zbiorczych z 11 października 2022 r. lub nowszych klient wysyła zapytanie do usługi Active Directory dla istniejącego konta o tej samej nazwie. To zapytanie występuje podczas dołączania do domeny i inicjowania obsługi konta komputera. Jeśli takie konto istnieje, klient automatycznie podejmie próbę jego ponownego użycia.
Uwaga Próba ponownego użycia zakończy się niepowodzeniem, jeśli użytkownik, który podejmie próbę dołączenia do domeny, nie ma odpowiednich uprawnień zapisu. Jeśli jednak użytkownik ma wystarczająco dużo uprawnień, sprzężenie do domeny zakończy się pomyślnie.
Istnieją dwa scenariusze dołączania do domeny z odpowiednimi zachowaniami domyślnymi i flagami w następujący sposób:
-
Przyłączanie do domeny (NetJoinDomain)
-
Domyślny sposób ponownego użycia konta (o ile nie określono flagi NETSETUP_NO_ACCT_REUSE )
-
-
Inicjowanie obsługi klienta (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Domyślnie nie należy ponownie używać (o ile nie określono NETSETUP_PROVISION_REUSE_ACCOUNT).
-
Zachowanie z 11 października 2022 r.
Po zainstalowaniu aktualizacji zbiorczych systemu Windows z 11 października 2022 r. lub nowszych na komputerze klienckim podczas dołączania do domeny klient wykona dodatkowe testy zabezpieczeń przed podjęciem próby ponownego użycia istniejącego konta komputera. Algorytm:
-
Próba ponownego użycia konta będzie dozwolona, jeśli użytkownik próbujący podjąć operację jest twórcą istniejącego konta.
-
Próba ponownego użycia konta będzie dozwolona, jeśli konto zostało utworzone przez członka administratora domeny.
Te dodatkowe testy zabezpieczeń są wykonywane przed próbą dołączenia do komputera. Jeśli testy zostaną zakończone pomyślnie, pozostała część operacji sprzężenia będzie podlegać uprawnieniom usługi Active Directory, tak jak wcześniej.
Ta zmiana nie ma wpływu na nowe konta.
Uwaga Po zainstalowaniu aktualizacji zbiorczych systemu Windows z 11 października 2022 r. lub nowszych, dołączanie do domeny przy użyciu ponownego użycia konta komputera może celowo zakończyć się niepowodzeniem z następującym błędem:
0xaac błędu (2732): NERR_AccountReuseBlockedByPolicy: "W usłudze Active Directory istnieje konto o tej samej nazwie. Ponowne użycie konta zostało zablokowane przez zasady zabezpieczeń".
Jeśli tak, konto jest celowo chronione przez nowe zachowanie.
Identyfikator zdarzenia 4101 zostanie wyzwolony po wystąpieniu powyższego błędu, a problem zostanie zarejestrowany w c:\windows\debug\netsetup.log. Wykonaj poniższe czynności w sekcji Wykonywanie akcji, aby zrozumieć błąd i rozwiązać problem.
Zachowanie z 14 marca 2023 r.
W aktualizacjach systemu Windows wydanych 14 marca 2023 r. lub później wprowadziliśmy kilka zmian w zaostrzaniu zabezpieczeń. Zmiany te obejmują wszystkie zmiany wprowadzone 11 października 2022 r.
Po pierwsze, rozszerzyliśmy zakres grup, które są zwolnione z tego hartowania. Oprócz administratorów domeny grupy Administratorzy przedsiębiorstwa i Administratorzy wbudowani są teraz zwolnione z kontroli własności.
Po drugie, wdrożyliśmy nowe ustawienie zasady grupy. Za jego pomocą administratorzy mogą określić listę dozwolonych zaufanych właścicieli kont komputerów. Konto komputera ominie sprawdzanie zabezpieczeń, jeśli jest spełniony jeden z następujących warunków:
-
Konto jest własnością użytkownika określonego jako zaufany właściciel w zasady grupy "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny".
-
Konto jest własnością użytkownika, który jest członkiem grupy określonej jako zaufany właściciel w zasady grupy "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny".
Aby korzystać z tej nowej zasady grupy, kontroler domeny i komputer członkowski muszą mieć zawsze zainstalowaną aktualizację z 14 marca 2023 r. lub nowszą. Niektóre z Was mogą mieć określone konta, których używasz podczas automatycznego tworzenia konta komputera. Jeśli te konta są bezpieczne przed nadużyciami i ufasz im, że utworzysz konta na komputerze, możesz je wykluczyć. Nadal będziesz zabezpieczać się przed pierwotną luką w zabezpieczeniach, która została ograniczona do aktualizacji systemu Windows z 11 października 2022 r.
Zachowanie z 12 września 2023 r.
W aktualizacjach systemu Windows wydanych 12 września 2023 r. lub później wprowadziliśmy kilka dodatkowych zmian w zaostrzaniu zabezpieczeń. Zmiany te obejmują wszystkie zmiany wprowadzone 11 października 2022 r. oraz zmiany z 14 marca 2023 r.
Rozwiązano problem polegający na tym, że przyłączanie do domeny przy użyciu karty inteligentnej nie powiodło się niezależnie od ustawienia zasad. Aby rozwiązać ten problem, przenieśliśmy pozostałe testy zabezpieczeń z powrotem na kontroler domeny. W związku z tym po aktualizacji zabezpieczeń z września 2023 r. komputery klienckie wykonują uwierzytelnione wywołania SAMRPC do kontrolera domeny w celu przeprowadzenia testów sprawdzania poprawności zabezpieczeń związanych z ponownym używaniem kont komputerów.
Może to jednak spowodować niepowodzenie sprzężenia domeny w środowiskach, w których ustawiono następujące zasady : Dostęp do sieci: Ograniczanie klientów uprawnionych do zdalnego nawiązywania połączeń z usługą SAM. Aby uzyskać informacje na temat sposobu rozwiązania tego problemu, zobacz sekcję "Znane problemy".
Planujemy również usunięcie pierwotnego ustawienia rejestru NetJoinLegacyAccountReuse w przyszłej aktualizacji systemu Windows. [Styczeń 2024 r. — Start]To usunięcie jest wstępnie zaplanowane na aktualizację z dnia 13 sierpnia 2024 r. Daty wydania mogą ulec zmianie. [Koniec — styczeń 2024 r.]
Uwaga Jeśli wdrożono klucz NetJoinLegacyAccountReuse na klientach i ustawiono go na wartość 1, musisz teraz usunąć ten klucz (lub ustawić go na 0), aby korzystać z najnowszych zmian.
Podejmij działanie
Skonfiguruj nowe zasady listy dozwolonych przy użyciu zasady grupy na kontrolerze domeny i usuń wszelkie starsze obejścia po stronie klienta. Następnie wykonaj następujące czynności:
-
Musisz zainstalować aktualizacje z 12 września 2023 r. lub nowsze na wszystkich komputerach członków i kontrolerach domeny.
-
W nowych lub istniejących zasadach grupy, które dotyczą wszystkich kontrolerów domeny, skonfiguruj ustawienia w poniższych krokach.
-
W obszarze Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń kliknij dwukrotnie pozycję Kontroler domeny: Zezwalaj na ponowne używanie konta komputera podczas przyłączania do domeny.
-
Wybierz pozycję Zdefiniuj to ustawienie zasad , a <Edytuj zabezpieczenia...>.
-
Użyj selektora obiektów, aby dodać użytkowników lub grupy zaufanych twórców i właścicieli kont komputerowych do uprawnienia Zezwalaj . (Jako najlepsze rozwiązanie zdecydowanie zalecamy używanie grup na potrzeby uprawnień). Nie dodawaj konta użytkownika wykonującego sprzężenie z domeną.
Ostrzeżenie: Ogranicz członkostwo do zasad do zaufanych użytkowników i kont usług. Nie dodawaj do tych zasad uwierzytelnionych użytkowników, wszystkich ani innych dużych grup. Zamiast tego dodaj konkretnych zaufanych użytkowników i konta usług do grup i dodaj te grupy do zasad.
-
Poczekaj na zasady grupy interwał odświeżania lub uruchom gpupdate /force na wszystkich kontrolerach domeny.
-
Sprawdź, czy klucz rejestru HKLM\System\CCS\Control\SAM — "ComputerAccountReuseAllowList" jest wypełniony odpowiednim rekordem SDDL. Nie edytuj ręcznie rejestru.
-
Spróbuj dołączyć do komputera z zainstalowanymi aktualizacjami z 12 września 2023 r. lub nowszymi. Upewnij się, że jedno z kont wymienionych w zasadach jest właścicielem konta komputera. Upewnij się również, że w rejestrze nie włączono klucza NetJoinLegacyAccountReuse (ustawiono wartość 1). Jeśli przyłączanie do domeny nie powiedzie się, sprawdź c:\windows\debug\netsetup.log.
Jeśli nadal potrzebujesz alternatywnego obejścia, przejrzyj przepływy pracy inicjowania obsługi konta komputera i dowiedz się, czy są wymagane zmiany.
-
Wykonaj operację sprzężenia przy użyciu tego samego konta, które utworzyło konto komputera w domenie docelowej.
-
Jeśli istniejące konto jest przestarzałe (nieużywane), usuń je przed ponowną próbą dołączenia do domeny.
-
Zmień nazwę komputera i dołącz przy użyciu innego konta, które jeszcze nie istnieje.
-
Jeśli istniejące konto jest własnością zaufanego podmiotu zabezpieczeń i administrator chce ponownie użyć konta, postępuj zgodnie ze wskazówkami w sekcji Wykonywanie akcji, aby zainstalować aktualizacje systemu Windows z września 2023 r. lub nowsze oraz skonfigurować listę dozwolonych.
Ważne wskazówki dotyczące używania klucza rejestru NetJoinLegacyAccountReuse
Przestroga: Jeśli zdecydujesz się ustawić ten klucz do obejścia tych zabezpieczeń, pozostawisz środowisko narażone na CVE-2022-38042, chyba że odpowiednio do scenariusza odwołujesz się poniżej. Nie należy używać tej metody bez potwierdzenia, że twórca/właściciel istniejącego obiektu komputera jest bezpiecznym i zaufanym podmiotem zabezpieczeń.
Z powodu nowego zasady grupy nie należy już używać klucza rejestru NetJoinLegacyAccountReuse. [Styczeń 2024 r. — Start]Klucz zachowamy przez kilka kolejnych miesięcy, jeśli będziesz potrzebować obejść tego problemu. [Koniec — styczeń 2024 r.]Jeśli nie możesz skonfigurować nowego obiektu zasad grupy w swoim scenariuszu, zdecydowanie zachęcamy do kontaktu z pomoc techniczna firmy Microsoft.
|
Ścieżka |
HKLM\System\CurrentControlSet\Control\LSA |
|
Typ |
REG_DWORD |
|
Nazwa |
NetJoinLegacyAccountReuse |
|
Wartość |
1 Inne wartości są ignorowane. |
UwagaFirma Microsoft usunie obsługę ustawienia rejestru NetJoinLegacyAccountReuse w przyszłej aktualizacji systemu Windows. [Styczeń 2024 r. — Start]To usunięcie jest wstępnie zaplanowane na aktualizację z dnia 13 sierpnia 2024 r. Daty wydania mogą ulec zmianie. [Koniec — styczeń 2024 r.]
Nierozpuszczanie
-
Po zainstalowaniu aktualizacji z 12 września 2023 r. lub nowszych na komputerach DCs i klientach w środowisku nie należy używać rejestru NetJoinLegacyAccountReuse . Zamiast tego wykonaj czynności opisane w sekcji Wykonywanie akcji, aby skonfigurować nowy obiekt zasad grupy.
-
Nie dodawaj kont usług ani kont inicjowania obsługi administracyjnej do grupy zabezpieczeń Administratorzy domeny.
-
Nie edytuj ręcznie deskryptora zabezpieczeń na kontach komputerów, próbując ponownie zdefiniować własność takich kont, chyba że poprzednie konto właściciela zostało usunięte. Podczas edytowania właściciel włączy nowe testy, aby zakończyć się pomyślnie, konto komputera może zachować takie same potencjalnie ryzykowne, niechciane uprawnienia dla pierwotnego właściciela, chyba że jawnie przejrzane i usunięte.
-
Nie dodawaj klucza rejestru NetJoinLegacyAccountReuse do podstawowych obrazów systemu operacyjnego, ponieważ klucz powinien zostać dodany tymczasowo, a następnie usunięty bezpośrednio po zakończeniu sprzężenia domeny.
Nowe dzienniki zdarzeń
|
Dziennik zdarzeń |
SYSTEM |
|
Źródło zdarzenia |
Netjoin |
|
Identyfikator zdarzenia |
4100 |
|
Typ zdarzenia |
Informacyjne |
|
Tekst zdarzenia |
"Podczas dołączania do domeny kontroler domeny znalazł w usłudze Active Directory istniejące konto komputera o tej samej nazwie. Próba ponownego użycia tego konta była dozwolona. Przeszukano kontroler domeny: <nazwę kontrolera domeny>DN istniejącego konta komputera: <ścieżkę DN> konta komputera. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Dziennik zdarzeń |
SYSTEM |
|
Źródło zdarzenia |
Netjoin |
|
Identyfikator zdarzenia |
4101 |
|
Typ zdarzenia |
Błąd |
|
Tekst zdarzenia |
Podczas dołączania do domeny kontroler domeny znalazł istniejące konto komputera w usłudze Active Directory o tej samej nazwie. Ze względów bezpieczeństwa uniemożliwiano próbę ponownego użycia tego konta. Przeszukano kontroler domeny: Nazwa DN istniejącego konta komputera: Kod błędu został <kod błędu>. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?linkid=2202145. |
Funkcja debugowania rejestrowania jest domyślnie dostępna (nie trzeba włączać rejestrowania szczegółowego) w folderze C:\Windows\Debug\netsetup.log na wszystkich komputerach klienckich.
Przykład rejestrowania debugowania wygenerowanego po uniemożliwieniu ponownego użycia konta ze względów bezpieczeństwa:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nowe zdarzenia dodane w marcu 2023 r.
Ta aktualizacja dodaje cztery (4) nowe zdarzenia w dzienniku systemowym na kontrolerze domeny w następujący sposób:
|
Poziom zdarzenia |
Informacyjne |
|
Identyfikator zdarzenia |
16995 |
|
Dziennika |
SYSTEM |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Tekst zdarzenia |
Menedżer kont zabezpieczeń używa określonego deskryptora zabezpieczeń do sprawdzania poprawności prób ponownego użycia konta komputera podczas dołączania do domeny. Wartość SDDL: <> ciągu SDDL Ta lista dozwolonych jest konfigurowana za pomocą zasad grupy w usłudze Active Directory. Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Poziom zdarzenia |
Błąd |
|
Identyfikator zdarzenia |
16996 |
|
Dziennika |
SYSTEM |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Tekst zdarzenia |
Deskryptor zabezpieczeń zawierający listę dozwolonych ponownego użycia konta komputera używaną do sprawdzania poprawności sprzężenia domeny żądań klientów jest nieprawidłowo sformatowany. Wartość SDDL: <> ciągu SDDL Ta lista dozwolonych jest konfigurowana za pomocą zasad grupy w usłudze Active Directory. Aby rozwiązać ten problem, administrator musi zaktualizować zasady, aby ustawić tę wartość na prawidłowy deskryptor zabezpieczeń lub wyłączyć go. Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Poziom zdarzenia |
Błąd |
|
Identyfikator zdarzenia |
16997 |
|
Dziennika |
SYSTEM |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Tekst zdarzenia |
Menedżer kont zabezpieczeń znalazł konto komputera, które wydaje się być odłączone i nie ma istniejącego właściciela. Konto komputera: S-1-5-xxx Właściciel konta komputera: S-1-5-xxx Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Poziom zdarzenia |
Ostrzeżenie |
|
Identyfikator zdarzenia |
16998 |
|
Dziennika |
SYSTEM |
|
Źródło zdarzenia |
Directory-Services-SAM |
|
Tekst zdarzenia |
Menedżer kont zabezpieczeń odrzucił żądanie klienta o ponowne użycie konta komputera podczas dołączania do domeny. Konto komputera i tożsamość klienta nie spełniały testów sprawdzania poprawności zabezpieczeń. Konto klienta: S-1-5-xxx Konto komputera: S-1-5-xxx Właściciel konta komputera: S-1-5-xxx Sprawdź dane rekordu tego zdarzenia pod kątem kodu błędu NT. Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=2202145. |
W razie potrzeby witryna netsetup.log może podać więcej informacji. Zobacz poniższy przykład na działającym komputerze.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Znane problemy
|
Problem 1 |
Po zainstalowaniu aktualizacji z 12 września 2023 r. lub nowszych przyłączanie do domeny może zakończyć się niepowodzeniem w środowiskach, w których ustawiono następujące zasady: Dostęp do sieci — ograniczanie klientów uprawnionych do zdalnego nawiązywania połączeń z usługą SAM — Zabezpieczenia Windows | Microsoft Learn. Dzieje się tak dlatego, że komputery klienckie wykonują teraz uwierzytelnione wywołania SAMRPC do kontrolera domeny w celu sprawdzenia poprawności zabezpieczeń związanego z ponownym używaniem kont komputerów. Przykład z pliku netsetup.log, w którym wystąpił ten problem: |
|
Problem 2 |
Jeśli konto właściciela komputera zostało usunięte i następuje próba ponownego użycia konta komputera, zdarzenie 16997 zostanie zarejestrowane w dzienniku zdarzeń systemowych. W takim przypadku można ponownie przypisać własność do innego konta lub grupy. |
|
Problem 3 |
Jeśli tylko klient ma aktualizację z 14 marca 2023 r. lub nowszą, sprawdzanie zasad usługi Active Directory zwróci 0x32 STATUS_NOT_SUPPORTED. Poprzednie testy, które zostały zaimplementowane w poprawkach listopadowych, będą miały zastosowanie, jak pokazano poniżej: |
