Tips: Om du vill visa det nya eller reviderade januari 2024-innehållet läser du taggarna [Januari 2024 – Start] och [Avsluta – januari 2024] i artikeln.
Sammanfattning
Windows-uppdateringar som släpptes 11 oktober 2022 och som släppts 11 oktober 2022 innehåller ytterligare skydd som införts av CVE-2022-38042. Dessa skydd förhindrar avsiktligt domänanslutningsåtgärder från att återanvända ett befintligt datorkonto i måldomänen om inte:
-
Användaren som försöker utföra åtgärden är skaparen av det befintliga kontot.
Eller
-
Datorn skapades av en medlem av domänadministratörerna.
Eller
-
Ägaren till det datorkonto som återanvänds är medlem i domänkontrollanten: Tillåt återanvändning av datorkonto under domänanslutning. grupprincip inställning. Den här inställningen kräver installation av Windows-uppdateringar som släpptes den 14 mars 2023 eller senare på ALLA medlemsdatorer och domänkontrollanter.
Uppdateringar som släpptes 14 mars 2023 och 12 september 2023 kommer att tillhandahålla ytterligare alternativ för berörda kunder på Windows Server 2012 R2 och senare samt för alla klienter som stöds. Mer information finns i avsnitten 11 oktober 2022 och Vidta åtgärder .
Beteende före 11 oktober 2022
Innan du installerar de kumulativa uppdateringarna från 11 oktober 2022 eller senare frågar klientdatorn Active Directory efter ett befintligt konto med samma namn. Den här frågan inträffar under domänanslutning och datorkontoetablering. Om det finns ett sådant konto försöker klienten automatiskt återanvända det.
Observera Återanvändningsförsöket misslyckas om användaren som försöker ansluta till domänen inte har rätt skrivbehörighet. Men om användaren har tillräckligt med behörigheter kommer domänanslutningen att lyckas.
Det finns två scenarier för domänanslutning med respektive standardbeteende och flaggor enligt följande:
-
Domänanslutning (NetJoinDomain)
-
Standardinställningar för återanvändning av konton (om inte NETSETUP_NO_ACCT_REUSE flagga anges)
-
-
Kontoetablering (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Standardvärdet INGEN återanvändning (om inte NETSETUP_PROVISION_REUSE_ACCOUNT anges.)
-
Beteende 11 oktober 2022
När du installerar de kumulativa uppdateringarna för Windows från 11 oktober 2022 eller senare på en klientdator under domänanslutningen utför klienten ytterligare säkerhetskontroller innan de försöker återanvända ett befintligt datorkonto. Algoritm:
-
Försök till återanvändning av konto tillåts om användaren som försöker utföra åtgärden är skaparen av det befintliga kontot.
-
Försök att återanvända konto tillåts om kontot skapades av en medlem av domänadministratörerna.
Dessa ytterligare säkerhetskontroller utförs innan du försöker ansluta till datorn. Om kontrollerna lyckas omfattas resten av anslutningsåtgärden av Active Directory-behörigheter som tidigare.
Den här ändringen påverkar inte nya konton.
Obs! När du har installerat de kumulativa uppdateringarna från 11 oktober 2022 eller senare windows kan domänanslutning med återanvändning av datorkonto avsiktligt misslyckas med följande fel:
Fel 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Ett konto med samma namn finns i Active Directory. Återanvändning av kontot har blockerats av säkerhetsprincipen."
I så fall skyddas kontot avsiktligt av det nya beteendet.
Händelse-ID 4101 utlöses när felet ovan inträffar och problemet loggas i c:\windows\debug\netsetup.log. Följ stegen nedan i Vidta åtgärder för att förstå felet och lösa problemet.
Beteende 14 mars 2023
I Windows-uppdateringarna som släpptes 14 mars 2023 eller senare har vi gjort några ändringar i säkerhetshärdningen. Dessa ändringar inkluderar alla ändringar vi gjorde i oktober 11, 2022.
Först utökade vi omfattningen av grupper som är undantagna från denna härdning. Utöver domänadministratörer är företagsadministratörer och inbyggda administratörsgrupper nu undantagna från ägarskapskontrollen.
För det andra har vi implementerat en ny grupprincip inställning. Administratörer kan använda den för att ange en lista över betrodda datorkontoägare. Datorkontot kringgår säkerhetskontrollen om något av följande stämmer:
-
Kontot ägs av en användare som anges som betrodd ägare i grupprincip "Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning".
-
Kontot ägs av en användare som är medlem i en grupp som anges som betrodd ägare i grupprincip "Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning".
Om du vill använda den nya grupprincip måste domänkontrollanten och medlemsdatorn konsekvent ha uppdateringen från 14 mars 2023 eller senare installerad. Vissa av er kanske har särskilda konton som du använder när du skapar ett datorkonto automatiskt. Om dessa konton är säkra från missbruk och du litar på att de skapar datorkonton kan du undanta dem. Du kommer fortfarande att vara säker mot den ursprungliga säkerhetsrisken som minimerats i Windows-uppdateringarna från 11 oktober 2022.
Beteende 12 september 2023
I Windows-uppdateringarna som släpptes 12 september 2023 eller senare har vi gjort några ytterligare ändringar i säkerhetshärdningen. Dessa ändringar omfattar alla ändringar vi gjorde i 11 oktober 2022 och ändringarna från 14 mars 2023.
Vi har åtgärdat ett problem där domänanslutning med smartkortsautentisering misslyckades oavsett principinställningen. Vi har flyttat tillbaka de återstående säkerhetskontrollerna till domänkontrollanten för att åtgärda det här problemet. Efter säkerhetsuppdateringen i september 2023 gör klientdatorer därför autentiserade SAMRPC-anrop till domänkontrollanten för att utföra säkerhetsverifieringskontroller som rör återanvändning av datorkonton.
Detta kan dock göra att domänanslutningen misslyckas i miljöer där följande princip har angetts: Nätverksåtkomst: Begränsa klienter som tillåts ringa fjärrsamtal till SAM. Mer information om hur du löser problemet finns i avsnittet "Kända problem".
Vi planerar också att ta bort den ursprungliga NetJoinLegacyAccountReuse-registerinställningen i en framtida Windows-uppdatering. [Januari 2024 - Start]Borttagningen schemaläggs preliminärt för uppdateringen från den 13 augusti 2024. Utgivningsdatum kan komma att ändras. [Slut – januari 2024]
Observera Om du har distribuerat nyckeln NetJoinLegacyAccountReuse på klienterna och ställt in den på värdet 1, måste du nu ta bort nyckeln (eller ange värdet 0) för att dra nytta av de senaste ändringarna.
Vidta åtgärder
Konfigurera den nya principen för tillåtna listor med hjälp av grupprincip på en domänkontrollant och ta bort äldre lösningar på klientsidan. Gör sedan följande:
-
Du måste installera uppdateringarna från 12 september 2023 eller senare på alla medlemsdatorer och domänkontrollanter.
-
I en ny eller befintlig grupprincip som gäller för alla domänkontrollanter konfigurerar du inställningarna i stegen nedan.
-
Under Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ dubbelklickar du på Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning.
-
Välj Definiera den här principinställningen och <Redigera säkerhet...>.
-
Använd objektväljaren för att lägga till användare eller grupper av betrodda datorkontoskapare och ägare i behörigheten Tillåt . (Vi rekommenderar starkt att du använder grupper för behörigheter.) Lägg inte till användarkontot som utför domänanslutningen.
Varning!: Begränsa medlemskapet till principen till betrodda användare och tjänstkonton. Lägg inte till autentiserade användare, alla eller andra stora grupper i den här principen. Lägg i stället till specifika betrodda användare och tjänstkonton i grupper och lägg till dessa grupper i principen.
-
Vänta på grupprincip uppdateringsintervall eller kör gpupdate /force på alla domänkontrollanter.
-
Kontrollera att registernyckeln HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" är ifylld med önskad SDDL. Redigera inte registret manuellt.
-
Försök ansluta till en dator som har uppdateringarna från 12 september 2023 eller senare installerade. Kontrollera att ett av kontona som anges i principen äger datorkontot. Se också till att dess register inte har NetJoinLegacyAccountReuse-nyckeln aktiverad (inställd på 1). Om domänanslutningen misslyckas kontrollerar du c:\windows\debug\netsetup.log.
Om du fortfarande behöver en alternativ lösning kan du granska arbetsflöden för tillhandahållande av datorkonton och förstå om ändringar krävs.
-
Utför anslutningsåtgärden med samma konto som skapade datorkontot i måldomänen.
-
Om det befintliga kontot är inaktuellt (oanvänt) tar du bort det innan du försöker ansluta till domänen igen.
-
Byt namn på datorn och anslut med ett annat konto som inte redan finns.
-
Om det befintliga kontot ägs av ett betrott säkerhetshuvudnamn och en administratör vill återanvända kontot följer du anvisningarna i avsnittet Vidta åtgärder för att installera Windows-uppdateringarna för september 2023 eller senare och konfigurera en lista över tillåtna.
Viktig vägledning för att använda registernyckeln NetJoinLegacyAccountReuse
Varning!: Om du väljer att ange den här nyckeln för att kringgå dessa skydd kommer du att lämna din miljö sårbar för CVE-2022-38042 om inte ditt scenario anges nedan som lämpligt. Använd inte den här metoden utan att bekräfta att skaparen/ägaren av det befintliga datorobjektet är ett säkert och betrott säkerhetsobjekt.
På grund av den nya grupprincip bör du inte längre använda registernyckeln NetJoinLegacyAccountReuse. [Januari 2024 - Start]Nyckeln behålls för de kommande månaderna om du skulle behöva lösningar. [Slut – januari 2024]Om du inte kan konfigurera det nya GPO:t i ditt scenario rekommenderar vi starkt att du kontaktar Microsoft Support.
|
Sökväg |
HKLM\System\CurrentControlSet\Control\LSA |
|
Typ |
REG_DWORD |
|
Namn |
NetJoinLegacyAccountReuse |
|
Värde |
1 Andra värden ignoreras. |
ObserveraMicrosoft tar bort stöd för registerinställningen NetJoinLegacyAccountReuse i en kommande Windows-uppdatering. [Januari 2024 - Start]Borttagningen schemaläggs preliminärt för uppdateringen från den 13 augusti 2024. Utgivningsdatum kan komma att ändras. [Slut – januari 2024]
Lösanden
-
När du har installerat 12 september 2023 eller senare uppdateringar på DCs och klienter i miljön ska du inte använda netjoinLegacyAccountReuse-registret . Följ i stället anvisningarna i Vidta åtgärder för att konfigurera det nya GPO:t.
-
Lägg inte till tjänstkonton eller etableringskonton i säkerhetsgruppen Domänadministratörer.
-
Redigera inte säkerhetsbeskrivningen manuellt på datorkonton i ett försök att omdefiniera ägarskapet för sådana konton, såvida inte det tidigare ägarkontot har tagits bort. När du redigerar ägaren kan de nya kontrollerna lyckas, men datorkontot kan behålla samma potentiellt riskabla, oönskade behörigheter för den ursprungliga ägaren om det inte uttryckligen granskas och tas bort.
-
Lägg inte till registernyckeln NetJoinLegacyAccountReuse i bas-OS-avbildningar eftersom nyckeln bara ska läggas till tillfälligt och sedan tas bort direkt när domänanslutningen har slutförts.
Nya händelseloggar
|
Händelselogg |
SYSTEM |
|
Händelsekälla |
Netjoin |
|
Händelse-ID |
4100 |
|
Händelsetyp |
Informativt |
|
Händelsetext |
"Under domänanslutningen hittade domänkontrollanten ett befintligt datorkonto i Active Directory med samma namn. Ett försök att återanvända det här kontot tilläts. Domänkontrollant genomsökt: <domänkontrollantens namn>Befintligt datorkonto DN: <DN-sökväg för datorkonto>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Händelselogg |
SYSTEM |
|
Händelsekälla |
Netjoin |
|
Händelse-ID |
4101 |
|
Händelsetyp |
Fel |
|
Händelsetext |
Under domänanslutningen hittade domänkontrollanten ett befintligt datorkonto i Active Directory med samma namn. Ett försök att återanvända det här kontot förhindrades av säkerhetsskäl. Domänkontrollant genomsökt: Befintligt datorkonto DN: Felkoden <felkod>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2202145. |
Felsökningsloggning är tillgänglig som standard (du behöver inte aktivera utförlig loggning) i C:\Windows\Debug\netsetup.log på alla klientdatorer.
Exempel på felsökningsloggning som genereras när återanvändningen av kontot förhindras av säkerhetsskäl:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nya händelser tillagda i mars 2023
Den här uppdateringen lägger till fyra (4) nya händelser i SYSTEM-loggen på domänkontrollanten enligt följande:
|
Händelsenivå |
Informativt |
|
Händelse-ID |
16995 |
|
Logga in |
SYSTEM |
|
Händelsekälla |
Directory-Services-SAM |
|
Händelsetext |
Säkerhetskontohanteraren använder den angivna säkerhetsbeskrivningen för verifiering av försök att återanvända datorkonton under domänanslutning. SDDL-värde: <SDDL-sträng> Den här tillåtna listan konfigureras via grupprincip i Active Directory. Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Händelsenivå |
Fel |
|
Händelse-ID |
16996 |
|
Logga in |
SYSTEM |
|
Händelsekälla |
Directory-Services-SAM |
|
Händelsetext |
Säkerhetsbeskrivningarna som innehåller listan över tillåtna omanvändning av datorkonton som används för att verifiera klientbegäranden för domänanslutning är felformaterade. SDDL-värde: <SDDL-sträng> Den här tillåtna listan konfigureras via grupprincip i Active Directory. För att åtgärda det här problemet måste administratören uppdatera principen för att ange ett giltigt säkerhetsbeskrivningsvärde eller inaktivera det. Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Händelsenivå |
Fel |
|
Händelse-ID |
16997 |
|
Logga in |
SYSTEM |
|
Händelsekälla |
Directory-Services-SAM |
|
Händelsetext |
Säkerhetskontohanteraren hittade ett datorkonto som verkar vara överblivet och som inte har någon befintlig ägare. Datorkonto: S-1-5-xxx Datorkontoägare: S-1-5-xxx Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Händelsenivå |
Varning |
|
Händelse-ID |
16998 |
|
Logga in |
SYSTEM |
|
Händelsekälla |
Directory-Services-SAM |
|
Händelsetext |
Säkerhetskontohanteraren avvisade en klientbegäran om att återanvända ett datorkonto under domänanslutningen. Datorkontot och klientidentiteten uppfyllde inte säkerhetsverifieringskontrollerna. Klientkonto: S-1-5-xxx Datorkonto: S-1-5-xxx Datorkontoägare: S-1-5-xxx Kontrollera postdata för den här händelsen för NT-felkoden. Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145. |
Vid behov kan netsetup.log ge mer information. Se exemplet nedan från en fungerande dator.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Kända problem
|
Problem 1 |
När du har installerat uppdateringarna från 12 september 2023 eller senare kan domänanslutning misslyckas i miljöer där följande princip har angetts: Nätverksåtkomst – Begränsa tillåtna klienter att ringa fjärrsamtal till SAM – Windows-säkerhet | Microsoft Learn. Det beror på att klientdatorer nu gör autentiserade SAMRPC-anrop till domänkontrollanten för att utföra säkerhetsverifieringskontroller relaterade till återanvändning av datorkonton. Exempel från en netsetup.log där det här problemet uppstod: |
|
Problem 2 |
Om datorägarkontot har tagits bort och ett försök görs att återanvända datorkontot loggas händelse 16997 i systemhändelseloggen. Om detta inträffar är det okej att omtilldela ägarskap till ett annat konto eller en annan grupp. |
|
Problem 3 |
Om bara klienten har uppdateringen från 14 mars 2023 eller senare returnerar Active Directory-principkontrollen 0x32 STATUS_NOT_SUPPORTED. Tidigare kontroller som genomfördes i snabbkorrigeringarna i november kommer att tillämpas enligt nedan: |
