Savet: Da biste prikazali novi ili korigoovani sadržaj iz januara 2024. pročitajte oznake [januar 2024 – Početak] i [Kraj – januar 2024] .
Rezime
Ispravke za Windows objavljene 11. oktobra 2022. i posle toga sadrže dodatne zaštite koje je uveo CVE-2022-38042. Ove zaštite namerno sprečavaju operacije spajanja domena da ponovo koristi postojeći računarski nalog u ciljnom domenu, osim ako:
-
Korisnik koji pokušava da izvrši operaciju je autor postojećeg naloga.
Ili
-
Računar je kreirao član administratora domena.
Ili
-
Vlasnik računarskih naloga koji se ponovo koristi je član "Kontroler domena: Dozvoli ponovno korišćenje naloga računara tokom pridruživanja domenu". Smernice grupe postavke. Ova postavka zahteva instalaciju ispravki za Windows objavljenih 14. marta 2023. ili posle 14. marta 2023. na SVIM računarima članova i kontrolera domena.
Novosti 14. marta 2023. i 12. septembra 2023. pruža dodatne opcije za pogođene klijente na Windows Server 2012 R2 i novijim verzijama i za sve podržane klijente. Više informacija potražite u odeljcima Ponašanje od 11. oktobra 2022. iPreduzimanje radnje .
Ponašanje pre 11. oktobra 2022.
Pre nego što instalirate kumulativne ispravke od 11. oktobra 2022. ili novije, klijentski računar upiti aktivnog direktorijuma za postojeći nalog sa istim imenom. Ovaj upit se javlja tokom pridruživanja domenu i dodeljivanja naloga na računaru. Ako takav nalog postoji, klijent će automatski pokušati da ga ponovo koristi.
Beleške Pokušaj ponovne upotrebe neće uspeti ako korisnik koji pokuša operaciju pridruživanja domenu nema odgovarajuće dozvole za pisanje. Međutim, ako korisnik ima dovoljno dozvola, pridruživanje domenu će uspeti.
Postoje dva scenarija za pridruživanje domenu sa odgovarajućim podrazumevanim ponašanjima i zastavicom na sledeći način:
-
Pridruživanje domenu (NetJoinDomain)
-
Podrazumevane vrednosti za ponovnu upotrebu naloga ( osim NETSETUP_NO_ACCT_REUSE je navedena zastavica)
-
-
Obezbeđivanje naloga (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Podrazumevano je da se ne koristi ponovna upotreba (NETSETUP_PROVISION_REUSE_ACCOUNT nije navedeno.)
-
Ponašanje 11. oktobra 2022.
Kada instalirate 11. oktobar 2022. ili novije Windows kumulativne ispravke na klijentskom računaru, tokom pridruživanja domenu, klijent će izvršiti dodatne bezbednosne provere pre nego što pokuša da ponovo koristi postojeći računarski nalog. Algoritam:
-
Pokušaj ponovne upotrebe naloga biće dozvoljen ako je korisnik koji pokušava da izvrši operaciju autor postojećeg naloga.
-
Pokušaj ponovne upotrebe naloga biće dozvoljen ako je nalog kreirao član administratora domena.
Ove dodatne bezbednosne provere se proveravaju pre nego što pokušate da se pridružite računaru. Ako su provere uspešne, ostatak operacije spajanja podleže dozvolama aktivnog direktorijuma kao i ranije.
Ova promena ne utiče na nove naloge.
Napomena Nakon instaliranja kumulativnih ispravki za Windows 11. oktobar 2022. ili novije, ponovno korišćenje domena pomoću naloga računara može namerno da ne uspe uz sledeću grešku:
Greška 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Nalog sa istim imenom postoji u aktivnom direktorijumu. Ponovno korišćenje naloga je blokirano bezbednosnim smernicama."
Ako je tako, nalog se namerno štiti novim ponašanjem.
ID događaja 4101 će se aktivirati kada se pojavi gorenavedena greška i problem će biti evidentiran na c:\windows\debug\netsetup.log. Pratite dolenavedene korake u članku Preduzimanje radnje da biste razumeli neuspeh i rešili problem.
Ponašanje 14. marta 2023.
U ispravkama za Windows objavljenim 14. marta 2023. ili posle toga, izvršili smo nekoliko promena u bezbednosnom otežanju. Ove promene uključuju sve promene koje smo uneli 11. oktobra 2022. godine.
Prvo smo razvili opseg grupa koje su izuzete od ovog ojaиavanja. Pored administratora domena, administratori preduzeća i ugrađene administratorske grupe sada su izuzete iz provere vlasništva.
Zatim smo primenili novu Smernice grupe postavke. Administratori mogu da ga koriste da bi naveli listu dozvoljenih vlasnika naloga računara. Nalog računara će zaobići bezbednosnu proveru ako je tačno nešto od sledećeg:
-
Nalog je u vlasništvu korisnika navedenog kao pouzdanog vlasnika u odeljku "Kontroler domena: Dozvoli ponovno korišćenje naloga računara tokom pridruživanja domenu" Smernice grupe.
-
Nalog je u vlasništvu korisnika koji je član grupe navedene kao pouzdani vlasnik u odeljku "Kontroler domena: Dozvoli ponovno korišćenje računarskih naloga tokom pridruživanja domenu" Smernice grupe.
Da biste koristili Smernice grupe, kontroler domena i računar člana moraju dosledno da imaju instaliranu ispravku od 14. marta 2023. ili noviju. Neki od vas možda imaju određene naloge koje koristite za automatizovano kreiranje naloga na računaru. Ako su ti nalozi bezbedni od zloupotrebe i imate poverenja u njih da kreiraju računarske naloge, možete da ih izuzimate. I dalje ćete biti sigurni protiv prvobitne ranjivosti umanjene do 11. oktobra 2022. u ispravkama za Windows.
Ponašanje 12. septembra 2023.
U Ispravkama za Windows objavljenim 12. septembra 2023. ili posle 12. septembra 2023. izvršili smo nekoliko dodatnih promena u bezbednosnom otežanju. Ove promene uključuju sve promene koje smo uneli 11. oktobra 2022. i promene od 14. marta 2023. godine.
Rešili smo problem gde pridruživanje domenu pomoću potvrde identiteta pametne kartice nije uspelo bez obzira na regulatornu postavku. Da bismo rešili ovaj problem, premestili smo preostale bezbednosne provere nazad na kontroler domena. Stoga, nakon bezbednosne ispravke od septembra 2023. klijentske mašine upućuju ovlašćene SAMRPC pozive kontroloru domena da bi izvršile provere bezbednosne provere valjanosti povezane sa ponovnim korisnicima naloga računara.
Međutim, to može dovesti do neuspeha pridruživanja domenu u okruženjima u kojima su postavljene sledeće smernice: Pristup mreži: Ograničavanje klijenata kojima je dozvoljeno da upućuju daljinske pozive SAM-u. Informacije o tome kako da rešite ovaj problem potražite u odeljku "Poznati problemi".
Planiramo i da uklonimo originalnu postavku registratora NetJoinLegacyAccountReuse u budućoj ispravci za Windows. [Januar 2024 – početak]Ovo uklanjanje je uslovno planirano za ažuriranje od 13. avgusta 2024. Datumi izdavanja su podložni promeni. [Kraj - januar 2024]
Beleške Ako ste primenili ključ NetJoinLegacyAccountReuse na klijentima i postavili ga na vrednost 1, sada morate da uklonite taj ključ (ili da ga postavite na 0) da biste imali koristi od najnovijih promena.
Preduzimanje radnje
Konfigurišite nove smernice liste dozvola pomoću Smernice grupe na kontroleru domena i uklonite sva zastarela rešenja na strani klijenta. Zatim uradite sledeće:
-
Morate da instalirate ispravke od 12. septembra 2023. ili novije na svim računarima članova i kontrolerima domena.
-
U novim ili postojećim smernicama grupe koje se primenjuju na sve kontrolera domena konfigurišite postavke u dolenavedenim koracima.
-
U okviru Konfiguracija računara\Smernice\Windows Postavke\Bezbednosne postavke\Lokalne smernice\Bezbednosne opcije kliknite dvaput na kontroler domena: Dozvolite ponovno korišćenje naloga računara tokom pridruživanja domenu.
-
Izaberite stavku Definiši ovu regulatornu postavku i <Uredi bezbednost...>.
-
Koristite birač objekata da biste dodali korisnike ili grupe pouzdanih autora i vlasnika naloga računara u dozvolu Dozvoli . (Kao najbolju praksu, preporučujemo da koristite grupe za dozvole.) Nemojte da dodajete korisnički nalog koji izvršava spajanje domena.
Upozorenje: Ograniči članstvo na smernice na pouzdane korisnike i naloge za uslugu. Nemojte da dodajete autorizovane korisnike, sve ili druge velike grupe u ove smernice. Umesto toga, dodajte određene pouzdane korisnike i naloge usluge u grupe i dodajte te grupe u smernice.
-
Sačekajte interval Smernice grupe osvežavanja ili pokrenite gpupdate /force na svim kontrolere domena.
-
Proverite da li je ključ registratora HKLM\System\CCS\Control\SAM – ključ registratora "ComputerAccountReuseAllowList" popunjen željenim SDDL-om. Nemojte ručno uređivati registrator.
-
Pokušajte da se pridružite računaru koji ima instalirane ispravke od 12. septembra 2023. ili novije. Uverite se da jedan od naloga navedenih u smernicama poseduje računarski nalog. Takođe se uverite da u registratoru nije omogućen ključ NetJoinLegacyAccountReuse (postavljeno na 1). Ako spajanje domena ne uspe, proverite c:\windows\debug\netsetup.log.
Ako vam je i dalje potrebno alternativan način za zaobilaženje problema, pregledajte tokove posla dodeljivanja tokova posla na računaru i razumejte da li su potrebne promene.
-
Izvršite operaciju spajanja pomoću istog naloga koji je kreirao računarski nalog u ciljnom domenu.
-
Ako je postojeći nalog zastareo (neiskorišćeno), izbrišite ga pre nego što ponovo pokušate da se pridružite domenu.
-
Preimenujte računar i pridružite se pomoću drugog naloga koji već ne postoji.
-
Ako je postojeći nalog u vlasništvu pouzdanog principala bezbednosti i administrator želi ponovo da koristi nalog, pratite uputstva u odeljku Preduzimanje radnje da biste instalirali ispravke za septembar 2023. ili novije verzije operativnog sistema Windows i konfigurisali listu dozvola.
Važna uputstva za korišćenje ključa registratora NetJoinLegacyAccountReuse
Oprez: Ako odaberete da podesite ovaj ključ da radi sa ovim zaštitama, ostavićete okruženje ranjivo na CVE-2022-38042, osim ako se u nastavku ne upućuje na vaš scenario. Nemojte da koristite ovaj metod bez potvrde da je autor/vlasnik postojećeg objekta računara bezbedan i pouzdan principal bezbednosti.
Zbog novog Smernice grupe, više ne bi trebalo da koristite netJoinLegacyAccountReuse ključ registratora. [Januar 2024 – početak]Ključ ćemo sačuvati u sledećih nekoliko meseci u slučaju da vam zatrebaju privremena rešenja. [Kraj - januar 2024]Ako ne možete da konfigurišete novi GPO u scenariju, preporučujemo da se obratite Microsoft podršci.
|
Putanja |
HKLM\System\CurrentControlSet\Control\LSA |
|
Tip |
REG_DWORD |
|
Ime |
NetJoinLegacyAccountReuse |
|
Vrednost |
1 Druge vrednosti se zanemaruju. |
BeleškeMicrosoft će ukloniti podršku za netJoinLegacyAccountReuse postavku registratora u budućoj ispravci za Windows. [Januar 2024 – početak]Ovo uklanjanje je uslovno planirano za ažuriranje od 13. avgusta 2024. Datumi izdavanja su podložni promeni. [Kraj - januar 2024]
Nerešenosti
-
Kada instalirate 12. septembar 2023. ili novije ispravke na DC i klijentima u okruženju, nemojte koristiti registrator NetJoinLegacyAccountReuse . Umesto toga, pratite korake u odeljku Preduzimanje radnje da biste konfigurisali novi GPO.
-
Nemojte dodavati naloge usluge niti dodeđivati naloge u bezbednosnu grupu Administratori domena.
-
Nemojte ručno uređivati opis bezbednosti na računarski nalozima u pokušaju da ponovo definišete vlasništvo nad takvim nalozima, osim ako je prethodni vlasnik nalog izbrisan. Prilikom uređivanja vlasnik će omogućiti uspeh novih provera, nalog računara može zadržati iste potencijalno rizično, neželjene dozvole za originalnog vlasnika, osim ako se izričito ne rediguje i ukloni.
-
Nemojte da dodajete netJoinLegacyAccountReuse ključ registratora u osnovne OS slike zato što bi ključ trebalo samo privremeno dodati i ukloniti odmah pošto se pridruživanje domenu dovrši.
Nove evidencije događaja
|
Evidencija događaja |
SISTEM |
|
Izvor događaja |
Netjoin |
|
ID događaja |
4100 |
|
Tip događaja |
Informaciono |
|
Tekst događaja |
"Tokom pridruživanja domenu kontroler domena je pronašao postojeći računarski nalog u usluzi Active Directory sa istim imenom. Dozvoljen je pokušaj ponovnog korišćenja ovog naloga. Kontroler domena je pretražen: <ime kontrolera domena>DN postojećeg naloga računara: <DN putanja naloga računara>. Više https://go.microsoft.com/fwlink/?linkid=2202145 potražite u članku. |
|
Evidencija događaja |
SISTEM |
|
Izvor događaja |
Netjoin |
|
ID događaja |
4101 |
|
Tip događaja |
Greška |
|
Tekst događaja |
Kontroler domena je tokom pridruživanja domenu pronašao postojeći računarski nalog u usluzi Active Directory sa istim imenom. Pokušaj ponovnog korišćenja ovog naloga je sprečen iz bezbednosnih razloga. Kontroler domena je pretražen: DN postojećeg naloga računara: Kôd greške je <kod greške>. Više https://go.microsoft.com/fwlink/?linkid=2202145 potražite u članku. |
Vođenje evidencije o otklanjanju grešaka je podrazumevano dostupno (nema potrebe da omogućite bilo koje detaljno evidentiranje) na C:\Windows\Debug\netsetup.log na svim klijentima.
Primer vođenja evidencije o otklanjanju grešaka koje se generiše kada je ponovno korišćenje naloga sprečeno iz bezbednosnih razloga:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Novi događaji dodati u martu 2023.
Ova ispravka dodaje četiri (4) novih događaja u SYSTEM evidenciju na kontroler domena na sledeći način:
|
Nivo događaja |
Informaciono |
|
ID događaja |
16995 |
|
Evidencije |
SISTEM |
|
Izvor događaja |
Directory-Services-SAM |
|
Tekst događaja |
Menadžer bezbednosnog naloga koristi navedeni opis bezbednosti za proveru valjanosti pokušaja ponovnog korišćenja naloga računara tokom pridruživanja domenu. SDDL vrednost: <SDDL> Ova lista dozvola je konfigurisana putem smernica grupe u usluzi Active Directory. Dodatne informacije potražite u http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nivo događaja |
Greška |
|
ID događaja |
16996 |
|
Evidencije |
SISTEM |
|
Izvor događaja |
Directory-Services-SAM |
|
Tekst događaja |
Opis bezbednosti koji sadrži listu dozvoljenih za ponovno korišćenje naloga računara koja se koristi za proveru valjanosti domena domena zahteva klijenta je pogrešno uobličen. SDDL vrednost: <SDDL> Ova lista dozvola je konfigurisana putem smernica grupe u usluzi Active Directory. Da bi rešio ovaj problem, administrator će morati da ažurira smernice da bi postavio ovu vrednost na važeći opis bezbednosti ili da je onemogući. Dodatne informacije potražite u http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nivo događaja |
Greška |
|
ID događaja |
16997 |
|
Evidencije |
SISTEM |
|
Izvor događaja |
Directory-Services-SAM |
|
Tekst događaja |
Menadžer naloga za bezbednost je pronašao računarski nalog koji izgleda kao da je nedodeljean i nema postojećeg vlasnika. Nalog računara: S-1-5-xxx Vlasnik naloga računara: S-1-5-xxx Dodatne informacije potražite u http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Nivo događaja |
Upozorenje |
|
ID događaja |
16998 |
|
Evidencije |
SISTEM |
|
Izvor događaja |
Directory-Services-SAM |
|
Tekst događaja |
Menadžer bezbednosnog naloga je odbio zahtev klijenta za ponovnu upotrebu naloga računara tokom pridruživanja domenu. Nalog računara i identitet klijenta nisu ispunili provere bezbednosne provere valjanosti. Nalog klijenta: S-1-5-xxx Nalog računara: S-1-5-xxx Vlasnik naloga računara: S-1-5-xxx Proverite podatke o zapisima ovog događaja za kôd NT greške. Dodatne informacije potražite u http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ako je potrebno, netsetup.log može da pruži više informacija. Pogledajte dolenavedeni primer sa radnog računara.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Poznati problemi
|
1. problem |
Nakon instaliranja ispravki od 12. septembra 2023. ili novijih, pridruživanje domenu možda neće uspeti u okruženjima u kojima su postavljene sledeće smernice: Mrežni pristup – ograničavanje klijenata kojima je dozvoljeno da upućuju daljinske pozive sam -Windows bezbednost | Microsoft Learn. To je zato što klijentski računari sada upućuju ovlašćene SAMRPC pozive kontroloru domena da bi izvršili provere valjanosti bezbednosti povezane sa ponovnim korisnicima naloga računara. Primer sa lokacije netsetup.log gde je došlo do ovog problema: |
|
2. problem |
Ako je nalog vlasnika računara izbrisan, a dođe do pokušaja ponovnog upotrebe naloga računara, događaj 16997 će biti evidentiran u evidenciji događaja sistema. Ako se to desi, u redu je da ponovo dodelite vlasništvo drugom nalogu ili grupi. |
|
3. problem |
Ako samo klijent ima ispravku od 14. marta 2023. ili noviju, provera smernica usluge Active Directory 0x32 STATUS_NOT_SUPPORTED. Prethodne provere primenjene na novembarskih hitnih ispravki primeniće se kao što je prikazano ispod: |
