Observação: Atualizado em 13/08/2024; ver Comportamento de 13 de agosto de 2024
Resumo
As atualizações do Windows lançadas em e após 11 de outubro de 2022 contêm proteções adicionais introduzidas pelo CVE-2022-38042. Essas proteções impedem intencionalmente que as operações de junção de domínio reutilizem uma conta de computador existente no domínio de destino, a menos que:
-
O usuário que tenta a operação é o criador da conta existente.
Ou
-
O computador foi criado por um membro de administradores de domínio.
Ou
-
O proprietário da conta de computador que está sendo reutilizado é um membro do "controlador de domínio: permitir o reutilização da conta de computador durante a junção de domínio". Configuração de Política de Grupo. Essa configuração requer a instalação de atualizações do Windows lançadas em ou após 14 de março de 2023 em TODOS os computadores membros e controladores de domínio.
As atualizações lançadas em e após 14 de março de 2023 e 12 de setembro de 2023 fornecerão opções adicionais para clientes afetados no Windows Server 2012 R2 e acima e todos os clientes com suporte. Para obter mais informações, confira as seções comportamento de 11 de outubro de 2022 e Tomar Medidas .
Nota Este artigo referenciava anteriormente uma chave de registro NetJoinLegacyAccountReuse . A partir de 13 de agosto de 2024, essa chave do registro e suas referências neste artigo foram removidas.
Comportamento antes de 11 de outubro de 2022
Antes de instalar as atualizações cumulativas de 11 de outubro de 2022 ou posteriores, o computador cliente consulta o Active Directory para uma conta existente com o mesmo nome. Essa consulta ocorre durante a junção de domínio e o provisionamento de conta de computador. Se essa conta existir, o cliente tentará reutilizá-la automaticamente.
Observação A tentativa de reutilização falhará se o usuário que tentar a operação de junção de domínio não tiver as permissões de gravação apropriadas. No entanto, se o usuário tiver permissões suficientes, a junção de domínio terá êxito.
Há dois cenários para a junção de domínio com os respectivos comportamentos padrão e sinalizadores da seguinte maneira:
-
Ingresso no domínio (NetJoinDomain)
-
Padrão para reutilização da conta (a menos que NETSETUP_NO_ACCT_REUSE sinalizador seja especificado)
-
-
Provisionamento de conta (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Padrão para NÃO reutilizar (a menos que NETSETUP_PROVISION_REUSE_ACCOUNT seja especificado.)
-
Comportamento de 11 de outubro de 2022
Depois de instalar as atualizações cumulativas do Windows de 11 de outubro de 2022 ou posteriores em um computador cliente, durante a junção de domínio, o cliente executará verificações de segurança adicionais antes de tentar reutilizar uma conta de computador existente. Algoritmo:
-
A tentativa de reutilização da conta será permitida se o usuário que tentar a operação for o criador da conta existente.
-
A tentativa de reutilização da conta será permitida se a conta foi criada por um membro dos administradores de domínio.
Essas verificações de segurança adicionais são feitas antes de tentar ingressar no computador. Se as verificações forem bem-sucedidas, o restante da operação de junção estará sujeito a permissões do Active Directory como antes.
Essa alteração não afeta novas contas.
Observação Depois de instalar as atualizações cumulativas do Windows de 11 de outubro de 2022 ou posteriores, a junção de domínio com a reutilização da conta de computador pode falhar intencionalmente com o seguinte erro:
Erro 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Existe uma conta com o mesmo nome no Active Directory. O reutilização da conta foi bloqueado pela política de segurança.".
Nesse caso, a conta está sendo protegida intencionalmente pelo novo comportamento.
A ID do evento 4101 será disparada quando ocorrer o erro acima e o problema será registrado em c:\windows\depuração\netsetup.log. Siga as etapas abaixo em Tomar Medidas para entender a falha e resolver o problema.
Comportamento de 14 de março de 2023
Nas atualizações do Windows lançadas em ou após 14 de março de 2023, fizemos algumas alterações no endurecimento de segurança. Essas alterações incluem todas as alterações que fizemos em 11 de outubro de 2022.
Primeiro, expandimos o escopo de grupos isentos desse endurecimento. Além dos Administradores de Domínio, administradores empresariais e grupos de administradores internos agora estão isentos da verificação de propriedade.
Em segundo lugar, implementamos uma nova configuração de Política de Grupo. Os administradores podem usá-lo para especificar uma lista de permissões de proprietários de contas de computador confiáveis. A conta do computador ignorará a verificação de segurança se um dos seguintes for verdadeiro:
-
A conta pertence a um usuário especificado como um proprietário confiável na Política de Grupo "Controlador de domínio: permitir o reutilização da conta de computador durante a junção de domínio".
-
A conta pertence a um usuário que é membro de um grupo especificado como proprietário confiável na Política de Grupo "Controlador de domínio: permitir o reutilização da conta de computador durante a junção de domínio".
Para usar essa nova Política de Grupo, o controlador de domínio e o computador membro devem ter a atualização de 14 de março de 2023 ou posterior instalada. Alguns de vocês podem ter contas específicas que você usa na criação de conta de computador automatizada. Se essas contas estiverem seguras contra abusos e você confiar nelas para criar contas de computador, você poderá isentá-las. Você ainda estará seguro contra a vulnerabilidade original atenuada pelas atualizações do Windows de 11 de outubro de 2022.
Comportamento de 12 de setembro de 2023
Nas atualizações do Windows lançadas em ou após 12 de setembro de 2023, fizemos algumas alterações adicionais no endurecimento de segurança. Essas alterações incluem todas as alterações que fizemos em 11 de outubro de 2022 e as alterações de 14 de março de 2023.
Resolvemos um problema em que a junção de domínio usando autenticação de cartão inteligente falhou independentemente da configuração da política. Para corrigir esse problema, movemos as verificações de segurança restantes de volta para o Controlador de Domínio. Portanto, após a atualização de segurança de setembro de 2023, os computadores cliente fazem chamadas SAMRPC autenticadas para o controlador de domínio para executar verificações de validação de segurança relacionadas à reutilização de contas de computador.
No entanto, isso pode fazer com que a junção de domínio falhe em ambientes em que a política a seguir está definida: Acesso à rede: restringir clientes autorizados a fazer chamadas remotas para SAM. Consulte a seção "Problemas Conhecidos" para obter informações sobre como resolver esse problema.
Comportamento de 13 de agosto de 2024
Nas atualizações do Windows lançadas em ou após 13 de agosto de 2024, abordamos todos os problemas de compatibilidade conhecidos com a política Allowlist. Também removemos o suporte para a chave NetJoinLegacyAccountReuse . O comportamento de endurecimento persistirá independentemente da configuração da chave. Os métodos apropriados para adicionar isenções estão listados na seção Tomar Medidas abaixo.
Tome medidas
Configure a nova política de lista de permissões usando a Política de Grupo em um controlador de domínio e remova todas as soluções alternativas herdadas do lado do cliente. Em seguida, faça o seguinte:
-
Você deve instalar as atualizações de 12 de setembro de 2023 ou posteriores em todos os computadores membros e controladores de domínio.
-
Em uma política de grupo nova ou existente que se aplica a todos os controladores de domínio, configure as configurações nas etapas abaixo.
-
Em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança, clique duas vezes no controlador de domínio: permitir o reutilização da conta de computador durante a junção de domínio.
-
Selecione Definir essa configuração de política e <Editar Segurança...>.
-
Use o seletor de objetos para adicionar usuários ou grupos de criadores de contas de computador confiáveis e proprietários à permissão Permitir . (Como prática recomendada, é altamente recomendável que você use grupos para permissões.) Não adicione a conta de usuário que executa a junção de domínio.
Aviso: Limite a associação à política a usuários confiáveis e contas de serviço. Não adicione usuários autenticados, todos ou outros grupos grandes a essa política. Em vez disso, adicione usuários confiáveis específicos e contas de serviço a grupos e adicione esses grupos à política.
-
Aguarde o intervalo de atualização da Política de Grupo ou execute gpupdate /force em todos os controladores de domínio.
-
Verifique se a chave de registro HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" está preenchida com o SDDL desejado. Não edite manualmente o registro.
-
Tente ingressar em um computador que tenha as atualizações de 12 de setembro de 2023 ou posteriores instaladas. Verifique se uma das contas listadas na política é dona da conta de computador. Se a junção de domínio falhar, verifique o \netsetup.log c:\windows\depuração.
Se você ainda precisar de uma solução alternativa, examine os fluxos de trabalho de provisionamento de conta de computador e entenda se as alterações são necessárias.
-
Execute a operação de junção usando a mesma conta que criou a conta do computador no domínio de destino.
-
Se a conta existente estiver obsoleta (não utilizado), exclua-a antes de tentar ingressar no domínio novamente.
-
Renomeie o computador e junte-se usando uma conta diferente que ainda não existe.
-
Se a conta existente pertencer a uma entidade de segurança confiável e um administrador quiser reutilizar a conta, siga as diretrizes na seção Tomar Ações para instalar as atualizações do Windows de setembro de 2023 ou posteriores e configurar uma lista de permissões.
Não soluções
-
Não adicione contas de serviço ou contas de provisionamento ao grupo de segurança de administradores de domínio.
-
Não edite manualmente o descritor de segurança em contas de computador na tentativa de redefinir a propriedade dessas contas, a menos que a conta de proprietário anterior tenha sido excluída. Ao editar o proprietário permitirá que as novas verificações tenham êxito, a conta do computador pode manter as mesmas permissões potencialmente arriscadas e indesejadas para o proprietário original, a menos que seja revisada e removida explicitamente.
Novos logs de eventos
Log de eventos |
SISTEMA |
Origem do evento |
Netjoin |
ID de Evento |
4100 |
Tipo de Evento |
Informacional |
Texto do Evento |
"Durante a junção de domínio, o controlador de domínio contatado encontrou uma conta de computador existente no Active Directory com o mesmo nome. Foi permitida uma tentativa de reutilização dessa conta. Controlador de domínio pesquisado: <nome do controlador de domínio>DN da conta de computador existente: <caminho DN da conta de computador>. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obter mais informações. |
Log de eventos |
SYSTEM |
Origem do evento |
Netjoin |
ID de Evento |
4101 |
Tipo de Evento |
Erro |
Texto do Evento |
Durante a junção de domínio, o controlador de domínio contatado encontrou uma conta de computador existente no Active Directory com o mesmo nome. Uma tentativa de reutilização dessa conta foi impedida por motivos de segurança. Controlador de domínio pesquisado: DN da conta de computador existente: o código de erro foi <código de erro>. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obter mais informações. |
O log de depuração está disponível por padrão (não é necessário habilitar nenhum log verboso) em C:\Windows\Debug\netsetup.log em todos os computadores cliente.
Exemplo do log de depuração gerado quando a reutilização da conta é impedida por motivos de segurança:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Novos eventos adicionados em março de 2023
Esta atualização adiciona quatro (4) novos eventos no log SYSTEM no controlador de domínio da seguinte maneira:
Nível de evento |
Informacional |
ID do evento |
16995 |
Pesquisa |
SYSTEM |
Origem do evento |
Directory-Services-SAM |
Texto do Evento |
O gerenciador de contas de segurança está usando o descritor de segurança especificado para validação de tentativas de reutilização da conta de computador durante a junção de domínio. Valor SDDL: <> de cadeia de caracteres SDDL Essa lista de permissões é configurada por meio da política de grupo no Active Directory. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Nível de evento |
Erro |
ID do evento |
16996 |
Pesquisa |
SYSTEM |
Origem do evento |
Directory-Services-SAM |
Texto do Evento |
O descritor de segurança que contém a lista de permissões da conta de computador que está sendo usada para validar a junção de domínio de solicitações do cliente está malformado. Valor SDDL: <> de cadeia de caracteres SDDL Essa lista de permissões é configurada por meio da política de grupo no Active Directory. Para corrigir esse problema, um administrador precisará atualizar a política para definir esse valor como um descritor de segurança válido ou desabilitá-lo. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Nível de evento |
Erro |
ID do evento |
16997 |
Pesquisa |
SYSTEM |
Origem do evento |
Directory-Services-SAM |
Texto do Evento |
O gerente da conta de segurança encontrou uma conta de computador que parece estar órfã e não tem um proprietário existente. Conta do computador: S-1-5-xxx Proprietário da conta de computador: S-1-5-xxx Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Nível de evento |
Aviso |
ID do evento |
16998 |
Pesquisa |
SYSTEM |
Origem do evento |
Directory-Services-SAM |
Texto do Evento |
O gerente da conta de segurança rejeitou uma solicitação do cliente para reutilização de uma conta de computador durante a junção de domínio. A conta do computador e a identidade do cliente não atenderam às verificações de validação de segurança. Conta do cliente: S-1-5-xxx Conta do computador: S-1-5-xxx Proprietário da conta de computador: S-1-5-xxx Verifique os dados de registro deste evento para obter o código de erro NT. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Se necessário, o netsetup.log pode fornecer mais informações.
Problemas conhecidos
Problema 1 |
Depois de instalar as atualizações de 12 de setembro de 2023 ou posteriores, a junção de domínio pode falhar em ambientes em que a política a seguir é definida: acesso à rede – Restringir clientes autorizados a fazer chamadas remotas para SAM – Segurança do Windows | Microsoft Learn. Isso ocorre porque os computadores cliente agora fazem chamadas SAMRPC autenticadas para o controlador de domínio para executar verificações de validação de segurança relacionadas à reutilização de contas de computador. Isso é esperado. Para acomodar essa alteração, os administradores devem manter a política SAMRPC do controlador de domínio em configurações padrão OU incluir explicitamente o grupo de usuários que executa a junção de domínio nas configurações do SDDL para conceder-lhes permissão.Exemplo de um netsetup.log em que esse problema ocorreu:
|
Problema 2 |
Se a conta do proprietário do computador tiver sido excluída e ocorrer uma tentativa de reutilizar a conta do computador, o Evento 16997 será registrado no log de eventos do Sistema. Se isso ocorrer, não há problema em atribuir novamente a propriedade a outra conta ou grupo. |
Problema 3 |
Se apenas o cliente tiver a atualização de 14 de março de 2023 ou posterior, a verificação de política do Active Directory retornará 0x32 STATUS_NOT_SUPPORTED. As verificações anteriores implementadas nos hotfixes de novembro serão aplicadas conforme mostrado abaixo:
|