Namig: Če si želite ogledati novo ali spremenjeno vsebino iz januarja 2024, glejte oznake [januar 2024 – začetek] in [Konec – januar 2024] v članku.
Povzetek
Posodobitve sistema Windows, izdane 11. oktobra 2022 in po njem, vsebujejo dodatno zaščito, ki jo je uvedel CVE-2022-38042. S temi zaščitami namerno preprečite, da bi operacije združevanja domen znova uporabiti obstoječi račun računalnika v ciljni domeni, razen če:
-
Uporabnik, ki poskuša izvesti operacijo, je avtor obstoječega računa.
Ali
-
Računalnik je ustvaril član skrbnikov domene.
Ali
-
Lastnik računa računalnika, ki ga znova uporabljate, je član »Krmilnik domene: omogočanje ponovne uporabe računa računalnika med pridružitvijo domeni«. pravilnik skupine nastavitev. Ta nastavitev zahteva namestitev posodobitev sistema Windows, ki so bile izdane 14. marca 2023 ali po tem, v vse računalnike in krmilnike domene za člane.
Posodobitve, izdanim 14. marca 2023 in 12. septembra 2023 in po tem, bodo zagotovile dodatne možnosti za prizadete stranke v sistemu Windows Server 2012 R2 in nad ter vseh podprtih odjemalcih. Če želite več informacij, glejte razdelka Delovanje z dne 11. oktobra 2022in Ukrepanje .
Vedenje pred 11. oktobrom 2022
Preden namestite zbirne posodobitve z dne 11. oktobra 2022 ali novejše, odjemalski računalnik prebira imenik Active Directory za obstoječi račun z istim imenom. Do te poizvedbe pride med združevanjem domen in omogočanjem uporabe računa računalnika. Če obstaja tak račun, ga bo odjemalec samodejno poskušal znova uporabiti.
Opomba Poskus vnovične uporabe ne bo uspel, če uporabnik, ki poskusi operacijo pridružitve domeni, nima ustreznih dovoljenj za pisanje. Če pa ima uporabnik dovolj dovoljenj, bo pridružitev domeni uspešna.
Za pridružitev domeni z ustreznim privzetim vedenjem in zastavicami obstajata dva scenarija:
-
Pridružitev domeni (NetJoinDomain)
-
Privzete nastavitve za vnovično uporabo računa ( razen če NETSETUP_NO_ACCT_REUSE zastavica določena)
-
-
Omogočanje uporabe računa (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Privzeta vrednost za vnovično uporabo funkcije NO (NETSETUP_PROVISION_REUSE_ACCOUNT ni določena.)
-
11. oktober 2022
Ko v odjemalski računalnik namestite zbirne posodobitve sistema Windows z dne 11. oktobra 2022 ali novejše, bo odjemalec med pridružitvijo domeni opravil dodatna varnostna preverjanja, preden bo poskusil znova uporabiti obstoječi račun računalnika. Algoritem:
-
Poskus vnovične uporabe računa bo dovoljen, če je uporabnik, ki poskuša izvesti operacijo, ustvaril obstoječi račun.
-
Poskus ponovne uporabe računa je dovoljen, če je račun ustvaril član skrbnikov domene.
Ta dodatna varnostna preverjanja se opravijo, preden se poskusijo pridružiti računalniku. Če so preverjanja uspešna, za preostalo operacijo združevanja veljajo dovoljenja imenika Active Directory kot prej.
Ta sprememba ne vpliva na nove račune.
Opomba Po namestitvi zbirnih posodobitev sistema Windows z dne 11. oktobra 2022 ali novejših, lahko pridružitev domeni z vnovično uporabo računa računalnika namerno ne uspe, pri tem pa se prikaže ta napaka:
Napaka 0xaac (2732): NERR_AccountReuseBlockedByPolicy: »Račun z istim imenom obstaja v imeniku Active Directory. Ponovno uporabo računa je blokiral varnostni pravilnik.«
V tem primeru je račun namerno zaščiten z novim vedenjem.
ID dogodka 4101 se sproži, ko pride do zgornje napake in težava bo zabeležena v c:\windows\debug\netsetup.log. Če želite razumeti napako in odpraviti težavo, upoštevajte spodnja navodila v razdelku Ukrepanje.
14. marec 2023 vedenje
V posodobitvah sistema Windows, ki so bile izdane 14. marca 2023 ali po tem, smo nekoliko spremenili varnostno utrjevanje. Te spremembe vključujejo vse spremembe, ki smo jih naredili 11. oktobra 2022.
Najprej smo razširili obseg skupin, ki so izvzete iz tega utrjenega. Poleg skrbnikov domene so skrbniki podjetja in vgrajene skupine skrbnikov zdaj izvzeti iz preverjanja lastništva.
Nato smo dodali novo nastavitev pravilnik skupine nastavitev. Skrbniki lahko z njim določijo seznam omogočanje za lastnike zaupanja vrednih računov v računalniku. Račun računalnika bo preskočil varnostno preverjanje, če velja nekaj od tega:
-
Račun je v lasti uporabnika, ki je naveden kot zaupanja vreden lastnik v »krmilniku domene: dovoli ponovno uporabo računa računalnika med pridružitvijo domeni« pravilnik skupine.
-
Račun je v lasti uporabnika, ki je član skupine, določene kot zaupanja vreden lastnik v razdelku »Krmilnik domene: dovoli vnovično uporabo računalniškega računa med pridružitvijo domeni« pravilnik skupine.
Če želite uporabiti to pravilnik skupine, morata biti krmilnik domene in računalnik člana dosledno nameščena posodobitev z dne 14. marca 2023 ali novejša. Nekateri od vas imajo morda določene račune, ki jih uporabljate pri avtomatiziranem ustvarjanju računa v računalniku. Če so ti računi varni pred zlorabami in jim zaupate, da ustvarijo računalniške račune, jih lahko izvzamete. Še vedno boste zaščiteni pred izvirno ranljivostjo, ki ste jo ublažili s posodobitvami sistema Windows z dne 11. oktobra 2022.
12. september 2023
V posodobitvah sistema Windows, ki so bile izdane 12. septembra 2023 ali po tem, smo naredili nekaj dodatnih sprememb v varnostnem utrjenju. Te spremembe vključujejo vse spremembe, ki smo jih naredili 11. oktobra 2022, in spremembe iz 14. marca 2023.
Odpravili smo težavo, pri kateri pridružitev domeni s preverjanjem pristnosti pametne kartice ni uspela ne glede na nastavitev pravilnika. Da bi odpravili to težavo, smo preostala varnostna preverjanja premaknili nazaj v krmilnik domene. Po varnostni posodobitvi iz septembra 2023 odjemalski računalniki s preverjeno pristnostjo pokličejo krmilnik domene za izvajanje preverjanj varnosti, povezanih s ponovno uporabo računalnikov.
Vendar pa lahko zaradi tega pridružitev domeni ne uspe v okoljih, kjer je nastavljen ta pravilnik: Dostop do omrežja: Omejitev odjemalcev, ki imajo dovoljenje za opravljanje oddaljenih klicev v SAM. Če želite več informacij o tem, kako odpraviti to težavo, glejte razdelek »Znane težave«.
Prav tako načrtujemo odstranitev izvirne nastavitve registra NetJoinLegacyAccountReuse v prihodnji posodobitvi sistema Windows. [Januar 2024 – začetek]Ta odstranitev je pogojno načrtovana za posodobitev z dne 13. avgusta 2024. Datumi izdaj se lahko spremenijo. [Konec – januar 2024]
Opomba Če ste uvedli ključ NetJoinLegacyAccountReuse v odjemalcih in ga nastavili na vrednost 1, ga morate odstraniti (ali ga nastaviti na 0), da boste lahko izkoristili najnovejše spremembe.
Ukrepajte
Konfigurirajte nov pravilnik za seznam allow list pravilnik skupine v krmilniku domene in odstranite morebitne podedovane rešitve na strani odjemalca. Nato naredite to:
-
Posodobitve, ki so bile nameščene 12. septembra 2023 ali novejše, morate namestiti v vse računalnike in krmilnike domene za člane.
-
V novem ali obstoječem pravilniku skupine, ki velja za vse krmilnike domene, konfigurirajte nastavitve v spodnjih korakih.
-
V razdelku Konfiguracija računalnika\Pravilniki\Nastavitve sistema Windows\ Varnostne nastavitve\Lokalni pravilniki\Varnostne možnosti dvokliknite Krmilnik domene: Omogočanje vnovične uporabe računa računalnika med pridružitvijo domeni.
-
Izberite Določi to nastavitev pravilnika in <Uredi varnost ...>.
-
Z izbirnikom predmetov dodajte uporabnike ali skupine ustvarjalcev in lastnikov zaupanja vrednih računalnikov v dovoljenje »Dovoli«. (Priporočamo, da za dovoljenja uporabite skupine.) Ne dodajte uporabniškega računa, ki izvede pridružitev domeni.
Opozorilo: Omejite članstvo na pravilnik na zaupanja vredne uporabnike in račune storitev. V ta pravilnik ne dodajajte uporabnikov s preverjeno pristnostjo, vseh ali drugih velikih skupin. Namesto tega v skupine dodajte določene zaupanja vredne uporabnike in račune storitev ter dodajte te skupine v pravilnik.
-
Počakajte, da pravilnik skupine interval osveževanja domen ali zaženete gpupdate /force v vseh krmilnikih domene.
-
Preverite, ali je registrski ključ HKLM\System\CCS\Control\SAM – »ComputerAccountReuseAllowList« izpolnjen s želenim ključem SDDL. Registra ne urejajte ročno.
-
Poskusite se pridružiti računalniku, v katerem so nameščene posodobitve, ki so bile nameščene 12. septembra 2023 ali novejše. Prepričajte se, da je eden od računov, navedenih v pravilniku, v lasti računalniškega računa. Prav tako zagotovite, da v registru ni omogočen ključ NetJoinLegacyAccountReuse (nastavljen na 1). Če pridružitev domeni ne uspe, preverite c:\windows\debug\netsetup.log.
Če še vedno potrebujete nadomestno rešitev, preglejte poteke dela za omogočanje uporabe računa v računalniku in preverite, ali so potrebne spremembe.
-
Operacijo združevanja izvedite z istim računom, ki je ustvaril račun računalnika v ciljni domeni.
-
Če je obstoječi račun zastarel (neuporabljen), ga izbrišite, preden se poskusite znova pridružiti domeni.
-
Preimenujte računalnik in se pridružite z drugim računom, ki še ne obstaja.
-
Če je obstoječi račun v lasti zaupanja vrednega glavnega imena varnosti in skrbnik želi znova uporabiti račun, upoštevajte navodila v razdelku »Ukrepaj«, da namestite posodobitve sistema Windows iz septembra 2023 ali novejše in konfigurirate seznam omogočanje.
Pomembna navodila za uporabo registrskega ključa NetJoinLegacyAccountReuse
Pozor: Če ta ključ nastavite tako, da bo deloval v skladu s temi zaščitami, bo vaše okolje ranljivo za CVE-2022-38042, razen če se na vaš primer sklicujete v nadaljevanju, kot je ustrezno. Tega načina ne uporabljajte brez potrditve, da je avtor/lastnik obstoječega predmeta v računalniku varen in zaupanja vreden glavni zavezanec varnosti.
Zaradi novega pravilnik skupine ne uporabljajte več registrskega ključa NetJoinLegacyAccountReuse. [Januar 2024 – začetek]Ključ za naslednjih nekaj mesecev bomo ohranili, če boste morda potrebovali nadomestne rešitve. [Konec – januar 2024]Če novega predmeta pravilnika skupin ne morete konfigurirati v svojem scenariju, vam toplo priporočamo, da se obrnete na Microsoftovo podporo.
Pot |
HKLM\System\CurrentControlSet\Control\LSA |
Vrsta |
REG_DWORD |
Ime |
NetJoinLegacyAccountReuse |
Vrednost |
1 Druge vrednosti so prezrte. |
OpombaMicrosoft bo v prihodnji posodobitvi sistema Windows odstranil podporo za nastavitev registra NetJoinLegacyAccountReuse . [Januar 2024 – začetek]Ta odstranitev je pogojno načrtovana za posodobitev z dne 13. avgusta 2024. Datumi izdaj se lahko spremenijo. [Konec – januar 2024]
Neoddelitve
-
Ko namestite posodobitve z dne 12. septembra 2023 ali novejše v DCs-je in odjemalce v okolju, ne uporabite registra NetJoinLegacyAccountReuse . Namesto tega upoštevajte navodila v razdelku Ukrepaj, da konfigurirate nov predmet pravilnika skupin.
-
V varnostno skupino skrbnikov domene ne dodajaj računov storitev ali računov za omogočanje uporabe.
-
Varnostnega deskriptorja v računih računalnika ne urejajte ročno, da bi znova določiti lastništvo takšnih računov, razen če je bil izbrisan prejšnji račun lastnika. Medtem ko bo urejanje lastnika omogočilo uspešno preverjanje, bo račun računalnika morda ohranil enako morebitno tvegano, neželeno dovoljenje za izvirnega lastnika, razen če ga izrecno pregledate in odstranite.
-
Registrskega ključa NetJoinLegacyAccountReuse ne dodajte v slike osnovnega operacijskega sistema, saj naj bo ključ začasno dodan in nato odstranjen neposredno po dokončanem združevanju domene.
Novi dnevniki dogodkov
Dnevnik dogodkov |
SISTEM |
Vir dogodka |
Netjoin |
ID dogodka |
4100 |
Vrsta dogodka |
Informativne |
Besedilo dogodka |
»Med pridružitvijo domeni je stik s krmilnikom domene našel obstoječi račun računalnika v imeniku Active Directory z istim imenom. Poskus vnovične uporabe tega računa je bil dovoljen. Iskanje krmilnika domene: <krmilnika domene>obstoječi račun računalnika DN: <pot DN računa računalnika>. Če želite https://go.microsoft.com/fwlink/?linkid=2202145 informacij, glejte Temo za iskanje. |
Dnevnik dogodkov |
SISTEM |
Vir dogodka |
Netjoin |
ID dogodka |
4101 |
Vrsta dogodka |
Napaka |
Besedilo dogodka |
Med pridružitvijo domeni je stik s krmilnikom domene našel obstoječi račun računalnika v imeniku Active Directory z istim imenom. Poskus vnovične uporabe tega računa je bil preprečen zaradi varnostnih razlogov. Iskanje krmilnika domene: DN obstoječega računa računalnika: Koda napake je <koda napake>. Če želite https://go.microsoft.com/fwlink/?linkid=2202145 informacij, glejte Temo za iskanje. |
Pisanje dnevnika za iskanje napak je privzeto na voljo (ni vam treba omogočiti nobenega obširnega pisanja dnevnika) v C:\Windows\Debug\netsetup.log v vseh odjemalskih računalnikih.
Primer pisanja dnevnika za iskanje napak, ustvarjenega, ko je zaradi varnostnih razlogov preprečena ponovna uporaba računa:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Novi dogodki so bili dodani marca 2023
Ta posodobitev doda štiri (4) nove dogodke v dnevnik SYSTEM v krmilniku domene tako:
Raven dogodka |
Informativne |
ID dogodka |
16995 |
Dnevnik |
SISTEM |
Vir dogodka |
Imeniške storitve – SAM |
Besedilo dogodka |
Upravitelj varnostnega računa uporablja določen varnostni deskriptor za preverjanje veljavnosti poskusov vnovične uporabe računa računalnika med pridružitvijo domeni. Vrednost SDDL: <niza SDDL> Ta seznam omogočanje je konfiguriran s pravilnikom skupine v imeniku Active Directory. Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Raven dogodka |
Napaka |
ID dogodka |
16996 |
Dnevnik |
SISTEM |
Vir dogodka |
Imeniške storitve – SAM |
Besedilo dogodka |
Varnostni deskriptor, ki vsebuje seznam omogočanje za ponovno uporabo računa računalnika, ki se uporablja za preverjanje veljavnosti zahtev odjemalca, je poškodovan. Vrednost SDDL: <niza SDDL> Ta seznam omogočanje je konfiguriran s pravilnikom skupine v imeniku Active Directory. Če želite odpraviti to težavo, mora skrbnik posodobiti pravilnik, da nastavi to vrednost na veljaven varnostni deskriptor ali ga onemogoči. Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Raven dogodka |
Napaka |
ID dogodka |
16997 |
Dnevnik |
SISTEM |
Vir dogodka |
Imeniške storitve – SAM |
Besedilo dogodka |
Upravitelj varnostnega računa je našel računalniški račun, ki je videti zapuščen in nima obstoječega lastnika. Račun računalnika: S-1-5-xxx Lastnik računa računalnika: S-1-5-xxx Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Raven dogodka |
Opozorilo |
ID dogodka |
16998 |
Dnevnik |
SISTEM |
Vir dogodka |
Imeniške storitve – SAM |
Besedilo dogodka |
Upravitelj varnostnega računa je zavrnil zahtevo odjemalca za vnovično uporabo računa računalnika med pridružitvijo domeni. Račun računalnika in identiteta odjemalca ne ustrezata preverjanjem veljavnosti varnosti. Račun odjemalca: S-1-5-xxx Račun računalnika: S-1-5-xxx Lastnik računa računalnika: S-1-5-xxx Preverite podatke zapisa tega dogodka za NT kodo napake. Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Netsetup.log lahko po potrebi ponudi več informacij. Oglejte si spodnji primer iz delovnega računalnika.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Znane težave
Težava 1 |
Po namestitvi posodobitev, ki so bile nameščene 12. septembra 2023 ali novejše, pridružitev domeni morda ne uspe v okoljih, kjer je nastavljen ta pravilnik: Dostop do omrežja – omejite odjemalce, ki lahko pokličejo SAM – Varnost sistema Windows | Microsoft Learn. To je zato, ker odjemalski računalniki zdaj s preverjeno pristnostjo pokličejo krmilnik domene za izvajanje preverjanj varnosti, povezanih s ponovno uporabo računov računalnika. Primer iz spletnega mesta netsetup.log, kjer je prišlo do te težave:
|
Težava 2 |
Če je bil račun lastnika računalnika izbrisan in pride do poskusa ponovne uporabe računa računalnika, bo dogodek 16997 zabeležen v dnevnik sistemskih dogodkov. Če pride do tega, lahko lastništvo znova dodelite drugemu računu ali skupini. |
Težava 3 |
Če ima le odjemalec posodobitev z dne 14. marca 2023 ali novejšo posodobitev, bo preverjanje pravilnika Active Directory vrnilo 0x32 STATUS_NOT_SUPPORTED. Prejšnja preverjanja, ki so bila uvedena v novembrskih sprotnih popravkih, bodo veljala, kot je prikazano spodaj:
|