Dica: Para exibir o conteúdo novo ou revisado de janeiro de 2024, confira as marcas [janeiro de 2024 - Início] e [Término - janeiro de 2024] no artigo.
Resumo
As atualizações do Windows lançadas em e após 11 de outubro de 2022 contêm proteções adicionais introduzidas pelo CVE-2022-38042. Essas proteções impedem intencionalmente que as operações de junção de domínio reutilizem uma conta de computador existente no domínio de destino, a menos que:
-
O usuário que tenta a operação é o criador da conta existente.
Ou
-
O computador foi criado por um membro de administradores de domínio.
Ou
-
O proprietário da conta de computador que está sendo reutilizado é um membro do "controlador de domínio: permitir o reutilização da conta de computador durante a junção de domínio". Política de Grupo configuração. Essa configuração requer a instalação de atualizações do Windows lançadas em ou após 14 de março de 2023 em TODOS os computadores membros e controladores de domínio.
Atualizações lançado em 14 de março de 2023 e 12 de setembro de 2023, fornecerá opções adicionais para clientes afetados no Windows Server 2012 R2 e acima e todos os clientes com suporte. Para obter mais informações, confira as seções comportamento de 11 de outubro de 2022 e Tomar Medidas .
Comportamento antes de 11 de outubro de 2022
Antes de instalar as atualizações cumulativas de 11 de outubro de 2022 ou posteriores, o computador cliente consulta o Active Directory para uma conta existente com o mesmo nome. Essa consulta ocorre durante a junção de domínio e o provisionamento de conta de computador. Se essa conta existir, o cliente tentará reutilizá-la automaticamente.
Observação A tentativa de reutilização falhará se o usuário que tentar a operação de junção de domínio não tiver as permissões de gravação apropriadas. No entanto, se o usuário tiver permissões suficientes, a junção de domínio terá êxito.
Há dois cenários para a junção de domínio com os respectivos comportamentos padrão e sinalizadores da seguinte maneira:
-
Ingresso no domínio (NetJoinDomain)
-
Padrão para reutilização da conta (a menos que NETSETUP_NO_ACCT_REUSE sinalizador seja especificado)
-
-
Provisionamento de conta (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Padrão para NÃO reutilizar (a menos que NETSETUP_PROVISION_REUSE_ACCOUNT seja especificado.)
-
Comportamento de 11 de outubro de 2022
Depois de instalar as atualizações cumulativas do Windows de 11 de outubro de 2022 ou posteriores em um computador cliente, durante a junção de domínio, o cliente executará verificações de segurança adicionais antes de tentar reutilizar uma conta de computador existente. Algoritmo:
-
A tentativa de reutilização da conta será permitida se o usuário que tentar a operação for o criador da conta existente.
-
A tentativa de reutilização da conta será permitida se a conta foi criada por um membro dos administradores de domínio.
Essas verificações de segurança adicionais são feitas antes de tentar ingressar no computador. Se as verificações forem bem-sucedidas, o restante da operação de junção estará sujeito a permissões do Active Directory como antes.
Essa alteração não afeta novas contas.
Observação Depois de instalar as atualizações cumulativas do Windows de 11 de outubro de 2022 ou posteriores, a junção de domínio com a reutilização da conta de computador pode falhar intencionalmente com o seguinte erro:
Erro 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Existe uma conta com o mesmo nome no Active Directory. O reutilização da conta foi bloqueado pela política de segurança.".
Nesse caso, a conta está sendo protegida intencionalmente pelo novo comportamento.
A ID do evento 4101 será disparada quando o erro acima ocorrer e o problema será registrado em c:\windows\debug\netsetup.log. Siga as etapas abaixo em Tomar Medidas para entender a falha e resolve o problema.
Comportamento de 14 de março de 2023
Nas atualizações do Windows lançadas em ou após 14 de março de 2023, fizemos algumas alterações no endurecimento de segurança. Essas alterações incluem todas as alterações que fizemos em 11 de outubro de 2022.
Primeiro, expandimos o escopo de grupos isentos desse endurecimento. Além dos Administradores de Domínio, administradores empresariais e grupos de administradores internos agora estão isentos do marcar de propriedade.
Em segundo lugar, implementamos uma nova configuração de Política de Grupo. Os administradores podem usá-lo para especificar uma lista de permissões de proprietários de contas de computador confiáveis. A conta do computador ignorará o marcar de segurança se um dos seguintes for verdadeiro:
-
A conta pertence a um usuário especificado como um proprietário confiável no Política de Grupo "Controlador de domínio: permitir o reutilização da conta de computador durante a junção de domínio".
-
A conta pertence a um usuário que é membro de um grupo especificado como proprietário confiável no Política de Grupo "Controlador de domínio: permitir o reutilização da conta de computador durante a junção de domínio".
Para usar esse novo Política de Grupo, o controlador de domínio e o computador membro devem ter a atualização de 14 de março de 2023 ou posterior instalada. Alguns de vocês podem ter contas específicas que você usa na criação de conta de computador automatizada. Se essas contas estiverem seguras contra abusos e você confiar nelas para criar contas de computador, você poderá isentá-las. Você ainda estará seguro contra a vulnerabilidade original atenuada pelas atualizações do Windows de 11 de outubro de 2022.
Comportamento de 12 de setembro de 2023
Nas atualizações do Windows lançadas em ou após 12 de setembro de 2023, fizemos algumas alterações adicionais no endurecimento de segurança. Essas alterações incluem todas as alterações que fizemos em 11 de outubro de 2022 e as alterações de 14 de março de 2023.
Resolvemos um problema em que a junção de domínio usando a autenticação de cartão inteligente falhou independentemente da configuração da política. Para corrigir esse problema, movemos as verificações de segurança restantes de volta para o Controlador de Domínio. Portanto, após a atualização de segurança de setembro de 2023, os computadores cliente fazem chamadas SAMRPC autenticadas para o controlador de domínio para executar verificações de validação de segurança relacionadas à reutilização de contas de computador.
No entanto, isso pode fazer com que a junção de domínio falhe em ambientes em que a política a seguir está definida: Acesso à rede: restringir clientes autorizados a fazer chamadas remotas para SAM. Consulte a seção "Problemas Conhecidos" para obter informações sobre como resolve esse problema.
Também planejamos remover a configuração original do registro NetJoinLegacyAccountReuse em uma futura atualização do Windows. [Janeiro de 2024 – Início]Essa remoção está agendada provisoriamente para a atualização datada de 13 de agosto de 2024. As datas de lançamento estão sujeitas a alterações. [Final - janeiro de 2024]
Observação Se você implantou a chave NetJoinLegacyAccountReuse em seus clientes e a definiu como valor 1, agora você deve remover essa chave (ou defini-la como 0) para se beneficiar das alterações mais recentes.
Tome medidas
Configure a nova política de lista de permissões usando o Política de Grupo em um controlador de domínio e remova todas as soluções alternativas herdadas do lado do cliente. Em seguida, faça o seguinte:
-
Você deve instalar as atualizações de 12 de setembro de 2023 ou posteriores em todos os computadores membros e controladores de domínio.
-
Em uma política de grupo nova ou existente que se aplica a todos os controladores de domínio, configure as configurações nas etapas abaixo.
-
Em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança, clique duas vezes no controlador de domínio: permitir o reutilização da conta de computador durante a junção de domínio.
-
Selecione Definir essa configuração de política e <Editar Segurança...>.
-
Use o seletor de objetos para adicionar usuários ou grupos de criadores de contas de computador confiáveis e proprietários à permissão Permitir . (Como prática recomendada, é altamente recomendável que você use grupos para permissões.) Não adicione a conta de usuário que executa a junção de domínio.
Aviso: Limite a associação à política a usuários confiáveis e contas de serviço. Não adicione usuários autenticados, todos ou outros grupos grandes a essa política. Em vez disso, adicione usuários confiáveis específicos e contas de serviço a grupos e adicione esses grupos à política.
-
Aguarde o intervalo de atualização Política de Grupo ou execute gpupdate /force em todos os controladores de domínio.
-
Verifique se a chave de registro HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" está preenchida com o SDDL desejado. Não edite manualmente o registro.
-
Tente ingressar em um computador que tenha as atualizações de 12 de setembro de 2023 ou posteriores instaladas. Verifique se uma das contas listadas na política é dona da conta de computador. Verifique também que seu registro não tem a chave NetJoinLegacyAccountReuse habilitada (definida como 1). Se a junção de domínio falhar, marcar o c:\windows\debug\netsetup.log.
Se você ainda precisar de uma solução alternativa, examine os fluxos de trabalho de provisionamento de conta de computador e entenda se as alterações são necessárias.
-
Execute a operação de junção usando a mesma conta que criou a conta do computador no domínio de destino.
-
Se a conta existente estiver obsoleta (não utilizado), exclua-a antes de tentar ingressar no domínio novamente.
-
Renomeie o computador e junte-se usando uma conta diferente que ainda não existe.
-
Se a conta existente pertencer a uma entidade de segurança confiável e um administrador quiser reutilizar a conta, siga as diretrizes na seção Tomar Ações para instalar as atualizações do Windows de setembro de 2023 ou posteriores e configurar uma lista de permissões.
Diretrizes importantes para usar a chave do registro NetJoinLegacyAccountReuse
Cuidado: Se você optar por definir essa chave para contornar essas proteções, deixará seu ambiente vulnerável à CVE-2022-38042, a menos que seu cenário seja referenciado abaixo conforme apropriado. Não use esse método sem a confirmação de que o Criador/Proprietário do objeto de computador existente é uma entidade de segurança segura e confiável.
Devido ao novo Política de Grupo, você não deve mais usar a chave de registro NetJoinLegacyAccountReuse. [Janeiro de 2024 – Início]Preservaremos a chave pelos próximos meses caso precise de soluções alternativas. [Final - janeiro de 2024]Se você não puder configurar o novo GPO em seu cenário, recomendamos que entre em contato com Suporte da Microsoft.
|
Caminho |
HKLM\System\CurrentControlSet\Control\LSA |
|
Tipo |
REG_DWORD |
|
Nome |
NetJoinLegacyAccountReuse |
|
Valor |
1 Outros valores são ignorados. |
Observação A Microsoft removerá o suporte para a configuração do registro NetJoinLegacyAccountReuse em uma futura atualização do Windows. [Janeiro de 2024 – Início]Essa remoção está agendada provisoriamente para a atualização datada de 13 de agosto de 2024. As datas de lançamento estão sujeitas a alterações. [Final - janeiro de 2024]
Não soluções
-
Depois de instalar as atualizações de 12 de setembro de 2023 ou posteriores em DCs e clientes no ambiente, não use o registro NetJoinLegacyAccountReuse . Em vez disso, siga as etapas em Tomar Medidas para configurar o novo GPO.
-
Não adicione contas de serviço ou contas de provisionamento ao grupo de segurança de administradores de domínio.
-
Não edite manualmente o descritor de segurança em contas de computador na tentativa de redefinir a propriedade dessas contas, a menos que a conta de proprietário anterior tenha sido excluída. Ao editar o proprietário permitirá que as novas verificações tenham êxito, a conta do computador pode manter as mesmas permissões potencialmente arriscadas e indesejadas para o proprietário original, a menos que seja revisada e removida explicitamente.
-
Não adicione a chave de registro NetJoinLegacyAccountReuse às imagens base do sistema operacional, pois a chave só deve ser adicionada temporariamente e removida diretamente após a conclusão da junção de domínio.
Novos logs de eventos
|
Log de eventos |
SISTEMA |
|
Origem do evento |
Netjoin |
|
ID de Evento |
4100 |
|
Tipo de Evento |
Informacional |
|
Texto do Evento |
"Durante a junção de domínio, o controlador de domínio contatado encontrou uma conta de computador existente no Active Directory com o mesmo nome. Foi permitida uma tentativa de reutilização dessa conta. Controlador de domínio pesquisado: <nome do controlador de domínio>DN da conta de computador existente: <caminho DN da conta de computador>. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obter mais informações. |
|
Log de eventos |
SYSTEM |
|
Origem do evento |
Netjoin |
|
ID de Evento |
4101 |
|
Tipo de Evento |
Erro |
|
Texto do Evento |
Durante a junção de domínio, o controlador de domínio contatado encontrou uma conta de computador existente no Active Directory com o mesmo nome. Uma tentativa de reutilização dessa conta foi impedida por motivos de segurança. Controlador de domínio pesquisado: DN da conta de computador existente: o código de erro foi <código de erro>. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obter mais informações. |
O log de depuração está disponível por padrão (não é necessário habilitar nenhum log verboso) em C:\Windows\Debug\netsetup.log em todos os computadores cliente.
Exemplo do log de depuração gerado quando a reutilização da conta é impedida por motivos de segurança:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Novos eventos adicionados em março de 2023
Esta atualização adiciona quatro (4) novos eventos no log SYSTEM no controlador de domínio da seguinte maneira:
|
Nível de evento |
Informacional |
|
ID do evento |
16995 |
|
Pesquisa |
SYSTEM |
|
Origem do evento |
Directory-Services-SAM |
|
Texto do Evento |
O gerenciador de contas de segurança está usando o descritor de segurança especificado para validação de tentativas de reutilização da conta de computador durante a junção de domínio. Valor SDDL: <> de cadeia de caracteres SDDL Essa lista de permissões é configurada por meio da política de grupo no Active Directory. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nível de evento |
Erro |
|
ID do evento |
16996 |
|
Pesquisa |
SYSTEM |
|
Origem do evento |
Directory-Services-SAM |
|
Texto do Evento |
O descritor de segurança que contém a lista de permissões da conta de computador que está sendo usada para validar a junção de domínio de solicitações do cliente está malformado. Valor SDDL: <> de cadeia de caracteres SDDL Essa lista de permissões é configurada por meio da política de grupo no Active Directory. Para corrigir esse problema, um administrador precisará atualizar a política para definir esse valor como um descritor de segurança válido ou desabilitá-lo. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nível de evento |
Erro |
|
ID do evento |
16997 |
|
Pesquisa |
SYSTEM |
|
Origem do evento |
Directory-Services-SAM |
|
Texto do Evento |
O gerente da conta de segurança encontrou uma conta de computador que parece estar órfã e não tem um proprietário existente. Conta do computador: S-1-5-xxx Proprietário da conta de computador: S-1-5-xxx Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nível de evento |
Aviso |
|
ID do evento |
16998 |
|
Pesquisa |
SYSTEM |
|
Origem do evento |
Directory-Services-SAM |
|
Texto do Evento |
O gerente da conta de segurança rejeitou uma solicitação do cliente para reutilização de uma conta de computador durante a junção de domínio. A conta do computador e a identidade do cliente não atenderam às verificações de validação de segurança. Conta do cliente: S-1-5-xxx Conta do computador: S-1-5-xxx Proprietário da conta de computador: S-1-5-xxx Verifique os dados de registro deste evento para obter o código de erro NT. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Se necessário, o netsetup.log pode fornecer mais informações. Confira o exemplo abaixo de uma máquina de trabalho.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Problemas conhecidos
|
Problema 1 |
Depois de instalar as atualizações de 12 de setembro de 2023 ou posteriores, a junção de domínio pode falhar em ambientes em que a política a seguir é definida: acesso à rede - Restringir clientes autorizados a fazer chamadas remotas para SAM - Segurança do Windows | Microsoft Learn. Isso ocorre porque os computadores cliente agora fazem chamadas SAMRPC autenticadas para o controlador de domínio para executar verificações de validação de segurança relacionadas à reutilização de contas de computador. Exemplo de um netsetup.log em que esse problema ocorreu: |
|
Problema 2 |
Se a conta do proprietário do computador tiver sido excluída e ocorrer uma tentativa de reutilizar a conta do computador, o Evento 16997 será registrado no log de eventos do Sistema. Se isso ocorrer, não há problema em atribuir novamente a propriedade a outra conta ou grupo. |
|
Problema 3 |
Se apenas o cliente tiver a atualização de 14 de março de 2023 ou posterior, o marcar de política do Active Directory retornará 0x32 STATUS_NOT_SUPPORTED. As verificações anteriores implementadas nos hotfixes de novembro serão aplicadas conforme mostrado abaixo: |
