Tip: Ak chcete zobraziť nový alebo revidovaný obsah z januára 2024, pozrite si v článku značky [január 2024 – začiatok] a [koniec – január 2024].
Zhrnutie
Aktualizácie Windowsu vydané 11. októbra 2022 a po ich vydaní obsahujú ďalšie ochrany, ktoré zaviedla verzia CVE-2022-38042. Tieto ochrany zámerne zabraňujú operáciám pripojenia domény opätovne použiť existujúce konto počítača v cieľovej doméne, pokiaľ:
-
Používateľ, ktorý sa pokúša o operáciu, je tvorcom existujúceho konta.
Alebo
-
Počítač vytvoril člen správcov domény.
Alebo
-
Vlastník konta počítača, ktoré sa opätovne používa, je členom radiča domény: Povolenie opätovného použitia konta počítača počas pripojenia k doméne. skupinová politika nastavenia. Toto nastavenie vyžaduje inštaláciu aktualizácií Windowsu vydaných 14. marca 2023 alebo po ich vydaní v počítačoch všetkých členov a radičoch domény.
Aktualizácie vydaných 14. marca 2023 a 12. septembra 2023 a po ich vydaní poskytne dotknutým zákazníkom systému Windows Server 2012 R2 a novším a všetkým podporovaným klientom ďalšie možnosti. Ďalšie informácie nájdete v častiach Správanie a Akcia z 11. októbra 2022.
Správanie pred 11. októbrom 2022
Pred inštaláciou kumulatívnych aktualizácií z 11. októbra 2022 alebo novšej verzie klientsky počítač dotazuje službu Active Directory na existujúce konto s rovnakým názvom. Tento dotaz sa vyskytuje počas pripájania domény a poskytovania konta počítača. Ak takéto konto existuje, klient sa ho automaticky pokúsi znova použiť.
Poznámka Pokus o opätovné použitie zlyhá, ak používateľ, ktorý sa pokúsi o operáciu pripojenia k doméne, nemá príslušné povolenia na zápis. Ak má však používateľ dostatočné povolenia, pripojenie k doméne bude úspešné.
Existujú dva scenáre pre pripojenie k doméne s príslušnými predvolenými správaniami a príznakmi takto:
-
Pripojenie k doméne (NetJoinDomain)
-
Predvolené nastavenie opätovného použitia konta (pokiaľ nie je zadaný príznak NETSETUP_NO_ACCT_REUSE )
-
-
Poskytovanie konta (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Predvolene sa použije možnosť ŽIADNE opätovné použitie (pokiaľ nie je zadaná NETSETUP_PROVISION_REUSE_ACCOUNT .)
-
Správanie z 11. októbra 2022
Po inštalácii kumulatívnych aktualizácií Windowsu z 11. októbra 2022 alebo novšej verzie v klientskom počítači vykoná klient počas pripojenia k doméne ďalšie kontroly zabezpečenia pred pokusom o opätovné použitie existujúceho konta počítača. Algoritmus:
-
Pokus o opätovné použitie konta bude povolený, ak používateľ, ktorý sa pokúša o operáciu, je tvorcom existujúceho konta.
-
Pokus o opätovné použitie konta bude povolený, ak konto vytvoril člen správcu domény.
Tieto dodatočné kontroly zabezpečenia sa vykonávajú pred pokusom o pripojenie k počítaču. Ak sú kontroly úspešné, zvyšok operácie pripojenia podlieha povoleniam služby Active Directory ako predtým.
Táto zmena nemá vplyv na nové kontá.
Poznámka Po inštalácii kumulatívnych aktualizácií Windowsu 11. októbra 2022 alebo novšej verzie môže opätovné použitie pripojenia domény s kontom počítača úmyselne zlyhať s nasledujúcou chybou:
Chyba 0xaac (2732): NERR_AccountReuseBlockedByPolicy: V službe Active Directory existuje konto s rovnakým názvom. Opätovné použitie konta bolo zablokované politikou zabezpečenia."
Ak áno, konto je zámerne chránené novým správaním.
Identifikácia udalosti 4101 sa spustí po výskyte vyššie uvedenej chyby a problém sa zapíše do denníka c:\windows\debug\netsetup.log. Ak chcete porozumieť zlyhaniu a vyriešiť problém, postupujte podľa krokov uvedených nižšie v časti Vykonať akciu.
Správanie zo 14. marca 2023
V aktualizáciách Windowsu vydaných 14. marca 2023 alebo po ňom sme vykonali niekoľko zmien v spevnení zabezpečenia. Tieto zmeny zahŕňajú všetky zmeny, ktoré sme vykonali 11. októbra 2022.
Po prvé, rozšírili sme rozsah skupín, ktoré sú oslobodené od tohto stvrdnutia. Okrem správcov domén sú teraz skupiny podnikových správcov a vstavaných správcov vyňaté z kontroly vlastníctva.
Po druhé, implementovali sme nové nastavenie skupinová politika. Správcovia ho môžu použiť na zadanie zoznamu povolených dôveryhodných vlastníkov kont počítača. Konto počítača obíde kontrolu zabezpečenia, ak je pravdivá niektorá z nasledujúcich možností:
-
Konto vlastní používateľ zadaný ako dôveryhodný vlastník v radiči domény: Povoliť opätovné použitie konta počítača počas pripojenia k doméne skupinová politika.
-
Konto vlastní používateľ, ktorý je členom skupiny určenej ako dôveryhodný vlastník v radiči domény: Povoliť opätovné použitie konta počítača počas pripojenia k doméne skupinová politika.
Ak chcete používať túto novú skupinová politika, radič domény a členský počítač musia mať neustále nainštalovanú aktualizáciu zo 14. marca 2023 alebo novšiu. Niektorí z vás môžu mať konkrétne kontá, ktoré používate pri automatickom vytváraní kont v počítači. Ak sú tieto kontá v bezpečí pred zneužitím a dôverujete im pri vytváraní počítačových kont, môžete ich vyňať. Naďalej budete v bezpečí proti pôvodnému nedostatočnému zabezpečeniu zmierneným aktualizáciami Windowsu z 11. októbra 2022.
Správanie z 12. septembra 2023
V aktualizáciách Windowsu vydaných 12. septembra 2023 alebo po ňom sme urobili niekoľko ďalších zmien v spevnení zabezpečenia. Tieto zmeny zahŕňajú všetky zmeny, ktoré sme vykonali 11. októbra 2022, a zmeny vykonané od 14. marca 2023.
Vyriešili sme problém, pri ktorom pripojenie domény pomocou overovania kartou Smart Card zlyhalo bez ohľadu na nastavenie politiky. Na vyriešenie tohto problému sme presunuli zostávajúce kontroly zabezpečenia späť do radiča domény. Preto po aktualizácii zabezpečenia zo septembra 2023 klientske počítače vykonávajú overené volania SAMRPC radiču domény na vykonávanie kontrol overenia zabezpečenia súvisiacich s opätovným pripojením kont počítačov.
Môže to však spôsobiť zlyhanie pripojenia k doméne v prostrediach, v ktorých je nastavená nasledujúca politika: Prístup k sieti: Obmedzte klientov povolených na uskutočňovanie vzdialených volaní do systému SAM. Informácie o riešení tohto problému nájdete v časti Známe problémy.
Plánujeme tiež odstrániť pôvodné nastavenie databázy Registry NetJoinLegacyAccountReuse v budúcej aktualizácii Windowsu. [Január 2024 – začiatok]Toto odstránenie je nezáväzne naplánované na aktualizáciu z 13. augusta 2024. Dátumy vydania sa môžu meniť. [Koniec – január 2024]
Poznámka Ak ste vo svojich klientoch nasadili kľúč NetJoinLegacyAccountReuse a nastavili ste ho na hodnotu 1, musíte tento kľúč odstrániť (alebo ho nastaviť na hodnotu 0), aby ste mohli využívať výhody najnovších zmien.
Vykonať akciu
Nakonfigurujte novú politiku zoznamu povolených položiek pomocou skupinová politika na radiči domény a odstráňte všetky alternatívne riešenia na strane klienta. Potom postupujte takto:
-
Aktualizácie z 12. septembra 2023 alebo novšie je potrebné nainštalovať do všetkých počítačov členov a radičov domény.
-
V novej alebo existujúcej skupinovej politike, ktorá sa vzťahuje na všetky radiče domény, nakonfigurujte nastavenia v nasledujúcich krokoch.
-
V časti Konfigurácia počítača\Politiky\Nastavenia systému Windows\Nastavenia zabezpečenia\Lokálne politiky\Možnosti zabezpečenia dvakrát kliknite na radič domény: Povoľte opätovné použitie konta počítača počas pripojenia k doméne.
-
Vyberte položku Definovať toto nastavenie politiky a <Upraviť zabezpečenie...>.
-
Pomocou výberu objektu môžete do povolenia Povoliť pridať používateľov alebo skupiny dôveryhodných tvorcov a vlastníkov počítačových kont. (Ako najvhodnejší postup dôrazne odporúčame, aby ste na povolenia používali skupiny.) Nepridávajte používateľské konto, ktoré vykonáva pripojenie k doméne.
Upozornenie: Obmedzte členstvo na politiku na dôveryhodných používateľov a kontá služieb. Do tejto politiky nepridávajte overených používateľov, všetkých ani iné veľké skupiny. Namiesto toho pridajte konkrétnych dôveryhodných používateľov a kontá služieb do skupín a pridajte tieto skupiny do politiky.
-
Počkajte na interval obnovenia skupinová politika alebo spustite gpupdate /force na všetkých radičoch domény.
-
Overte, či je kľúč databázy Registry HKLM\System\CCS\Control\SAM – kľúč databázy Registry ComputerAccountReuseAllowList vyplnený požadovaným kľúčom SDDL. Databázu Registry neupravujte manuálne.
-
Pokúste sa pripojiť k počítaču s nainštalovanou aktualizáciou z 12. septembra 2023 alebo novšou verziou. Skontrolujte, či niektoré z kont uvedených v politike vlastní konto počítača. Skontrolujte tiež, či jeho databáza Registry nemá povolený kľúč NetJoinLegacyAccountReuse (nastavený na hodnotu 1). Ak pripojenie k doméne zlyhá, skontrolujte c:\windows\debug\netsetup.log.
Ak stále potrebujete alternatívne riešenie, skontrolujte pracovné postupy poskytovania konta počítača a zistite, či sú potrebné zmeny.
-
Vykonajte operáciu pripojenia pomocou rovnakého konta, ktoré vytvorilo konto počítača v cieľovej doméne.
-
Ak je existujúce konto zastarané (nepoužíva sa), pred opätovným pokusom o pripojenie k doméne ho odstráňte.
-
Premenujte počítač a pripojte sa pomocou iného konta, ktoré ešte neexistuje.
-
Ak je existujúce konto vo vlastníctve dôveryhodného subjektu zabezpečenia a správca chce konto opätovne použiť, podľa pokynov v časti Prijať akciu nainštalujte aktualizácie Windowsu zo septembra 2023 alebo novšej verzie a nakonfigurujte zoznam povolených položiek.
Dôležité pokyny na používanie kľúča databázy Registry NetJoinLegacyAccountReuse
Upozornenie: Ak sa rozhodnete nastaviť tento kľúč na alternatívne riešenie týchto ochrany, vaše prostredie zostane citlivé na CVE-2022-38042, pokiaľ sa na váš scenár neodkazuje nižšie podľa potreby. Túto metódu nepoužívajte bez potvrdenia, že tvorca alebo vlastník existujúceho objektu počítača je zabezpečeným a dôveryhodným objektom zabezpečenia.
Z dôvodu nového skupinová politika by ste už nemali používať kľúč databázy Registry NetJoinLegacyAccountReuse. [Január 2024 – začiatok]Kľúč zachováme počas nasledujúcich niekoľkých mesiacov pre prípad, že budete potrebovať alternatívne riešenia. [Koniec – január 2024]Ak vo svojom scenári nemôžete nakonfigurovať nový objekt GPO, dôrazne odporúčame kontaktovať technickú podporu spoločnosti Microsoft.
|
Cestu |
HKLM\System\CurrentControlSet\Control\LSA |
|
Typ |
REG_DWORD |
|
Názov |
NetJoinLegacyAccountReuse (NetJoinLegacyAccountReuse) |
|
Hodnota |
1 Ostatné hodnoty sa ignorujú. |
Poznámka Spoločnosť Microsoft odstráni podporu pre nastavenie databázy Registry NetJoinLegacyAccountReuse v budúcej aktualizácii Windowsu. [Január 2024 – začiatok]Toto odstránenie je nezáväzne naplánované na aktualizáciu z 13. augusta 2024. Dátumy vydania sa môžu meniť. [Koniec – január 2024]
Nerozpustné
-
Po inštalácii aktualizácií z 12. septembra 2023 alebo novších aktualizácií pre DCs a klientov v prostredí nepoužívajte databázu Registry NetJoinLegacyAccountReuse . Namiesto toho postupujte podľa krokov v časti Vykonať akciu a nakonfigurujte nový objekt GPO.
-
Nepridávajte kontá služieb ani kontá poskytovania do skupiny zabezpečenia Správcovia domény.
-
Neupravujte manuálne popisovač zabezpečenia v počítačových kontách v snahe predefinovať vlastníctvo takýchto kont, pokiaľ predchádzajúce konto vlastníka nebolo odstránené. Pri úprave vlastníka sa nové kontroly povolia úspešne, konto počítača si môže ponechať rovnaké potenciálne riskantné a nechcené povolenia pre pôvodného vlastníka, pokiaľ ich explicitne neskontroluje a neodstráni.
-
Nepridávajte kľúč databázy Registry NetJoinLegacyAccountReuse k základným obrázkom operačného systému, pretože kľúč by sa mal len dočasne pridať a potom odstrániť priamo po dokončení pripojenia k doméne.
Nové denníky udalostí
|
Denník udalostí |
SYSTÉM |
|
Zdroj udalosti |
Netjoin |
|
Identifikačné číslo udalosti |
4100 |
|
Typ udalosti |
Informačné |
|
Text udalosti |
"Počas pripojenia k doméne kontaktovaný radič domény našiel existujúce konto počítača v službe Active Directory s rovnakým názvom. Pokus o opätovné použitie tohto konta bol povolený. Prehľadávaný radič domény: <názov radiča domény>DN existujúceho konta počítača: <cesta DN konta počítača>. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Denník udalostí |
SYSTÉM |
|
Zdroj udalosti |
Netjoin |
|
Identifikačné číslo udalosti |
4101 |
|
Typ udalosti |
Chyba |
|
Text udalosti |
Počas pripojenia k doméne kontaktovaný radič domény našiel existujúce konto počítača v službe Active Directory s rovnakým názvom. Pokus o opätovné použitie tohto konta bol z bezpečnostných dôvodov zablokovaný. Prehľadávaný radič domény: DN existujúceho konta počítača: Kód chyby bol <kód chyby>. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2202145. |
Zapisovanie do denníka ladenia je predvolene k dispozícii (nie je potrebné povoliť podrobné zapisovanie do denníka) v C:\Windows\Debug\netsetup.log vo všetkých klientskych počítačoch.
Príklad zapisovania do denníka ladenia vygenerovaného pri zakázaní opätovného použitia konta z bezpečnostných dôvodov:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nové udalosti pridané v marci 2023
Táto aktualizácia pridá štyri (4) nové udalosti v denníku SYSTEM na radiči domény takto:
|
Úroveň udalosti |
Informačné |
|
Identifikácia |
16995 |
|
Denníka |
SYSTÉM |
|
Zdroj udalosti |
Directory-Services-SAM |
|
Text udalosti |
Správca konta zabezpečenia používa zadaný popisovač zabezpečenia na overenie pokusov o opätovné použitie konta počítača počas pripojenia k doméne. Hodnota SDDL: <reťazec SDDL> Tento zoznam povolených položiek je nakonfigurovaný prostredníctvom skupinovej politiky v službe Active Directory. Ďalšie informácie nájdete v http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Úroveň udalosti |
Chyba |
|
Identifikácia |
16996 |
|
Denníka |
SYSTÉM |
|
Zdroj udalosti |
Directory-Services-SAM |
|
Text udalosti |
Popisovač zabezpečenia, ktorý obsahuje konto počítača, opätovne používa zoznam povolených položiek, ktorý sa používa na overovanie klientskych požiadaviek na pripojenie domény, je poškodený. Hodnota SDDL: <reťazec SDDL> Tento zoznam povolených položiek je nakonfigurovaný prostredníctvom skupinovej politiky v službe Active Directory. Ak chcete odstrániť tento problém, správca bude musieť aktualizovať politiku tak, aby nastavil túto hodnotu na platný popisovač zabezpečenia alebo ho zakázal. Ďalšie informácie nájdete v http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Úroveň udalosti |
Chyba |
|
Identifikácia |
16997 |
|
Denníka |
SYSTÉM |
|
Zdroj udalosti |
Directory-Services-SAM |
|
Text udalosti |
Správca konta zabezpečenia našiel konto počítača, ktoré je pravdepodobne osamotené a nemá existujúceho vlastníka. Konto počítača: S-1-5-xxx Vlastník konta počítača: S-1-5-xxx Ďalšie informácie nájdete v http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Úroveň udalosti |
Upozornenie |
|
Identifikácia |
16998 |
|
Denníka |
SYSTÉM |
|
Zdroj udalosti |
Directory-Services-SAM |
|
Text udalosti |
Správca konta zabezpečenia odmietol požiadavku klienta na opätovné použitie konta počítača počas pripojenia k doméne. Konto počítača a identita klienta nespĺňali kontroly overenia zabezpečenia. Klientske konto: S-1-5-xxx Konto počítača: S-1-5-xxx Vlastník konta počítača: S-1-5-xxx Skontrolujte údaje záznamu tejto udalosti pre kód chyby NT. Ďalšie informácie nájdete v http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ak je to potrebné, netsetup.log môže poskytnúť ďalšie informácie. Pozrite si príklad z pracovného počítača nižšie.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Známe problémy
|
Problém 1 |
Po inštalácii aktualizácií z 12. septembra 2023 alebo novšej verzie môže pripojenie k doméne zlyhať v prostrediach, v ktorých je nastavená nasledujúca politika: Prístup k sieti – Obmedzenie prístupu klientov povolených na uskutočňovanie vzdialených volaní do sam - Windows Zabezpečenie | Microsoft Learn. Dôvodom je, že klientske počítače teraz vykonávajú overené volania SAMRPC radiču domény na vykonávanie kontrol overenia zabezpečenia súvisiacich s opätovným používaním kont počítačov. Príklad z netsetup.log, kde sa vyskytol tento problém: |
|
Problém 2 |
Ak bolo konto vlastníka počítača odstránené a vyskytne sa pokus o opätovné použitie konta počítača, udalosť 16997 sa zapíše do denníka udalostí systému. Ak k tomu dôjde, je v poriadku znova priradiť vlastníctvo k inému kontu alebo skupine. |
|
Problém 3 |
Ak má klient aktualizáciu z 14. marca 2023 alebo novšiu, kontrola politiky služby Active Directory sa vráti 0x32 STATUS_NOT_SUPPORTED. Predchádzajúce kontroly, ktoré boli implementované v novembrových rýchlych opravách, sa použijú, ako je to znázornené nižšie: |
