Sugestão: Para ver o conteúdo novo ou revisto de janeiro de 2024, consulte as etiquetas [Janeiro de 2024 - Início] e [Fim - Janeiro de 2024] no artigo.
Resumo
As atualizações do Windows lançadas em e depois de 11 de outubro de 2022 contêm proteções adicionais introduzidas pelo CVE-2022-38042. Estas proteções impedem intencionalmente que as operações de associação a um domínio reutilizem uma conta de computador existente no domínio de destino, a menos que:
-
O utilizador que está a tentar a operação é o criador da conta existente.
Ou
-
O computador foi criado por um membro dos administradores de domínio.
Ou
-
O proprietário da conta de computador que está a ser reutilizada é membro do "Controlador de domínio: Permitir a reutilização da conta de computador durante a associação a um domínio". Política de Grupo definição. Esta definição requer a instalação de atualizações do Windows lançadas em ou depois de 14 de março de 2023, em TODOS os computadores membros e controladores de domínio.
Atualizações lançados em e depois de 14 de março de 2023 e 12 de setembro de 2023, fornecerão opções adicionais para clientes afetados no Windows Server 2012 R2 e acima e em todos os clientes suportados. Para obter mais informações, consulte as secções Comportamento de 11 de outubro de 2022 e Tomar Medidas .
Comportamento antes de 11 de outubro de 2022
Antes de instalar as atualizações cumulativas de 11 de outubro de 2022 ou posteriores, o computador cliente consulta o Active Directory para uma conta existente com o mesmo nome. Esta consulta ocorre durante a associação a um domínio e o aprovisionamento de contas de computador. Se essa conta existir, o cliente tentará reutilizá-la automaticamente.
Nota A tentativa de reutilização falhará se o utilizador que tentar a operação de associação a um domínio não tiver as permissões de escrita adequadas. No entanto, se o utilizador tiver permissões suficientes, a associação a um domínio será bem-sucedida.
Existem dois cenários para associação a um domínio com os respetivos comportamentos e sinalizadores predefinidos da seguinte forma:
-
Associação a Um Domínio (NetJoinDomain)
-
Predefinições para reutilização da conta (a menos que seja especificado NETSETUP_NO_ACCT_REUSE sinalizador)
-
-
Aprovisionamento de contas (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
A predefinição é NÃO reutilizar (a menos que NETSETUP_PROVISION_REUSE_ACCOUNT seja especificado.)
-
Comportamento de 11 de outubro de 2022
Depois de instalar as atualizações cumulativas do Windows de 11 de outubro de 2022 ou posteriores num computador cliente, durante a associação a um domínio, o cliente efetuará verificações de segurança adicionais antes de tentar reutilizar uma conta de computador existente. Algoritmo:
-
A tentativa de reutilização da conta será permitida se o utilizador que está a tentar a operação for o criador da conta existente.
-
A tentativa de reutilização da conta será permitida se a conta tiver sido criada por um membro dos administradores de domínio.
Estas verificações de segurança adicionais são efetuadas antes de tentar associar o computador. Se as verificações forem efetuadas com êxito, o resto da operação de associação estará sujeito a permissões do Active Directory, tal como anteriormente.
Esta alteração não afeta as novas contas.
Nota Depois de instalar as atualizações cumulativas do Windows de 11 de outubro de 2022 ou posteriores, a associação a um domínio com a reutilização da conta de computador pode falhar intencionalmente com o seguinte erro:
Erro 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Existe uma conta com o mesmo nome no Active Directory. A reutilização da conta foi bloqueada pela política de segurança."
Em caso afirmativo, a conta está intencionalmente a ser protegida pelo novo comportamento.
O ID do Evento 4101 será acionado assim que ocorrer o erro acima e o problema será registado em c:\windows\debug\netsetup.log. Siga os passos abaixo em Tomar Medidas para compreender a falha e resolver o problema.
Comportamento de 14 de março de 2023
Nas atualizações do Windows lançadas em ou depois de 14 de março de 2023, fizemos algumas alterações à proteção de segurança. Estas alterações incluem todas as alterações que fizemos em 11 de outubro de 2022.
Em primeiro lugar, expandimos o âmbito dos grupos que estão isentos desta proteção. Além dos Administradores de Domínio, os grupos Administradores do Enterprise e Administradores Incorporados estão agora excluídos da verificação de propriedade.
Em segundo lugar, implementámos uma nova definição de Política de Grupo. Os administradores podem utilizá-lo para especificar uma lista de permissões de proprietários de contas de computador fidedignas. A conta de computador ignorará a verificação de segurança se uma das seguintes opções for verdadeira:
-
A conta pertence a um utilizador especificado como proprietário fidedigno no Política de Grupo "Controlador de domínio: Permitir a reutilização da conta de computador durante a associação a um domínio".
-
A conta pertence a um utilizador que é membro de um grupo especificado como proprietário fidedigno no Política de Grupo "Controlador de domínio: Permitir a reutilização da conta de computador durante a associação a um domínio".
Para utilizar este novo Política de Grupo, o controlador de domínio e o computador membro têm de ter consistentemente instalada a atualização de 14 de março de 2023 ou posterior. Alguns podem ter contas específicas que utiliza na criação automatizada de contas de computador. Se essas contas estiverem a salvo de abusos e confiar nas mesmas para criar contas de computador, pode isentar as mesmas. Continuará protegido contra a vulnerabilidade original mitigada pelas atualizações do Windows de 11 de outubro de 2022.
Comportamento de 12 de setembro de 2023
Nas atualizações do Windows lançadas em ou depois de 12 de setembro de 2023, fizemos algumas alterações adicionais à proteção de segurança. Estas alterações incluem todas as alterações efetuadas em 11 de outubro de 2022 e as alterações a partir de 14 de março de 2023.
Resolvemos um problema em que a associação a um domínio através da autenticação de smart card falhou, independentemente da definição de política. Para corrigir este problema, movemos as restantes verificações de segurança para o Controlador de Domínio. Por conseguinte, após a atualização de segurança de setembro de 2023, os computadores cliente efetuam chamadas SAMRPC autenticadas para o controlador de domínio para efetuar verificações de validação de segurança relacionadas com a reutilização de contas de computador.
No entanto, isto pode fazer com que a associação a um domínio falhe em ambientes onde a seguinte política está definida: Acesso à rede: Restringir clientes autorizados a fazer chamadas remotas para SAM. Consulte a secção "Problemas Conhecidos" para obter informações sobre como resolver este problema.
Também planeamos remover a definição de registo NetJoinLegacyAccountReuse original numa futura atualização do Windows. [Janeiro de 2024 - Iniciar]Esta remoção está agendada em modo de tentativa para a atualização datada de 13 de agosto de 2024. As datas de lançamento estão sujeitas a alterações. [Fim - janeiro de 2024]
Nota Se implementou a chave NetJoinLegacyAccountReuse nos seus clientes e a definiu como valor 1, tem agora de remover essa chave (ou defini-la como 0) para beneficiar das alterações mais recentes.
Tomar Medidas
Configure a nova política de lista de permissões com o Política de Grupo num controlador de domínio e remova quaisquer soluções do lado do cliente legadas. Em seguida, faça o seguinte:
-
Tem de instalar as atualizações de 12 de setembro de 2023 ou posteriores em todos os computadores membros e controladores de domínio.
-
Numa política de grupo nova ou existente que se aplique a todos os controladores de domínio, configure as definições nos passos abaixo.
-
Em Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Políticas Locais\Opções de Segurança, faça duplo clique em Controlador de domínio: Permitir a reutilização da conta de computador durante a associação a um domínio.
-
Selecione Definir esta definição de política e <Editar Segurança...>.
-
Utilize o seletor de objetos para adicionar utilizadores ou grupos de criadores e proprietários de contas de computador fidedignos à permissão Permitir . (Como melhor prática, recomendamos vivamente que utilize grupos para permissões.) Não adicione a conta de utilizador que efetua a associação a um domínio.
Aviso: Limitar a associação à política a utilizadores fidedignos e contas de serviço. Não adicione utilizadores autenticados, todos ou outros grupos grandes a esta política. Em vez disso, adicione utilizadores fidedignos e contas de serviço específicos a grupos e adicione esses grupos à política.
-
Aguarde o intervalo de atualização Política de Grupo ou execute gpupdate /force em todos os controladores de domínio.
-
Verifique se a chave de registo HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" está preenchida com o SDDL pretendido. Não edite manualmente o registo.
-
Tente associar um computador com as atualizações de 12 de setembro de 2023 ou posterior instaladas. Certifique-se de que uma das contas listadas na política é proprietária da conta de computador. Certifique-se também de que o respetivo registo não tem a chave NetJoinLegacyAccountReuse ativada (definida como 1). Se a associação ao domínio falhar, verifique c:\windows\debug\netsetup.log.
Se ainda precisar de uma solução alternativa, reveja os fluxos de trabalho de aprovisionamento de contas de computador e compreenda se são necessárias alterações.
-
Execute a operação de associação com a mesma conta que criou a conta de computador no domínio de destino.
-
Se a conta existente estiver obsoleta (não utilizada), elimine-a antes de tentar associar novamente o domínio.
-
Mude o nome do computador e adira com uma conta diferente que ainda não existe.
-
Se a conta existente for propriedade de um principal de segurança fidedigno e um administrador quiser reutilizar a conta, siga as orientações na secção Tomar Medidas para instalar as atualizações do Windows de setembro de 2023 ou posteriores e configurar uma lista de permissões.
Documentação de orientação importante para utilizar a chave de registo NetJoinLegacyAccountReuse
Atenção: Se optar por definir esta chave para contornar estas proteções, deixará o seu ambiente vulnerável ao CVE-2022-38042, a menos que o seu cenário seja referenciado abaixo conforme adequado. Não utilize este método sem confirmar que o Criador/Proprietário do objeto de computador existente é um principal de segurança seguro e fidedigno.
Devido ao novo Política de Grupo, já não deve utilizar a chave de registo NetJoinLegacyAccountReuse. [Janeiro de 2024 - Iniciar]Iremos preservar a chave durante os próximos meses, caso precise de soluções alternativas. [Fim - janeiro de 2024]Se não conseguir configurar o novo GPO no seu cenário, recomendamos vivamente que contacte Suporte da Microsoft.
|
Caminho |
HKLM\System\CurrentControlSet\Control\LSA |
|
Tipo |
REG_DWORD |
|
Nome |
NetJoinLegacyAccountReuse |
|
Valor |
1 Outros valores são ignorados. |
NotaA Microsoft removerá o suporte para a definição de registo NetJoinLegacyAccountReuse numa futura atualização do Windows. [Janeiro de 2024 - Iniciar]Esta remoção está agendada em modo de tentativa para a atualização datada de 13 de agosto de 2024. As datas de lançamento estão sujeitas a alterações. [Fim - janeiro de 2024]
Nãooluções
-
Depois de instalar atualizações de 12 de setembro de 2023 ou posteriores em DCs e clientes no ambiente, não utilize o registo NetJoinLegacyAccountReuse . Em vez disso, siga os passos em Tomar Medidas para configurar o novo GPO.
-
Não adicione contas de serviço ou contas de aprovisionamento ao grupo de segurança Admins do Domínio.
-
Não edite manualmente o descritor de segurança em contas de computador numa tentativa de redefinir a propriedade dessas contas, a menos que a conta de proprietário anterior tenha sido eliminada. Ao editar o proprietário irá permitir que as novas verificações sejam efetuadas com êxito, a conta de computador poderá manter as mesmas permissões potencialmente arriscadas e indesejadas para o proprietário original, a menos que seja explicitamente revista e removida.
-
Não adicione a chave de registo NetJoinLegacyAccountReuse às imagens de SO base porque a chave só deve ser adicionada temporariamente e, em seguida, removida diretamente após a conclusão da associação ao domínio.
Novos registos de eventos
|
Registo de eventos |
SISTEMA |
|
Origem do Evento |
Netjoin |
|
ID de Evento |
4100 |
|
Tipo de Evento |
Informativo |
|
Texto do Evento |
"Durante a associação a um domínio, o controlador de domínio contactado encontrou uma conta de computador existente no Active Directory com o mesmo nome. Foi permitida uma tentativa de reutilização desta conta. Controlador de domínio pesquisado: <nome do controlador de domínio>DN da conta de computador existente: <caminho DN da conta de computador>. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obter mais informações. |
|
Registo de eventos |
SISTEMA |
|
Origem do Evento |
Netjoin |
|
ID de Evento |
4101 |
|
Tipo de Evento |
Erro |
|
Texto do Evento |
Durante a associação a um domínio, o controlador de domínio contactado encontrou uma conta de computador existente no Active Directory com o mesmo nome. Uma tentativa de reutilização desta conta foi impedida por motivos de segurança. Controlador de domínio pesquisado: DN de conta de computador existente: o código de erro foi <código de erro>. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obter mais informações. |
O registo de depuração está disponível por predefinição (não é necessário ativar qualquer registo verboso) em C:\Windows\Debug\netsetup.log em todos os computadores cliente.
Exemplo do registo de depuração gerado quando a reutilização da conta é impedida por motivos de segurança:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Novos eventos adicionados em março de 2023
Esta atualização adiciona quatro (4) novos eventos no registo SYSTEM no controlador de domínio da seguinte forma:
|
Nível do Evento |
Informativo |
|
ID do Evento |
16995 |
|
Registo |
SISTEMA |
|
Origem do Evento |
Directory-Services-SAM |
|
Texto do Evento |
O gestor de conta de segurança está a utilizar o descritor de segurança especificado para validação de tentativas de reutilização da conta de computador durante a associação a um domínio. Valor SDDL: <cadeia SDDL> Esta lista de permissões é configurada através da política de grupo no Active Directory. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nível do Evento |
Erro |
|
ID do Evento |
16996 |
|
Registo |
SISTEMA |
|
Origem do Evento |
Directory-Services-SAM |
|
Texto do Evento |
O descritor de segurança que contém a lista de permissões de reutilização da conta de computador que está a ser utilizada para validar a associação a um domínio de pedidos de cliente tem um formato incorreto. Valor SDDL: <cadeia SDDL> Esta lista de permissões é configurada através da política de grupo no Active Directory. Para corrigir este problema, um administrador terá de atualizar a política para definir este valor para um descritor de segurança válido ou desativá-lo. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nível do Evento |
Erro |
|
ID do Evento |
16997 |
|
Registo |
SISTEMA |
|
Origem do Evento |
Directory-Services-SAM |
|
Texto do Evento |
O gestor da conta de segurança encontrou uma conta de computador que parece ser órfã e não tem um proprietário existente. Conta de Computador: S-1-5-xxx Proprietário da Conta de Computador: S-1-5-xxx Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nível do Evento |
Aviso |
|
ID do Evento |
16998 |
|
Registo |
SISTEMA |
|
Origem do Evento |
Directory-Services-SAM |
|
Texto do Evento |
O gestor de conta de segurança rejeitou um pedido de cliente para reutilizar uma conta de computador durante a associação a um domínio. A conta de computador e a identidade do cliente não cumpriram as verificações de validação de segurança. Conta de Cliente: S-1-5-xxx Conta de Computador: S-1-5-xxx Proprietário da Conta de Computador: S-1-5-xxx Verifique os dados de registo deste evento para obter o código de erro NT. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Se necessário, o netsetup.log pode fornecer mais informações. Veja o exemplo abaixo a partir de um computador de trabalho.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Problemas conhecidos
|
Problema 1 |
Após a instalação das atualizações de 12 de setembro de 2023 ou posteriores, a associação a um domínio pode falhar em ambientes onde está definida a seguinte política: Acesso à rede – Restringir clientes autorizados a efetuar chamadas remotas para SAM - Segurança do Windows | Microsoft Learn. Isto deve-se ao facto de os computadores cliente efetuarem agora chamadas SAMRPC autenticadas para o controlador de domínio para efetuar verificações de validação de segurança relacionadas com a reutilização de contas de computador. Exemplo de um netsetup.log em que este problema ocorreu: |
|
Problema 2 |
Se a conta de proprietário do computador tiver sido eliminada e ocorrer uma tentativa de reutilização da conta de computador, o Evento 16997 será registado no registo de eventos do Sistema. Se isto ocorrer, não há problema em voltar a atribuir a propriedade a outra conta ou grupo. |
|
Problema 3 |
Se apenas o cliente tiver a atualização de 14 de março de 2023 ou posterior, a verificação da política do Active Directory devolverá 0x32 STATUS_NOT_SUPPORTED. As verificações anteriores que foram implementadas nas correções de novembro serão aplicadas, conforme mostrado abaixo: |
