Порада.: Щоб переглянути новий або переглянутий вміст за січень 2024 р., див. теги [Січень 2024 – Початок] і [Кінець – січень 2024 р.] у статті.
Зведення
Оновлення Windows, випущені 11 жовтня 2022 року та після них, містять додаткові засоби захисту, введені CVE-2022-38042. Ці засоби захисту навмисно перешкоджають операціям приєднання до домену повторно використовувати наявний обліковий запис комп'ютера в цільовому домені, якщо:
-
Користувач, який намагається виконати операцію, є автором наявного облікового запису.
Або
-
Комп'ютер створив член адміністраторів домену.
Або
-
Власник облікового запису комп'ютера, який використовується повторно, входить до складу "Контролер домену: дозволити повторне використання облікового запису комп'ютера під час приєднання до домену". Групова політика настройку. Для цього параметра потрібна інсталяція оновлень Windows, випущених 14 березня 2023 р. або пізніше, на всіх комп'ютерах-учасниках і контролерах домену.
Оновлення, випущені 14 березня 2023 року та після 12 вересня 2023 р., надаватимуть додаткові можливості для користувачів, яких це стосується, у Windows Server 2012 R2 і вище, і для всіх підтримуваних клієнтів. Докладні відомості див. в розділах Поведінка від 11 жовтня 2022 року та Дії .
Поведінка до 11 жовтня 2022 р.
Перш ніж інсталювати сукупний пакет оновлень від 11 жовтня 2022 р. або пізнішої версії, клієнтський комп'ютер запитує Active Directory для наявного облікового запису з таким самим іменем. Цей запит виконується під час підготовки облікового запису до домену та комп'ютера. Якщо такий обліковий запис існує, клієнт автоматично спробує його використати повторно.
Примітка Спроба повторного використання завершиться помилкою, якщо користувач, який намагається приєднатися до домену, не має відповідних дозволів на записування. Однак, якщо користувач має достатньо дозволів, приєднання до домену буде успішним.
Існує два сценарії для приєднання до домену з відповідними поведінкою за промовчанням і позначками, як це відбувається:
-
Приєднання до домену (NetJoinDomain)
-
Повторне використання облікового запису за замовчуванням (якщо не вказано позначку NETSETUP_NO_ACCT_REUSE )
-
-
Підготовка облікового запису (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
За замовчуванням для повторного використання no (якщо не вказано NETSETUP_PROVISION_REUSE_ACCOUNT ).
-
Поведінка 11 жовтня 2022 р.
Після інсталяції сукупних оновлень Windows від 11 жовтня 2022 р. або пізнішої версії на клієнтському комп'ютері під час приєднання до домену клієнт виконуватиме додаткові перевірки безпеки перед спробою повторного використання наявного облікового запису комп'ютера. Алгоритм:
-
Спроба повторного використання облікового запису буде дозволена, якщо користувач, який намагається виконати операцію, є автором наявного облікового запису.
-
Спроба повторного використання облікового запису дозволяється, якщо обліковий запис створив член адміністраторів домену.
Ці додаткові перевірки безпеки виконуються перед спробою приєднатися до комп'ютера. Якщо перевірки виконано успішно, інші операції об'єднання підпадають під дію дозволів Active Directory, як і раніше.
Ця зміна не впливає на нові облікові записи.
Нотатка Після інсталяції сукупних оновлень Windows від 11 жовтня 2022 р. або пізнішої версії, повторне використання домену з обліковим записом комп'ютера може навмисно не вдатися з такою помилкою:
Помилка 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Обліковий запис із таким іменем існує в Active Directory. Повторне використання облікового запису заблоковано політикою безпеки"."
У такому разі обліковий запис навмисно захищено новою поведінкою.
Подія з ідентифікатором 4101 буде ініційована після виникнення наведеної вище помилки та ввійти в систему c:\windows\debug\netsetup.log. Виконайте наведені нижче дії, щоб зрозуміти неполадку та вирішити її.
Поведінка 14 березня 2023 р.
В оновленнях Windows, випущених 14 березня 2023 р. або пізніше, ми внесли кілька змін до посилення безпеки. Ці зміни включають усі зміни, внесені в 11 жовтня 2022 року.
По-перше, ми розширили сферу груп, які звільняються від цього загартування. На додачу до адміністраторів домену, адміністратори підприємства та вбудовані групи адміністраторів тепер звільняються від перевірки власності.
По-друге, ми реалізували нову настройку Групова політика. За його допомогою адміністратори можуть указати список довірених власників облікових записів комп'ютера. Обліковий запис комп'ютера буде обходити перевірку безпеки, якщо виконується одна з таких умов:
-
Обліковий запис належить користувачу, указаному як надійний власник у розділі "Контролер домену: дозволити повторне використання облікового запису комп'ютера під час приєднання до домену" Групова політика.
-
Обліковий запис належить користувачу, який входить до групи, указаної як надійний власник у розділі "Контролер домену: дозволити повторне використання облікового запису комп'ютера під час приєднання до домену" Групова політика.
Щоб використовувати цю нову Групова політика, контролер домену та комп'ютер-учасник мають постійно інсталювати оновлення від 14 березня 2023 р. або пізнішої версії. Деякі з вас можуть мати певні облікові записи, які використовуються для автоматичного створення облікових записів комп'ютера. Якщо ці облікові записи захищені від зловживань і ви довіряєте їм створювати комп'ютерні облікові записи, ви можете звільнити їх. Ви все одно будете захищені від початкової вразливості, що пом'якшуватиметься до 11 жовтня 2022 року, оновлень Windows.
Поведінка 12 вересня 2023 року
В оновленнях Windows, випущених 12 вересня 2023 р. або пізніше, ми внесли кілька додаткових змін до посилення безпеки. До цих змін належать усі зміни, внесені в 11 жовтня 2022 року, і зміни, внесені з 14 березня 2023 року.
Вирішено проблему, через яку не вдавалося приєднатися до домену за допомогою автентифікації смарт-картки незалежно від параметра політики. Щоб вирішити цю проблему, ми перенесли решту перевірок безпеки назад до контролера домену. Таким чином, після оновлення системи безпеки за вересень 2023 року клієнтські комп'ютери автентифіковані SAMRPC виклики контролер домену для виконання перевірки безпеки перевірки, пов'язані з повторного використання облікових записів комп'ютера.
Однак це може призвести до помилки приєднання до домену в середовищах, у яких налаштовано таку політику: Мережевий доступ: Обмежити клієнтам дозволено здійснювати віддалені виклики SAM. Відомості про те, як вирішити цю проблему, див. в розділі "Відомі проблеми".
Ми також плануємо видалити вихідний параметр реєстру NetJoinLegacyAccountReuse в майбутньому оновленні Windows. [Січень 2024 – початок]Це видалення попередньо заплановано для оновлення від 13 серпня 2024 року. Дати випуску можуть змінюватися. [End – січень 2024 р.]
Примітка Якщо ви розгорнули ключ NetJoinLegacyAccountReuse у своїх клієнтах і встановили для нього значення 1, потрібно видалити цей ключ (або встановити його значення 0), щоб отримати вигоду від останніх змін.
Вжити заходів
Настройте нову політику списку довірених користувачів за допомогою Групова політика на контролері домену та видаліть усі застарілі способи вирішення на боці клієнта. Потім виконайте наведені нижче дії.
-
Потрібно інсталювати оновлення від 12 вересня 2023 р. або пізнішої версії на всіх комп'ютерах-учасниках і контролерах домену.
-
У новій або наявній груповій політиці, яка застосовується до всіх контролерів домену, настройте параметри на наведених нижче кроках.
-
У розділі Конфігурація комп'ютера\Політики\Настройки Windows\Параметри безпеки\Локальні політики\Параметри безпеки двічі клацніть контролер домену: дозволити повторне використання облікового запису комп'ютера під час приєднання до домену.
-
Виберіть Визначити цей параметр політики та <Редагувати безпеку...>.
-
Скористайтеся засобом вибору об'єктів, щоб додати користувачів або групи надійних авторів облікових записів комп'ютера та власників до дозволу "Дозволити ". (Рекомендовано використовувати групи для дозволів.) Не додавайте обліковий запис користувача, який виконує приєднання до домену.
Попередження!: Обмежити членство в політиці довіреними користувачами та обліковими записами служб. Не додавайте до цієї політики автентифікованих користувачів, усіх або інших великих груп. Натомість додайте певних надійних користувачів і облікові записи служб до груп і додайте ці групи до політики.
-
Дочекайтеся інтервалу оновлення Групова політика або запустіть gpupdate /force на всіх контролерах домену.
-
Переконайтеся, що розділ реєстру HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" заповнено потрібним SDDL. Не редагуйте реєстр вручну.
-
Спробуйте приєднатися до комп'ютера, на якому інстальовано оновлення від 12 вересня 2023 року або пізнішої версії. Переконайтеся, що один з облікових записів, перелічених у політиці, належить до облікового запису комп'ютера. Також переконайтеся, що в його реєстрі не ввімкнуто розділ NetJoinLegacyAccountReuse (для параметра 1). Якщо не вдається приєднатися до домену, перевірте c:\windows\debug\netsetup.log.
Якщо вам усе одно знадобиться додатковий спосіб вирішення, перегляньте робочі цикли підготовки облікового запису комп'ютера та дізнайтеся, чи потрібні зміни.
-
Виконайте операцію об'єднання, використовуючи той самий обліковий запис, який створив обліковий запис комп'ютера в цільовому домені.
-
Якщо наявний обліковий запис застарілий (не використовується), видаліть його, перш ніж знову спробувати приєднатися до домену.
-
Перейменуйте комп'ютер і приєднайтеся за допомогою іншого облікового запису, який ще не існує.
-
Якщо наявний обліковий запис належить надійному принципалу безпеки та адміністратор хоче повторно використовувати обліковий запис, дотримуйтеся вказівок у розділі "Вжити заходів", щоб інсталювати оновлення Windows за вересень 2023 р. або пізнішої версії та налаштувати список довірених осіб.
Важливі вказівки з використання розділу реєстру NetJoinLegacyAccountReuse
Увага!: Якщо ви вирішите встановити цей ключ для роботи з цими захистами, ви залишите своє середовище вразливим до CVE-2022-38042, якщо на сценарій не наведено посилання нижче. Не використовуйте цей метод без підтвердження того, що автор або власник наявного комп'ютерного об'єкта є надійним принципалом безпеки.
Через нову Групова політика більше не слід використовувати розділ реєстру NetJoinLegacyAccountReuse. [Січень 2024 – початок]Ключ буде зберігатися протягом наступних кількох місяців на випадок, якщо вам знадобляться тимчасові рішення. [End – січень 2024 р.]Якщо ви не можете налаштувати новий об'єкт групової підтримки у вашому сценарії, ми наполегливо рекомендуємо звернутися до служби підтримки Microsoft.
|
Шлях |
HKLM\System\CurrentControlSet\Control\LSA |
|
Тип |
REG_DWORD |
|
Ім’я |
NetJoinLegacyAccountReuse |
|
Значення |
1 Інші значення ігноруються. |
ПриміткаКорпорація Майкрософт вилучить підтримку параметра реєстру NetJoinLegacyAccountReuse в майбутньому оновленні Windows. [Січень 2024 – початок]Це видалення попередньо заплановано для оновлення від 13 серпня 2024 року. Дати випуску можуть змінюватися. [End – січень 2024 р.]
Нерозпускні
-
Після інсталяції оновлень від 12 вересня 2023 р. або пізніших версій на DCs і клієнтах у середовищі не використовуйте реєстр NetJoinLegacyAccountReuse . Натомість виконайте кроки, описані в розділі "Вжити заходів", щоб настроїти новий об'єкт групової підтримки.
-
Не додавайте облікові записи служб і не піддавайте облікові записи групі безпеки адміністраторів доменів.
-
Не редагуйте дескриптор безпеки в облікових записах комп'ютера вручну, намагаючись перевизначити право власності на такі облікові записи, якщо обліковий запис попереднього власника не видалено. Під час редагування власник активує нові перевірки для успішного виконання, обліковий запис комп'ютера може зберігати такі ж потенційно ризиковані, небажані дозволи для початкового власника, якщо його явно не переглянуто та видалено.
-
Не додавайте розділ реєстру NetJoinLegacyAccountReuse до основних зображень ОС, оскільки його слід додавати лише тимчасово, а потім видаляти безпосередньо після завершення приєднання до домену.
Нові журнали подій
|
Журнал подій |
СИСТЕМИ |
|
Джерело події |
Netjoin |
|
Ідентифікатор події |
4100 |
|
Тип події |
Інформаційних |
|
Текст події |
"Під час підключення до домену контролер домену знайшов наявний обліковий запис комп'ютера в Active Directory з таким самим іменем. Спроба повторного використання цього облікового запису дозволена. Контролер домену виконав пошук: <ім'я контролера домену>Наявний обліковий запис комп'ютера DN: шлях <DN облікового запису комп'ютера>. Докладні відомості див. в https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Журнал подій |
СИСТЕМИ |
|
Джерело події |
Netjoin |
|
Ідентифікатор події |
4101 |
|
Тип події |
Помилка |
|
Текст події |
Під час приєднання до домену контролер домену знайшов наявний обліковий запис комп'ютера в Active Directory з таким самим іменем. Спроба повторного використання цього облікового запису була попереджена з міркувань безпеки. Контролер домену виконав пошук: наявний обліковий запис комп'ютера DN: код помилки <код помилки>. Докладні відомості див. в https://go.microsoft.com/fwlink/?linkid=2202145. |
Журналювання налагодження доступний за замовчуванням (не потрібно вмикати детальне журналювання) у C:\Windows\Debug\netsetup.log на всіх клієнтських комп'ютерах.
Приклад журналювання налагодження, створеного під час повторного використання облікового запису з міркувань безпеки:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Нові події, додані в березні 2023 року
Це оновлення додає чотири (4) нові події в системному журналі на контролері домену таким чином:
|
Рівень події |
Інформаційних |
|
Ідентифікатор події |
16995 |
|
Журналу |
СИСТЕМИ |
|
Джерело події |
Служби каталогів–SAM |
|
Текст події |
Диспетчер облікових записів безпеки використовує вказаний дескриптор безпеки для перевірки спроб повторного використання облікового запису комп'ютера під час приєднання до домену. Значення SDDL: рядок <SDDL> Цей список дозволів настроєно за допомогою групової політики в Active Directory. Докладні відомості див. в статті http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Рівень події |
Помилка |
|
Ідентифікатор події |
16996 |
|
Журналу |
СИСТЕМИ |
|
Джерело події |
Служби каталогів–SAM |
|
Текст події |
Дескриптор безпеки, який містить список дозволів облікового запису комп'ютера, який використовується для перевірки клієнтських запитів на приєднання до домену, має неправильний формат. Значення SDDL: рядок <SDDL> Цей список дозволів настроєно за допомогою групової політики в Active Directory. Щоб виправити цю помилку, адміністратор повинен оновити політику, щоб установити для цього значення припустимий дескриптор безпеки або вимкнути його. Докладні відомості див. в статті http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Рівень події |
Помилка |
|
Ідентифікатор події |
16997 |
|
Журналу |
СИСТЕМИ |
|
Джерело події |
Служби каталогів–SAM |
|
Текст події |
Диспетчер облікових записів безпеки знайшов обліковий запис комп'ютера, який, як видається, загублений і не має наявного власника. Обліковий запис комп'ютера: S-1-5-xxx Власник облікового запису комп'ютера: S-1-5-xxx Докладні відомості див. в статті http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Рівень події |
Попередження |
|
Ідентифікатор події |
16998 |
|
Журналу |
СИСТЕМИ |
|
Джерело події |
Служби каталогів–SAM |
|
Текст події |
Диспетчер облікових записів безпеки відхилив запит клієнта на повторне використання облікового запису комп'ютера під час приєднання до домену. Обліковий запис комп'ютера та посвідчення клієнта не відповідають перевіркам безпеки. Обліковий запис клієнта: S-1-5-xxx Обліковий запис комп'ютера: S-1-5-xxx Власник облікового запису комп'ютера: S-1-5-xxx Перевірте дані запису цієї події на наявність коду помилки NT. Докладні відомості див. в статті http://go.microsoft.com/fwlink/?LinkId=2202145. |
За потреби netsetup.log може надати додаткові відомості. Див. приклад нижче з робочого комп'ютера.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Відомі проблеми
|
Проблема 1 |
Після інсталяції оновлень від 12 вересня 2023 р. або пізнішої версії може не вдатися приєднатися до домену в середовищах, де встановлено таку політику: Доступ до мережі – обмежити клієнтам можливість здійснювати віддалені виклики sam – Безпека у Windows | Microsoft Learn. Це пов'язано з тим, що клієнтські комп'ютери тепер роблять автентифіковані SAMRPC виклики контролера домену для виконання перевірки безпеки, пов'язані з повторним використанням облікових записів комп'ютера. Приклад із netsetup.log, де виникла ця проблема: |
|
Проблема 2 |
Якщо обліковий запис власника комп'ютера видалено та відбувається спроба повторного використання облікового запису комп'ютера, подія 16997 буде внесена до журналу системних подій. У такому разі можна повторно призначити право власності іншому обліковому запису або групі. |
|
Проблема 3 |
Якщо лише клієнт має оновлення від 14 березня 2023 р. або пізнішої версії, перевірка політики Active Directory поверне 0x32 STATUS_NOT_SUPPORTED. Попередні перевірки, які були реалізовані в листопаді виправлення буде застосовуватися, як показано нижче: |
