KB5020276 – Netjoin: Ändringar av härdning av domänkoppling

Sammanfattning

Windows-uppdateringar som släpptes 11 oktober 2022 och som släppts 11 oktober 2022 innehåller ytterligare skydd som införts av CVE-2022-38042. Dessa skydd förhindrar avsiktligt domänanslutningsåtgärder från att återanvända ett befintligt datorkonto i måldomänen om inte:

Användaren som försöker utföra åtgärden är skaparen av det befintliga kontot.

Eller
Datorn skapades av en medlem av domänadministratörerna.

Eller

Ägaren till det datorkonto som återanvänds är medlem i domänkontrollanten: Tillåt återanvändning av datorkonto under domänanslutning. grupprincip inställning. Den här inställningen kräver installation av Windows-uppdateringar som släpptes den 14 mars 2023 eller senare på ALLA medlemsdatorer och domänkontrollanter.

Uppdateringar som släpptes den 14 mars 2023 och efter 14 mars 2023 tillhandahåller ytterligare alternativ för berörda kunder på Windows Server 2012 R2 och senare samt för alla klienter som stöds. Mer information finns i avsnitten 11 oktober 2022 och Vidta åtgärder .

Beteende före 11 oktober 2022

Innan du installerar de kumulativa uppdateringarna från 11 oktober 2022 eller senare frågar klientdatorn Active Directory efter ett befintligt konto med samma namn. Den här frågan inträffar under domänanslutning och datorkontoetablering. Om det finns ett sådant konto försöker klienten automatiskt återanvända det.

Observera Återanvändningsförsöket misslyckas om användaren som försöker ansluta till domänen inte har rätt skrivbehörighet. Men om användaren har tillräckligt med behörigheter kommer domänanslutningen att lyckas.

Det finns två scenarier för domänanslutning med respektive standardbeteende och flaggor enligt följande:

Domänanslutning (NetJoinDomain)
- Standardinställningar för återanvändning av konton (om inte NETSETUP_NO_ACCT_REUSE flagga anges)
Kontoetablering (NetProvisionComputerAccountNetCreateProvisioningPackage).
- Standardvärdet INGEN återanvändning (om inte NETSETUP_PROVISION_REUSE_ACCOUNT anges.)

Beteende 11 oktober 2022

När du installerar de kumulativa uppdateringarna för Windows från 11 oktober 2022 eller senare på en klientdator under domänanslutningen utför klienten ytterligare säkerhetskontroller innan de försöker återanvända ett befintligt datorkonto. Algoritm:

Försök till återanvändning av konto tillåts om användaren som försöker utföra åtgärden är skaparen av det befintliga kontot.
Försök att återanvända konto tillåts om kontot skapades av en medlem av domänadministratörerna.

Dessa ytterligare säkerhetskontroller utförs innan du försöker ansluta till datorn. Om kontrollerna lyckas omfattas resten av anslutningsåtgärden av Active Directory-behörigheter som tidigare.

Den här ändringen påverkar inte nya konton.

Obs! När du har installerat de kumulativa uppdateringarna från 11 oktober 2022 eller senare windows kan domänanslutning med återanvändning av datorkonto avsiktligt misslyckas med följande fel:

Fel 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Ett konto med samma namn finns i Active Directory. Återanvändning av kontot har blockerats av säkerhetsprincipen."

I så fall skyddas kontot avsiktligt av det nya beteendet.

Händelse-ID 4101 utlöses när felet ovan inträffar och problemet loggas i c:\windows\debug\netsetup.log. Följ stegen nedan i Vidta åtgärder för att förstå felet och lösa problemet.

Beteende 14 mars 2023

I Windows-uppdateringarna som släpptes 14 mars 2023 eller senare har vi gjort några ändringar i säkerhetshärdningen. Dessa ändringar inkluderar alla ändringar vi gjorde i oktober 11, 2022.

Först utökade vi omfattningen av grupper som är undantagna från denna härdning. Utöver domänadministratörer är företagsadministratörer och inbyggda administratörsgrupper nu undantagna från ägarskapskontrollen.

För det andra har vi implementerat en ny grupprincip inställning. Administratörer kan använda den för att ange en lista över betrodda datorkontoägare. Datorkontot kringgår säkerhetskontrollen om något av följande stämmer:

Kontot ägs av en användare som anges som betrodd ägare i grupprincip "Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning".
Kontot ägs av en användare som är medlem i en grupp som anges som betrodd ägare i grupprincip "Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning".

Om du vill använda den nya grupprincip måste domänkontrollanten och medlemsdatorn konsekvent ha uppdateringen från 14 mars 2023 eller senare installerad. Vissa av er kanske har särskilda konton som du använder när du skapar ett datorkonto automatiskt. Om dessa konton är säkra från missbruk och du litar på att de skapar datorkonton kan du undanta dem. Du kommer fortfarande att vara säker mot den ursprungliga säkerhetsrisken som minimerats i Windows-uppdateringarna från 11 oktober 2022.

^{[10 augusti 2023 – Start]}

Vi planerar också att ta bort den ursprungliga NetJoinLegacyAccountReuse-registerinställningen i en framtida Windows-uppdatering. Borttagningen schemaläggs preliminärt för uppdateringen från 13 februari 2024. Utgivningsdatum kan komma att ändras. ^{[Slut –}^{10 augusti 2023]}

Observera Om du har distribuerat nyckeln NetJoinLegacyAccountReuse på klienterna och ställt in den på värdet 1, måste du nu ta bort nyckeln (eller ange värdet 0) för att dra nytta av de senaste ändringarna.

Vidta åtgärder

Konfigurera den nya principen för tillåtna listor med hjälp av grupprincip på en domänkontrollant. Ta bort äldre lösningar på klientsidan så snart som möjligt före september 2023. Gör sedan följande:

Du måste installera uppdateringarna från 14 mars 2023 på alla medlemsdatorer och domänkontrollanter.
I en ny eller befintlig grupprincip som gäller för alla domänkontrollanter konfigurerar du inställningarna i stegen nedan.
Under Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ dubbelklickar du på Domänkontrollant: Tillåt återanvändning av datorkonto under domänanslutning.
Välj Definiera den här principinställningen och <Redigera säkerhet...>.
Använd objektväljaren för att lägga till användare eller grupper av betrodda datorkontoskapare och ägare i behörigheten Tillåt . (Vi rekommenderar starkt att du använder grupper för behörigheter.) Lägg inte till användarkontot som utför domänanslutningen.

Varning!: Begränsa medlemskapet till principen till betrodda användare och tjänstkonton. Lägg inte till autentiserade användare, alla eller andra stora grupper i den här principen. Lägg i stället till specifika betrodda användare och tjänstkonton i grupper och lägg till dessa grupper i principen.
Vänta på grupprincip uppdateringsintervall eller kör gpupdate /force på alla domänkontrollanter.
Kontrollera att registernyckeln HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" är ifylld med önskad SDDL. Redigera inte registret manuellt.
Försök ansluta till en dator där uppdateringen från 14 mars 2023 eller senare har installerats. Kontrollera att ett av kontona som anges i principen äger datorkontot. Se också till att dess register inte har NetJoinLegacyAccountReuse-nyckeln aktiverad (inställd på 1). Om domänanslutningen misslyckas kontrollerar du c:\windows\debug\netsetup.log.

Om du fortfarande behöver en alternativ lösning kan du granska arbetsflöden för tillhandahållande av datorkonton och förstå om ändringar krävs.

Utför anslutningsåtgärden med samma konto som skapade datorkontot i måldomänen.
Om det befintliga kontot är inaktuellt (oanvänt) tar du bort det innan du försöker ansluta till domänen igen.
Byt namn på datorn och anslut med ett annat konto som inte redan finns.
Om det befintliga kontot ägs av ett betrott säkerhetshuvudnamn och en administratör vill återanvända kontot följer du anvisningarna i avsnittet Vidta åtgärder för att installera Windows-uppdateringen för mars 2023 och konfigurera en lista över tillåtna.

Viktig vägledning för att använda registernyckeln NetJoinLegacyAccountReuse

Varning!: Om du väljer att ange den här nyckeln för att kringgå dessa skydd kommer du att lämna din miljö sårbar för CVE-2022-38042 om inte ditt scenario anges nedan som lämpligt. Använd inte den här metoden utan att bekräfta att skaparen/ägaren av det befintliga datorobjektet är ett säkert och betrott säkerhetsobjekt.

På grund av den nya grupprincip bör du inte längre använda registernyckeln NetJoinLegacyAccountReuse. Nyckeln behålls för de kommande sex (6) månaderna om du skulle behöva lösningar. Om du inte kan konfigurera det nya GPO:t i ditt scenario rekommenderar vi starkt att du kontaktar Microsoft Support.

Sökväg	HKLM\System\CurrentControlSet\Control\LSA
Typ	REG_DWORD
Namn	NetJoinLegacyAccountReuse
Värde	1 Andra värden ignoreras.

^{[10 augusti 2023 – Start]}

ObserveraMicrosoft tar bort stöd för registerinställningen NetJoinLegacyAccountReuse i en kommande Windows-uppdatering. Borttagningen schemaläggs preliminärt för uppdateringen från 13 februari 2024. Utgivningsdatum kan komma att ändras. ^{[Slut –}^{10 augusti 2023]}

Lösanden

När du har installerat 14 mars 2023 eller senare uppdateringar på DCs och klienter i miljön ska du inte använda netjoinLegacyAccountReuse-registret . Följ i stället anvisningarna i Vidta åtgärder för att konfigurera det nya GPO:t.
Lägg inte till tjänstkonton eller etableringskonton i säkerhetsgruppen Domänadministratörer.
Redigera inte säkerhetsbeskrivningarna manuellt på datorkonton i ett försök att omdefiniera ägarskapet för sådana konton. När du redigerar ägaren kan de nya kontrollerna lyckas, men datorkontot kan behålla samma potentiellt riskabla, oönskade behörigheter för den ursprungliga ägaren om det inte uttryckligen granskas och tas bort.
Lägg inte till registernyckeln NetJoinLegacyAccountReuse i bas-OS-avbildningar eftersom nyckeln bara ska läggas till tillfälligt och sedan tas bort direkt när domänanslutningen har slutförts.

Nya händelseloggar

Händelselogg	SYSTEM
Händelsekälla	Netjoin
Händelse-ID	4100
Händelsetyp	Informativt
Händelsetext	"Under domänanslutningen hittade domänkontrollanten ett befintligt datorkonto i Active Directory med samma namn. Ett försök att återanvända det här kontot tilläts. Domänkontrollant genomsökt: <domänkontrollantens namn>Befintligt datorkonto DN: <DN-sökväg för datorkonto>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2202145.

Händelselogg	SYSTEM
Händelsekälla	Netjoin
Händelse-ID	4101
Händelsetyp	Fel
Händelsetext	"Under domänanslutningen hittade domänkontrollanten ett befintligt datorkonto i Active Directory med samma namn. Ett försök att återanvända det här kontot förhindrades av säkerhetsskäl. Domänkontrollant genomsökt: Befintligt datorkonto DN: Felkoden <felkod>. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2202145."

Felsökningsloggning är tillgänglig som standard (du behöver inte aktivera utförlig loggning) i C:\Windows\Debug\netsetup.log på alla klientdatorer.

Exempel på felsökningsloggning som genereras när återanvändningen av kontot förhindras av säkerhetsskäl:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nya händelser tillagda i mars 2023

Den här uppdateringen lägger till fyra (4) nya händelser i SYSTEM-loggen på domänkontrollanten enligt följande:

Händelsenivå	Informativt
Händelse-ID	16995
Logga in	SYSTEM
Händelsekälla	Directory-Services-SAM
Händelsetext	Säkerhetskontohanteraren använder den angivna säkerhetsbeskrivningen för verifiering av försök att återanvända datorkonton under domänanslutning. SDDL-värde: <SDDL-sträng> Den här tillåtna listan konfigureras via grupprincip i Active Directory. Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145.

Händelsenivå	Fel
Händelse-ID	16996
Logga in	SYSTEM
Händelsekälla	Directory-Services-SAM
Händelsetext	Säkerhetsbeskrivningarna som innehåller listan över tillåtna omanvändning av datorkonton som används för att verifiera klientbegäranden för domänanslutning är felformaterade. SDDL-värde: <SDDL-sträng> Den här tillåtna listan konfigureras via grupprincip i Active Directory. För att åtgärda det här problemet måste administratören uppdatera principen för att ange ett giltigt säkerhetsbeskrivningsvärde eller inaktivera det. Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145.

Händelsenivå	Fel
Händelse-ID	16997
Logga in	SYSTEM
Händelsekälla	Directory-Services-SAM
Händelsetext	Säkerhetskontohanteraren hittade ett datorkonto som verkar vara överblivet och som inte har någon befintlig ägare. Datorkonto: S-1-5-xxx Datorkontoägare: S-1-5-xxx Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145.

Händelsenivå	Varning
Händelse-ID	16998
Logga in	SYSTEM
Händelsekälla	Directory-Services-SAM
Händelsetext	Säkerhetskontohanteraren avvisade en klientbegäran om att återanvända ett datorkonto under domänanslutningen. Datorkontot och klientidentiteten uppfyllde inte säkerhetsverifieringskontrollerna. Klientkonto: S-1-5-xxx Datorkonto: S-1-5-xxx Datorkontoägare: S-1-5-xxx Kontrollera postdata för den här händelsen för NT-felkoden. Mer information finns i http://go.microsoft.com/fwlink/?LinkId=2202145

Vid behov kan netsetup.log ge mer information. Se exemplet nedan från en fungerande dator.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Om bara klienten har uppdateringen från 14 mars 2023 eller senare returnerar Active Directory-principkontrollen 0x32 STATUS_NOT_SUPPORTED. Tidigare kontroller som genomfördes i snabbkorrigeringarna för november kommer att tillämpas enligt nedan.

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac