KB5020276 – Netjoin: utrjevanje sprememb pridruževanje domeni

Povzetek

Posodobitve sistema Windows, izdane 11. oktobra 2022 in po njem, vsebujejo dodatno zaščito, ki jo je uvedel CVE-2022-38042. S temi zaščitami namerno preprečite, da bi operacije združevanja domen znova uporabiti obstoječi račun računalnika v ciljni domeni, razen če:

Uporabnik, ki poskuša izvesti operacijo, je avtor obstoječega računa.

Ali
Računalnik je ustvaril član skrbnikov domene.

Ali

Lastnik računa računalnika, ki ga znova uporabljate, je član »Krmilnik domene: omogočanje ponovne uporabe računa računalnika med pridružitvijo domeni«. Nastavitev pravilnika skupine. Ta nastavitev zahteva namestitev posodobitev sistema Windows, ki so bile izdane 14. marca 2023 ali po tem, v vse računalnike in krmilnike domene za člane.

Posodobitve, izdane 14. marca 2023 in 12. septembra 2023 in po tem, bodo zagotovile dodatne možnosti za prizadete stranke v sistemu Windows Server 2012 R2 in več ter vseh podprtih odjemalcih. Če želite več informacij, glejte razdelka Delovanje z dne 11. oktobra 2022 in Ukrepanje .

Opomba V tem članku je bil predhodno opisan registrski ključ NetJoinLegacyAccountReuse . Od 13. avgusta 2024 so bili ta registrski ključ in njegovi sklici v tem članku odstranjeni.

Vedenje pred 11. oktobrom 2022

Preden namestite zbirne posodobitve z dne 11. oktobra 2022 ali novejše, odjemalski računalnik prebira imenik Active Directory za obstoječi račun z istim imenom. Do te poizvedbe pride med združevanjem domen in omogočanjem uporabe računa računalnika. Če obstaja tak račun, ga bo odjemalec samodejno poskušal znova uporabiti.

Opomba Poskus vnovične uporabe ne bo uspel, če uporabnik, ki poskusi operacijo pridružitve domeni, nima ustreznih dovoljenj za pisanje. Če pa ima uporabnik dovolj dovoljenj, bo pridružitev domeni uspešna.

Za pridružitev domeni z ustreznim privzetim vedenjem in zastavicami obstajata dva scenarija:

Pridružitev domeni (NetJoinDomain)
- Privzete nastavitve za vnovično uporabo računa ( razen če NETSETUP_NO_ACCT_REUSE zastavica določena)
Omogočanje uporabe računa (NetProvisionComputerAccountNetCreateProvisioningPackage).
- Privzeta vrednost za vnovično uporabo funkcije NO (NETSETUP_PROVISION_REUSE_ACCOUNT ni določena.)

11. oktober 2022

Ko v odjemalski računalnik namestite zbirne posodobitve sistema Windows z dne 11. oktobra 2022 ali novejše, bo odjemalec med pridružitvijo domeni opravil dodatna varnostna preverjanja, preden bo poskusil znova uporabiti obstoječi račun računalnika. Algoritem:

Poskus vnovične uporabe računa bo dovoljen, če je uporabnik, ki poskuša izvesti operacijo, ustvaril obstoječi račun.
Poskus ponovne uporabe računa je dovoljen, če je račun ustvaril član skrbnikov domene.

Ta dodatna varnostna preverjanja se opravijo, preden se poskusijo pridružiti računalniku. Če so preverjanja uspešna, za preostalo operacijo združevanja veljajo dovoljenja imenika Active Directory kot prej.

Ta sprememba ne vpliva na nove račune.

Opomba Po namestitvi zbirnih posodobitev sistema Windows z dne 11. oktobra 2022 ali novejših, lahko pridružitev domeni z vnovično uporabo računa računalnika namerno ne uspe, pri tem pa se prikaže ta napaka:

Napaka 0xaac (2732): NERR_AccountReuseBlockedByPolicy: »Račun z istim imenom obstaja v imeniku Active Directory. Ponovno uporabo računa je blokiral varnostni pravilnik.«

V tem primeru je račun namerno zaščiten z novim vedenjem.

ID dogodka 4101 se sproži, ko pride do zgornje napake in težava bo zabeležena v mapi c:\windows\debug\netsetup.log. Če želite razumeti napako in odpraviti težavo, upoštevajte spodnja navodila v razdelku Ukrepanje.

14. marec 2023 vedenje

V posodobitvah sistema Windows, ki so bile izdane 14. marca 2023 ali po tem, smo nekoliko spremenili varnostno utrjevanje. Te spremembe vključujejo vse spremembe, ki smo jih naredili 11. oktobra 2022.

Najprej smo razširili obseg skupin, ki so izvzete iz tega utrjenega. Poleg skrbnikov domene so skrbniki podjetja in vgrajene skupine skrbnikov zdaj izvzeti iz preverjanja lastništva.

Nato smo izvedejo novo nastavitev pravilnika skupine. Skrbniki lahko z njim določijo seznam omogočanje za lastnike zaupanja vrednih računov v računalniku. Račun računalnika bo preskočil varnostno preverjanje, če velja nekaj od tega:

Račun je v lasti uporabnika, ki je naveden kot zaupanja vreden lastnik v pravilniku skupine »Krmilnik domene: Dovoli ponovno uporabo računalniškega računa med pridružitvijo domeni«.
Račun je v lasti uporabnika, ki je član skupine, določene kot zaupanja vreden lastnik v pravilniku skupine »Krmilnik domene: Dovoli ponovno uporabo računalniškega računa med pridružitvijo domeni«.

Če želite uporabiti ta nov pravilnik skupine, morata biti krmilnik domene in računalnik člana dosledno nameščena posodobitev z dne 14. marca 2023 ali novejša. Nekateri od vas imajo morda določene račune, ki jih uporabljate pri avtomatiziranem ustvarjanju računa v računalniku. Če so ti računi varni pred zlorabami in jim zaupate, da ustvarijo računalniške račune, jih lahko izvzamete. Še vedno boste zaščiteni pred izvirno ranljivostjo, ki ste jo ublažili s posodobitvami sistema Windows z dne 11. oktobra 2022.

^{12. september 2023}

V posodobitvah sistema Windows, ki so bile izdane 12. septembra 2023 ali po tem, smo naredili nekaj dodatnih sprememb v varnostnem utrjenju. Te spremembe vključujejo vse spremembe, ki smo jih naredili 11. oktobra 2022, in spremembe iz 14. marca 2023.

Odpravili smo težavo, pri kateri pridružitev domeni s preverjanjem pristnosti pametne kartice ni uspela ne glede na nastavitev pravilnika. Da bi odpravili to težavo, smo preostala varnostna preverjanja premaknili nazaj v krmilnik domene. Po varnostni posodobitvi iz septembra 2023 odjemalski računalniki s preverjeno pristnostjo pokličejo krmilnik domene za izvajanje preverjanj varnosti, povezanih s ponovno uporabo računalnikov.

Vendar pa lahko zaradi tega pridružitev domeni ne uspe v okoljih, kjer je nastavljen ta pravilnik: Dostop do omrežja: Omejitev odjemalcev, ki imajo dovoljenje za opravljanje oddaljenih klicev v SAM. Če želite več informacij o tem, kako odpraviti to težavo, glejte razdelek »Znane težave«.

13. avgust 2024

V posodobitvah sistema Windows, ki so bile izdane 13. avgusta 2024 ali po njem, smo odpravili vse znane težave z združljivostjo s pravilnikom allowlist. Odstranili smo tudi podporo za ključ NetJoinLegacyAccountReuse . Vedenje utrjenosti bo ohranjeno ne glede na nastavitev ključa. Ustrezne metode za dodajanje izjem so navedene v spodnjem razdelku Ukrepanje.

Ukrepajte

Konfigurirajte nov pravilnik za seznam allow list s pravilnikom skupine v krmilniku domene in odstranite morebitne podedovane rešitve na strani odjemalca. Nato naredite to:

Posodobitve, ki so bile nameščene 12. septembra 2023 ali novejše, morate namestiti v vse računalnike in krmilnike domene za člane.
V novem ali obstoječem pravilniku skupine, ki velja za vse krmilnike domene, konfigurirajte nastavitve v spodnjih korakih.
V razdelku Konfiguracija računalnika\Pravilniki\Nastavitve sistema Windows\ Varnostne nastavitve\Lokalni pravilniki\Varnostne možnosti dvokliknite Krmilnik domene: Omogočanje vnovične uporabe računa računalnika med pridružitvijo domeni.
Izberite Določi to nastavitev pravilnika in <Uredi varnost ...>.
Z izbirnikom predmetov dodajte uporabnike ali skupine ustvarjalcev in lastnikov zaupanja vrednih računalnikov v dovoljenje »Dovoli«. (Priporočamo, da za dovoljenja uporabite skupine.) Ne dodajte uporabniškega računa, ki izvede pridružitev domeni.

Opozorilo: Omejite članstvo na pravilnik na zaupanja vredne uporabnike in račune storitev. V ta pravilnik ne dodajajte uporabnikov s preverjeno pristnostjo, vseh ali drugih velikih skupin. Namesto tega v skupine dodajte določene zaupanja vredne uporabnike in račune storitev ter dodajte te skupine v pravilnik.
Počakajte na interval osveževanja pravilnika skupine ali zaženite gpupdate /force v vseh krmilnikih domene.
Preverite, ali je registrski ključ HKLM\System\CCS\Control\SAM – »ComputerAccountReuseAllowList« izpolnjen s želenim ključem SDDL. Registra ne urejajte ročno.
Poskusite se pridružiti računalniku, v katerem so nameščene posodobitve, ki so bile nameščene 12. septembra 2023 ali novejše. Prepričajte se, da je eden od računov, navedenih v pravilniku, v lasti računalniškega računa. Če pridružitev domeni ne uspe, preverite potrditveno polje c:\windows\debug\netsetup.log.

Če še vedno potrebujete nadomestno rešitev, preglejte poteke dela za omogočanje uporabe računa v računalniku in preverite, ali so potrebne spremembe.

Operacijo združevanja izvedite z istim računom, ki je ustvaril račun računalnika v ciljni domeni.
Če je obstoječi račun zastarel (neuporabljen), ga izbrišite, preden se poskusite znova pridružiti domeni.
Preimenujte računalnik in se pridružite z drugim računom, ki še ne obstaja.
Če je obstoječi račun v lasti zaupanja vrednega glavnega imena varnosti in skrbnik želi znova uporabiti račun, upoštevajte navodila v razdelku »Ukrepaj«, da namestite posodobitve sistema Windows iz septembra 2023 ali novejše in konfigurirate seznam omogočanje.

Neoddelitve

V varnostno skupino skrbnikov domene ne dodajaj računov storitev ali računov za omogočanje uporabe.
Varnostnega deskriptorja v računih računalnika ne urejajte ročno, da bi znova določiti lastništvo takšnih računov, razen če je bil izbrisan prejšnji račun lastnika. Medtem ko bo urejanje lastnika omogočilo uspešno preverjanje, bo račun računalnika morda ohranil enako morebitno tvegano, neželeno dovoljenje za izvirnega lastnika, razen če ga izrecno pregledate in odstranite.

Novi dnevniki dogodkov

Dnevnik dogodkov	SISTEM
Vir dogodka	Netjoin
ID dogodka	4100
Vrsta dogodka	Informativne
Besedilo dogodka	»Med pridružitvijo domeni je stik s krmilnikom domene našel obstoječi račun računalnika v imeniku Active Directory z istim imenom. Poskus vnovične uporabe tega računa je bil dovoljen. Iskanje krmilnika domene: <krmilnika domene>obstoječi račun računalnika DN: <pot DN računa računalnika>. Če želite https://go.microsoft.com/fwlink/?linkid=2202145 informacij, glejte Temo za iskanje.

Dnevnik dogodkov	SISTEM
Vir dogodka	Netjoin
ID dogodka	4101
Vrsta dogodka	Napaka
Besedilo dogodka	Med pridružitvijo domeni je stik s krmilnikom domene našel obstoječi račun računalnika v imeniku Active Directory z istim imenom. Poskus vnovične uporabe tega računa je bil preprečen zaradi varnostnih razlogov. Iskanje krmilnika domene: DN obstoječega računa računalnika: Koda napake je <koda napake>. Če želite https://go.microsoft.com/fwlink/?linkid=2202145 informacij, glejte Temo za iskanje.

Pisanje dnevnika za iskanje napak je privzeto na voljo (ni vam treba omogočiti nobenega obširnega pisanja dnevnika) v C:\Windows\Debug\netsetup.log v vseh odjemalskih računalnikih.

Primer pisanja dnevnika za iskanje napak, ustvarjenega, ko je zaradi varnostnih razlogov preprečena ponovna uporaba računa:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Novi dogodki so bili dodani marca 2023

Ta posodobitev doda štiri (4) nove dogodke v dnevnik SYSTEM v krmilniku domene tako:

Raven dogodka	Informativne
ID dogodka	16995
Dnevnik	SISTEM
Vir dogodka	Imeniške storitve – SAM
Besedilo dogodka	Upravitelj varnostnega računa uporablja določen varnostni deskriptor za preverjanje veljavnosti poskusov vnovične uporabe računa računalnika med pridružitvijo domeni. Vrednost SDDL: <niza SDDL> Ta seznam omogočanje je konfiguriran s pravilnikom skupine v imeniku Active Directory. Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145.

Raven dogodka	Napaka
ID dogodka	16996
Dnevnik	SISTEM
Vir dogodka	Imeniške storitve – SAM
Besedilo dogodka	Varnostni deskriptor, ki vsebuje seznam omogočanje za ponovno uporabo računa računalnika, ki se uporablja za preverjanje veljavnosti zahtev odjemalca, je poškodovan. Vrednost SDDL: <niza SDDL> Ta seznam omogočanje je konfiguriran s pravilnikom skupine v imeniku Active Directory. Če želite odpraviti to težavo, mora skrbnik posodobiti pravilnik, da nastavi to vrednost na veljaven varnostni deskriptor ali ga onemogoči. Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145.

Raven dogodka	Napaka
ID dogodka	16997
Dnevnik	SISTEM
Vir dogodka	Imeniške storitve – SAM
Besedilo dogodka	Upravitelj varnostnega računa je našel računalniški račun, ki je videti zapuščen in nima obstoječega lastnika. Račun računalnika: S-1-5-xxx Lastnik računa računalnika: S-1-5-xxx Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145.

Raven dogodka	Opozorilo
ID dogodka	16998
Dnevnik	SISTEM
Vir dogodka	Imeniške storitve – SAM
Besedilo dogodka	Upravitelj varnostnega računa je zavrnil zahtevo odjemalca za vnovično uporabo računa računalnika med pridružitvijo domeni. Račun računalnika in identiteta odjemalca ne ustrezata preverjanjem veljavnosti varnosti. Račun odjemalca: S-1-5-xxx Račun računalnika: S-1-5-xxx Lastnik računa računalnika: S-1-5-xxx Preverite podatke zapisa tega dogodka za NT kodo napake. Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145.

Po potrebi lahko netsetup.log več informacij.

Znane težave

Težava 1

Po namestitvi posodobitev, ki so bile nameščene 12. septembra 2023 ali novejše, pridružitev domeni morda ne uspe v okoljih, kjer je nastavljen ta pravilnik: Dostop do omrežja – omejite odjemalce z dovoljenjem za opravljanje oddaljenih klicev v SAM – Varnost sistema Windows | Microsoft Learn. To je zato, ker odjemalski računalniki zdaj s preverjeno pristnostjo pokličejo krmilnik domene za izvajanje preverjanj varnosti, povezanih s ponovno uporabo računov računalnika. To je pričakovano. V skladu s to spremembo morajo skrbniki ohraniti pravilnik SAMRPC krmilnika domene pri privzetih nastavitvah ALI izrecno vključiti skupino uporabnikov, ki izvaja pridružitev domeni v nastavitvah SDDL, da jim dodelijo dovoljenje.

Primer iz netsetup.log, kjer je prišlo do te težave:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Težava 2

Če je bil račun lastnika računalnika izbrisan in pride do poskusa ponovne uporabe računa računalnika, bo dogodek 16997 zabeležen v dnevnik sistemskih dogodkov. Če pride do tega, lahko lastništvo znova dodelite drugemu računu ali skupini.

Težava 3

Če ima le odjemalec posodobitev z dne 14. marca 2023 ali novejšo posodobitev, bo preverjanje pravilnika Active Directory vrnilo 0x32 STATUS_NOT_SUPPORTED. Prejšnja preverjanja, ki so bila uvedena v novembrskih sprotnih popravkih, bodo veljala, kot je prikazano spodaj:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac