Obs!: Uppdaterad 2024-08-13; se beteende 13 augusti 2024
Sammanfattning
Windows-uppdateringar som släpptes 11 oktober 2022 och som släppts 11 oktober 2022 innehåller ytterligare skydd som införts av CVE-2022-38042. Dessa skydd förhindrar avsiktligt domänanslutningsåtgärder från att återanvända ett befintligt datorkonto i måldomänen om inte:
-
Användaren som försöker utföra åtgärden är skaparen av det befintliga kontot.
Eller
-
Datorn skapades av en medlem av domänadministratörerna.
Eller
-
Ägaren till det datorkonto som återanvänds är medlem i domänkontrollanten: Tillåt återanvändning av datorkonto under domänanslutning. Grupprincipinställning. Den här inställningen kräver installation av Windows-uppdateringar som släpptes den 14 mars 2023 eller senare på ALLA medlemsdatorer och domänkontrollanter.
Uppdateringar som släpptes 14 mars 2023 och 12 september 2023 kommer att tillhandahålla ytterligare alternativ för berörda kunder på Windows Server 2012 R2 och senare samt för alla klienter som stöds. Mer information finns i avsnitten 11 oktober 2022 och Vidta åtgärder .
Not Den här artikeln refererade tidigare till en NetJoinLegacyAccountReuse-registernyckel . Från och med den 13 augusti 2024 har registernyckeln och dess referenser i den här artikeln tagits bort.
Beteende före 11 oktober 2022
Innan du installerar de kumulativa uppdateringarna från 11 oktober 2022 eller senare frågar klientdatorn Active Directory efter ett befintligt konto med samma namn. Den här frågan inträffar under domänanslutning och datorkontoetablering. Om det finns ett sådant konto försöker klienten automatiskt återanvända det.
Not Återanvändningsförsöket misslyckas om användaren som försöker ansluta till domänen inte har rätt skrivbehörighet. Men om användaren har tillräckligt med behörigheter kommer domänanslutningen att lyckas.
Det finns två scenarier för domänanslutning med respektive standardbeteende och flaggor enligt följande:
-
Domänanslutning (NetJoinDomain)
-
Standardinställningar för återanvändning av konton (om inte NETSETUP_NO_ACCT_REUSE flagga anges)
-
-
Kontoetablering (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Standardvärdet INGEN återanvändning (om inte NETSETUP_PROVISION_REUSE_ACCOUNT anges.)
-
Beteende 11 oktober 2022
När du installerar de kumulativa uppdateringarna för Windows från 11 oktober 2022 eller senare på en klientdator under domänanslutningen utför klienten ytterligare säkerhetskontroller innan de försöker återanvända ett befintligt datorkonto. Algoritm:
-
Försök till återanvändning av konto tillåts om användaren som försöker utföra åtgärden är skaparen av det befintliga kontot.
-
Försök att återanvända konto tillåts om kontot skapades av en medlem av domänadministratörerna.
Dessa ytterligare säkerhetskontroller utförs innan du försöker ansluta till datorn. Om kontrollerna lyckas omfattas resten av anslutningsåtgärden av Active Directory-behörigheter som tidigare.
Den här ändringen påverkar inte nya konton.
Obs! När du har installerat de kumulativa uppdateringarna från 11 oktober 2022 eller senare windows kan domänanslutning med återanvändning av datorkonto avsiktligt misslyckas med följande fel:
Fel 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Ett konto med samma namn finns i Active Directory. Återanvändning av kontot har blockerats av säkerhetsprincipen."
I så fall skyddas kontot avsiktligt av det nya beteendet.
Händelse-ID 4101 utlöses när felet ovan inträffar och problemet loggas i c:\windows\debug\netsetup.log. Följ stegen nedan i Vidta åtgärder för att förstå felet och lösa problemet.
Beteende 14 mars 2023
I Windows-uppdateringarna som släpptes 14 mars 2023 eller senare har vi gjort några ändringar i säkerhetshärdningen. Dessa ändringar inkluderar alla ändringar vi gjorde i oktober 11, 2022.
Först utökade vi omfattningen av grupper som är undantagna från denna härdning. Utöver domänadministratörer är företagsadministratörer och inbyggda administratörsgrupper nu undantagna från ägarskapskontrollen.
För det andra har vi implementerat en ny grupprincipinställning. Administratörer kan använda den för att ange en lista över betrodda datorkontoägare. Datorkontot kringgår säkerhetskontrollen om något av följande stämmer:
-
Kontot ägs av en användare som anges som betrodd ägare i grupprincipen "Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning".
-
Kontot ägs av en användare som är medlem i en grupp som anges som betrodd ägare i grupprincipen "Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning".
Om du vill använda den nya grupprincipen måste domänkontrollanten och medlemsdatorn ha uppdateringen från 14 mars 2023 eller senare installerad. Vissa av er kanske har särskilda konton som du använder när du skapar ett datorkonto automatiskt. Om dessa konton är säkra från missbruk och du litar på att de skapar datorkonton kan du undanta dem. Du kommer fortfarande att vara säker mot den ursprungliga säkerhetsrisken som minimerats i Windows-uppdateringarna från 11 oktober 2022.
Beteende 12 september 2023
I Windows-uppdateringarna som släpptes 12 september 2023 eller senare har vi gjort några ytterligare ändringar i säkerhetshärdningen. Dessa ändringar omfattar alla ändringar vi gjorde i 11 oktober 2022 och ändringarna från 14 mars 2023.
Vi har åtgärdat ett problem där domänanslutning med smartkortsautentisering misslyckades oavsett principinställningen. Vi har flyttat tillbaka de återstående säkerhetskontrollerna till domänkontrollanten för att åtgärda det här problemet. Efter säkerhetsuppdateringen i september 2023 gör klientdatorer därför autentiserade SAMRPC-anrop till domänkontrollanten för att utföra säkerhetsverifieringskontroller som rör återanvändning av datorkonton.
Detta kan dock göra att domänanslutningen misslyckas i miljöer där följande princip har angetts: Nätverksåtkomst: Begränsa klienter som tillåts ringa fjärrsamtal till SAM. Mer information om hur du löser problemet finns i avsnittet "Kända problem".
Beteende 13 augusti 2024
I Windows-uppdateringarna som släpptes den 13 augusti 2024 eller senare har vi åtgärdat alla kända kompatibilitetsproblem med principen Allowlist. Vi har också tagit bort stöd för NetJoinLegacyAccountReuse-nyckeln . Härdningsbeteendet kvarstår oavsett vilken nyckelinställning som gäller. Lämpliga metoder för att lägga till undantag anges i avsnittet Vidta åtgärder nedan.
Vidta åtgärder
Konfigurera den nya principen för tillåtna listor med grupprincipen på en domänkontrollant och ta bort alla äldre lösningar på klientsidan. Gör sedan följande:
-
Du måste installera uppdateringarna från 12 september 2023 eller senare på alla medlemsdatorer och domänkontrollanter.
-
I en ny eller befintlig grupprincip som gäller för alla domänkontrollanter konfigurerar du inställningarna i stegen nedan.
-
Under Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ dubbelklickar du på Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning.
-
Välj Definiera den här principinställningen och <Redigera säkerhet...>.
-
Använd objektväljaren för att lägga till användare eller grupper av betrodda datorkontoskapare och ägare i behörigheten Tillåt . (Vi rekommenderar starkt att du använder grupper för behörigheter.) Lägg inte till användarkontot som utför domänanslutningen.
Varning!: Begränsa medlemskapet till principen till betrodda användare och tjänstkonton. Lägg inte till autentiserade användare, alla eller andra stora grupper i den här principen. Lägg i stället till specifika betrodda användare och tjänstkonton i grupper och lägg till dessa grupper i principen.
-
Vänta till uppdateringsintervallet för grupprincipen eller kör gpupdate /force på alla domänkontrollanter.
-
Kontrollera att registernyckeln HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" är ifylld med önskad SDDL. Redigera inte registret manuellt.
-
Försök ansluta till en dator som har uppdateringarna från 12 september 2023 eller senare installerade. Kontrollera att ett av kontona som anges i principen äger datorkontot. Om domänanslutningen misslyckas kontrollerar du \netsetup.log c:\windows\debug.
Om du fortfarande behöver en alternativ lösning kan du granska arbetsflöden för tillhandahållande av datorkonton och förstå om ändringar krävs.
-
Utför anslutningsåtgärden med samma konto som skapade datorkontot i måldomänen.
-
Om det befintliga kontot är inaktuellt (oanvänt) tar du bort det innan du försöker ansluta till domänen igen.
-
Byt namn på datorn och anslut med ett annat konto som inte redan finns.
-
Om det befintliga kontot ägs av ett betrott säkerhetshuvudnamn och en administratör vill återanvända kontot följer du anvisningarna i avsnittet Vidta åtgärder för att installera Windows-uppdateringarna för september 2023 eller senare och konfigurera en lista över tillåtna.
Lösanden
-
Lägg inte till tjänstkonton eller etableringskonton i säkerhetsgruppen Domänadministratörer.
-
Redigera inte säkerhetsbeskrivningen manuellt på datorkonton i ett försök att omdefiniera ägarskapet för sådana konton, såvida inte det tidigare ägarkontot har tagits bort. När du redigerar ägaren kan de nya kontrollerna lyckas, men datorkontot kan behålla samma potentiellt riskabla, oönskade behörigheter för den ursprungliga ägaren om det inte uttryckligen granskas och tas bort.
Nya händelseloggar
Händelselogg |
SYSTEM |
Händelsekälla |
Netjoin |
Händelse-ID |
4100 |
Händelsetyp |
Informativt |
Händelsetext |
"Under domänanslutningen hittade domänkontrollanten ett befintligt datorkonto i Active Directory med samma namn. Ett försök att återanvända det här kontot tilläts. Domänkontrollant genomsökt: <domänkontrollantens namn>Befintligt datorkonto DN: <DN-sökväg för datorkonto>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2202145. |
Händelselogg |
SYSTEM |
Händelsekälla |
Netjoin |
Händelse-ID |
4101 |
Händelsetyp |
Fel |
Händelsetext |
Under domänanslutningen hittade domänkontrollanten ett befintligt datorkonto i Active Directory med samma namn. Ett försök att återanvända det här kontot förhindrades av säkerhetsskäl. Domänkontrollant genomsökt: Befintligt datorkonto DN: Felkoden <felkod>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2202145. |
Felsökningsloggning är tillgänglig som standard (du behöver inte aktivera utförlig loggning) i C:\Windows\Felsökning\netsetup.log på alla klientdatorer.
Exempel på felsökningsloggning som genereras när återanvändningen av kontot förhindras av säkerhetsskäl:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nya händelser tillagda i mars 2023
Den här uppdateringen lägger till fyra (4) nya händelser i SYSTEM-loggen på domänkontrollanten enligt följande:
Händelsenivå |
Informativt |
Händelse-ID |
16995 |
Logg |
SYSTEM |
Händelsekälla |
Directory-Services-SAM |
Händelsetext |
Säkerhetskontohanteraren använder den angivna säkerhetsbeskrivningen för verifiering av försök att återanvända datorkonton under domänanslutning. SDDL-värde: <SDDL-sträng> Den här tillåtna listan konfigureras via grupprincip i Active Directory. Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145. |
Händelsenivå |
Fel |
Händelse-ID |
16996 |
Logg |
SYSTEM |
Händelsekälla |
Directory-Services-SAM |
Händelsetext |
Säkerhetsbeskrivningarna som innehåller listan över tillåtna omanvändning av datorkonton som används för att verifiera klientbegäranden för domänanslutning är felformaterade. SDDL-värde: <SDDL-sträng> Den här tillåtna listan konfigureras via grupprincip i Active Directory. För att åtgärda det här problemet måste administratören uppdatera principen för att ange ett giltigt säkerhetsbeskrivningsvärde eller inaktivera det. Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145. |
Händelsenivå |
Fel |
Händelse-ID |
16997 |
Logg |
SYSTEM |
Händelsekälla |
Directory-Services-SAM |
Händelsetext |
Säkerhetskontohanteraren hittade ett datorkonto som verkar vara överblivet och som inte har någon befintlig ägare. Datorkonto: S-1-5-xxx Datorkontoägare: S-1-5-xxx Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145. |
Händelsenivå |
Varning |
Händelse-ID |
16998 |
Logg |
SYSTEM |
Händelsekälla |
Directory-Services-SAM |
Händelsetext |
Säkerhetskontohanteraren avvisade en klientbegäran om att återanvända ett datorkonto under domänanslutningen. Datorkontot och klientidentiteten uppfyllde inte säkerhetsverifieringskontrollerna. Klientkonto: S-1-5-xxx Datorkonto: S-1-5-xxx Datorkontoägare: S-1-5-xxx Kontrollera postdata för den här händelsen för NT-felkoden. Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145. |
Om det behövs kan netsetup.log ge mer information.
Kända problem
Problem 1 |
När du har installerat uppdateringarna från 12 september 2023 eller senare kan domänanslutning misslyckas i miljöer där följande princip har angetts: Nätverksåtkomst – Begränsa tillåtna klienter att ringa fjärrsamtal till SAM – Windows-säkerhet | Microsoft Learn. Det beror på att klientdatorer nu gör autentiserade SAMRPC-anrop till domänkontrollanten för att utföra säkerhetsverifieringskontroller relaterade till återanvändning av datorkonton. Detta är förväntat. För att kunna göra den här ändringen bör administratörer antingen behålla domänkontrollantens SAMRPC-princip vid standardinställningarna eller uttryckligen inkludera användargruppen som utför domänanslutningen i SDDL-inställningarna för att ge dem behörighet.Exempel från en netsetup.log där det här problemet uppstod:
|
Problem 2 |
Om datorägarkontot har tagits bort och ett försök görs att återanvända datorkontot loggas händelse 16997 i systemhändelseloggen. Om detta inträffar är det okej att omtilldela ägarskap till ett annat konto eller en annan grupp. |
Problem 3 |
Om bara klienten har uppdateringen från 14 mars 2023 eller senare returnerar Active Directory-principkontrollen 0x32 STATUS_NOT_SUPPORTED. Tidigare kontroller som genomfördes i snabbkorrigeringarna i november kommer att tillämpas enligt nedan:
|