ملاحظة: تاريخ التحديث 08/13/2024؛ راجع سلوك 13 أغسطس 2024
الملخص
تحتوي تحديثات Windows التي تم إصدارها في 11 أكتوبر 2022 وبعده على حماية إضافية مقدمة من CVE-2022-38042. تمنع عمليات الحماية هذه عمدا عمليات الانضمام إلى المجال من إعادة استخدام حساب كمبيوتر موجود في المجال الهدف ما لم:
-
المستخدم الذي يحاول العملية هو منشئ الحساب الحالي.
أو
-
تم إنشاء الكمبيوتر بواسطة عضو من مسؤولي المجال.
أو
-
مالك حساب الكمبيوتر الذي تتم إعادة استخدامه هو عضو في "وحدة تحكم المجال: السماح بإعادة استخدام حساب الكمبيوتر أثناء الانضمام إلى المجال." إعداد نهج المجموعة. يتطلب هذا الإعداد تثبيت تحديثات Windows التي تم إصدارها في 14 مارس 2023 أو بعد ذلك، على جميع أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال.
ستوفر التحديثات التي تم إصدارها في 14 مارس 2023 و12 سبتمبر 2023 وبعد ذلك خيارات إضافية للعملاء المتأثرين على Windows Server 2012 R2 وما فوق وجميع العملاء المدعومين. لمزيد من المعلومات، راجع قسمي سلوك 11 أكتوبر 2022واتخاذ إجراء .
ملاحظه أشارت هذه المقالة مسبقا إلى مفتاح تسجيل NetJoinLegacyAccountReuse . اعتبارا من 13 أغسطس 2024، تمت إزالة مفتاح التسجيل هذا ومراجعه في هذه المقالة.
السلوك قبل 11 أكتوبر 2022
قبل تثبيت التحديثات التراكمية في 11 أكتوبر 2022 أو التحديثات التراكمية اللاحقة، يستعلم الكمبيوتر العميل عن Active Directory لحساب موجود بنفس الاسم. يحدث هذا الاستعلام أثناء الانضمام إلى المجال وتوفير حساب الكمبيوتر. إذا كان مثل هذا الحساب موجودا، فسيحاول العميل إعادة استخدامه تلقائيا.
ملاحظه ستفشل محاولة إعادة الاستخدام إذا لم يكن لدى المستخدم الذي يحاول عملية الانضمام إلى المجال أذونات الكتابة المناسبة. ومع ذلك، إذا كان لدى المستخدم أذونات كافية، فسينجح الانضمام إلى المجال.
هناك سيناريوهان للانضمام إلى المجال مع السلوكيات والعلامات الافتراضية المعنية على النحو التالي:
-
الانضمام إلى المجال (NetJoinDomain)
-
الإعدادات الافتراضية لإعادة استخدام الحساب (ما لم يتم تحديد علامة NETSETUP_NO_ACCT_REUSE )
-
-
توفير الحساب (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
الإعدادات الافتراضية لإعادة استخدام NO (ما لم يتم تحديد NETSETUP_PROVISION_REUSE_ACCOUNT .)
-
سلوك 11 أكتوبر 2022
بمجرد تثبيت تحديثات Windows التراكمية في 11 أكتوبر 2022 أو أحدث على كمبيوتر عميل، أثناء الانضمام إلى المجال، سيقوم العميل بإجراء فحوصات أمان إضافية قبل محاولة إعادة استخدام حساب كمبيوتر موجود. خوارزمية:
-
سيتم السماح بمحاولة إعادة استخدام الحساب إذا كان المستخدم الذي يحاول العملية هو منشئ الحساب الحالي.
-
سيتم السماح بمحاولة إعادة استخدام الحساب إذا تم إنشاء الحساب بواسطة عضو من مسؤولي المجال.
يتم إجراء عمليات التحقق الإضافية من الأمان هذه قبل محاولة الانضمام إلى الكمبيوتر. إذا كانت عمليات التحقق ناجحة، تخضع بقية عملية الربط لأذونات Active Directory كما كان من قبل.
لا يؤثر هذا التغيير على الحسابات الجديدة.
ملاحظة بعد تثبيت تحديثات Windows التراكمية في 11 أكتوبر 2022 أو أحدث، قد يفشل الانضمام إلى المجال مع إعادة استخدام حساب الكمبيوتر عن قصد مع الخطأ التالي:
خطأ 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "يوجد حساب بنفس الاسم في Active Directory. تم حظر إعادة استخدام الحساب بواسطة نهج الأمان."
إذا كان الأمر كذلك، يتم حماية الحساب عن قصد بواسطة السلوك الجديد.
سيتم تشغيل معرف الحدث 4101 بمجرد حدوث الخطأ أعلاه وسيتم تسجيل المشكلة في c:\windows\debug\netsetup.log. يرجى اتباع الخطوات أدناه في اتخاذ إجراء لفهم الفشل وحل المشكلة.
سلوك 14 مارس 2023
في تحديثات Windows التي تم إصدارها في 14 مارس 2023 أو بعد ذلك، قمنا بإجراء بعض التغييرات على تصلب الأمان. تتضمن هذه التغييرات جميع التغييرات التي قمنا بها في 11 أكتوبر 2022.
أولا، قمنا بتوسيع نطاق المجموعات المعفاة من هذا التصلب. بالإضافة إلى مسؤولي المجال، يتم الآن إعفاء مسؤولي المؤسسة ومجموعات المسؤولين المضمنين من التحقق من الملكية.
ثانيا، قمنا بتنفيذ إعداد نهج مجموعة جديد. يمكن للمسؤولين استخدامه لتحديد قائمة السماح لمالكي حساب الكمبيوتر الموثوق بهم. سيتجاوز حساب الكمبيوتر التحقق من الأمان إذا كان أحد الإجراءات التالية صحيحا:
-
الحساب مملوك لمستخدم محدد كمالك موثوق به في "وحدة تحكم المجال: السماح بإعادة استخدام حساب الكمبيوتر أثناء الانضمام إلى المجال" نهج المجموعة.
-
الحساب مملوك لمستخدم عضو في مجموعة محددة كمالك موثوق به في "وحدة تحكم المجال: السماح بإعادة استخدام حساب الكمبيوتر أثناء الانضمام إلى المجال" نهج المجموعة.
لاستخدام نهج المجموعة الجديد هذا، يجب تثبيت وحدة تحكم المجال والكمبيوتر العضو باستمرار على تحديث 14 مارس 2023 أو التحديث الأحدث. قد يكون لدى بعضكم حسابات معينة تستخدمها في إنشاء حساب الكمبيوتر التلقائي. إذا كانت هذه الحسابات آمنة من إساءة الاستخدام وكنت تثق بها لإنشاء حسابات الكمبيوتر، يمكنك إعفائها. ستظل آمنا من الثغرة الأمنية الأصلية التي تم تخفيفها بحلول تحديثات Windows في 11 أكتوبر 2022.
سلوك 12 سبتمبر 2023
في تحديثات Windows التي تم إصدارها في 12 سبتمبر 2023 أو بعد ذلك، قمنا بإجراء بعض التغييرات الإضافية على تصلب الأمان. تتضمن هذه التغييرات جميع التغييرات التي قمنا بها في 11 أكتوبر 2022 والتغييرات من 14 مارس 2023.
لقد عالجنا مشكلة فشل الانضمام إلى المجال باستخدام مصادقة البطاقة الذكية بغض النظر عن إعداد النهج. لإصلاح هذه المشكلة، قمنا بنقل عمليات التحقق من الأمان المتبقية مرة أخرى إلى وحدة تحكم المجال. لذلك، بعد تحديث الأمان لشهر سبتمبر 2023، تقوم أجهزة العميل بإجراء مكالمات SAMRPC مصادق عليها إلى وحدة تحكم المجال لإجراء عمليات التحقق من صحة الأمان المتعلقة بإعادة استخدام حسابات الكمبيوتر.
ومع ذلك، قد يتسبب هذا في فشل الانضمام إلى المجال في البيئات التي تم فيها تعيين النهج التالي: الوصول إلى الشبكة: تقييد العملاء المسموح لهم بإجراء مكالمات عن بعد إلى SAM. يرجى مراجعة قسم "المشاكل المعروفة" للحصول على معلومات حول كيفية حل هذه المشكلة.
سلوك 13 أغسطس 2024
في تحديثات Windows التي تم إصدارها في 13 أغسطس 2024 أو بعد ذلك، عالجنا جميع مشكلات التوافق المعروفة مع نهج قائمة السماح. أزلنا أيضا دعم مفتاح NetJoinLegacyAccountReuse . سيستمر سلوك التصلب بغض النظر عن إعداد المفتاح. يتم سرد الطرق المناسبة لإضافة إعفاءات في قسم اتخاذ الإجراء أدناه.
اتخاذ إجراء
قم بتكوين نهج قائمة السماح الجديد باستخدام نهج المجموعة على وحدة تحكم المجال وإزالة أي حلول قديمة من جانب العميل. ثم قم بما يلي:
-
يجب تثبيت تحديثات 12 سبتمبر 2023 أو التحديثات الأحدث على جميع أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال.
-
في نهج مجموعة جديد أو موجود ينطبق على جميع وحدات التحكم بالمجال، قم بتكوين الإعدادات في الخطوات أدناه.
-
ضمن Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options، انقر نقرا مزدوجا فوق وحدة تحكم المجال: السماح بإعادة استخدام حساب الكمبيوتر أثناء الانضمام إلى المجال.
-
حدد تعريف إعداد النهج هذا <تحرير الأمان...>.
-
استخدم منتقي الكائنات لإضافة مستخدمين أو مجموعات منشئي حساب الكمبيوتر الموثوق بهم ومالكيه إلى إذن السماح . (كأفضل ممارسة، نوصي بشدة باستخدام المجموعات للأذونات.) لا تقم بإضافة حساب المستخدم الذي يقوم بالانضمام إلى المجال.
تحذير: قصر العضوية على النهج على المستخدمين الموثوق بهم وحسابات الخدمة. لا تقم بإضافة مستخدمين مصادق عليهم أو كل شخص أو مجموعات كبيرة أخرى إلى هذا النهج. بدلا من ذلك، أضف مستخدمين موثوق بهم محددين وحسابات خدمة إلى المجموعات وأضف هذه المجموعات إلى النهج.
-
انتظر الفاصل الزمني لتحديث نهج المجموعة أو قم بتشغيل gpupdate /force على جميع وحدات التحكم بالمجال.
-
تحقق من ملء مفتاح التسجيل HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" ب SDDL المطلوب. لا تقم بتحرير السجل يدويا.
-
حاول الانضمام إلى كمبيوتر مثبت عليه تحديثات 12 سبتمبر 2023 أو التحديثات الأحدث. تأكد من أن أحد الحسابات المدرجة في النهج يمتلك حساب الكمبيوتر. إذا فشل الانضمام إلى المجال، فتحقق من \netsetup.log c:\windows\debug.
إذا كنت لا تزال بحاجة إلى حل بديل، فراجع مهام سير عمل توفير حساب الكمبيوتر وفهم ما إذا كانت التغييرات مطلوبة.
-
قم بإجراء عملية الانضمام باستخدام نفس الحساب الذي أنشأ حساب الكمبيوتر في المجال الهدف.
-
إذا كان الحساب الموجود قديما (غير مستخدم)، فاحذفه قبل محاولة الانضمام إلى المجال مرة أخرى.
-
إعادة تسمية الكمبيوتر والانضمام باستخدام حساب مختلف غير موجود بالفعل.
-
إذا كان الحساب الحالي مملوكا لمدير أمان موثوق به وكان المسؤول يريد إعادة استخدام الحساب، فاتبع الإرشادات الواردة في قسم اتخاذ إجراء لتثبيت تحديثات Windows في سبتمبر 2023 أو أحدث وتكوين قائمة السماح.
عدم الحلول
-
لا تقم بإضافة حسابات الخدمة أو حسابات التوفير إلى مجموعة أمان مسؤولي المجال.
-
لا تقم بتحرير واصف الأمان يدويا على حسابات الكمبيوتر في محاولة لإعادة تعريف ملكية هذه الحسابات، ما لم يتم حذف حساب المالك السابق. أثناء تحرير المالك سيمكن عمليات التحقق الجديدة من النجاح، قد يحتفظ حساب الكمبيوتر بنفس الأذونات التي يحتمل أن تكون محفوفة بالمخاطر وغير المرغوب فيها للمالك الأصلي ما لم تتم مراجعتها وإزالتها بشكل صريح.
سجلات الأحداث الجديدة
سجل الأحداث |
نظام |
مصدر الحدث |
Netjoin |
معرف الحدث |
4100 |
نوع الحدث |
اعلاميه |
نص الحدث |
"أثناء الانضمام إلى المجال، عثرت وحدة التحكم بالمجال التي تم الاتصال بها على حساب كمبيوتر موجود في Active Directory بنفس الاسم. تم السماح بمحاولة إعادة استخدام هذا الحساب. تم البحث في وحدة التحكم بالمجال: اسم وحدة تحكم المجال <>DN لحساب الكمبيوتر الموجود: <مسار DN لحساب الكمبيوتر>. راجع https://go.microsoft.com/fwlink/?linkid=2202145 لمزيد من المعلومات. |
سجل الأحداث |
نظام |
مصدر الحدث |
Netjoin |
معرف الحدث |
4101 |
نوع الحدث |
الخطأ |
نص الحدث |
أثناء الانضمام إلى المجال، عثرت وحدة التحكم بالمجال التي تم الاتصال بها على حساب كمبيوتر موجود في Active Directory بنفس الاسم. تم منع محاولة إعادة استخدام هذا الحساب لأسباب أمنية. تم البحث في وحدة التحكم بالمجال: DN لحساب الكمبيوتر الموجود: تم <رمز الخطأ>. راجع https://go.microsoft.com/fwlink/?linkid=2202145 لمزيد من المعلومات. |
يتوفر تسجيل تتبع الأخطاء بشكل افتراضي (لا حاجة لتمكين أي تسجيل مطول) في C:\Windows\Debug\netsetup.log على جميع أجهزة الكمبيوتر العميلة.
مثال على تسجيل تتبع الأخطاء الذي تم إنشاؤه عند منع إعادة استخدام الحساب لأسباب أمنية:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
تمت إضافة أحداث جديدة في مارس 2023
يضيف هذا التحديث أربعة (4) أحداث جديدة في سجل SYSTEM على وحدة تحكم المجال كما يلي:
مستوى الحدث |
اعلاميه |
معرف الحدث |
16995 |
سجل |
نظام |
مصدر الحدث |
Directory-Services-SAM |
نص الحدث |
يستخدم مدير حساب الأمان واصف الأمان المحدد للتحقق من صحة محاولات إعادة استخدام حساب الكمبيوتر أثناء الانضمام إلى المجال. قيمة SDDL:> سلسلة SDDL < يتم تكوين قائمة السماح هذه من خلال نهج المجموعة في Active Directory. لمزيد من المعلومات، يرجى الاطلاع على http://go.microsoft.com/fwlink/?LinkId=2202145. |
مستوى الحدث |
الخطأ |
معرف الحدث |
16996 |
سجل |
نظام |
مصدر الحدث |
Directory-Services-SAM |
نص الحدث |
تم تكوين واصف الأمان الذي يحتوي على قائمة السماح بإعادة استخدام حساب الكمبيوتر المستخدمة للتحقق من صحة انضمام مجال طلبات العميل. قيمة SDDL:> سلسلة SDDL < يتم تكوين قائمة السماح هذه من خلال نهج المجموعة في Active Directory. لتصحيح هذه المشكلة، سيحتاج المسؤول إلى تحديث النهج لتعيين هذه القيمة إلى واصف أمان صالح أو تعطيله. لمزيد من المعلومات، يرجى الاطلاع على http://go.microsoft.com/fwlink/?LinkId=2202145. |
مستوى الحدث |
الخطأ |
معرف الحدث |
16997 |
سجل |
نظام |
مصدر الحدث |
Directory-Services-SAM |
نص الحدث |
عثر مدير حساب الأمان على حساب كمبيوتر يبدو معزولا وليس لديه مالك موجود. حساب الكمبيوتر: S-1-5-xxx مالك حساب الكمبيوتر: S-1-5-xxx لمزيد من المعلومات، يرجى الاطلاع على http://go.microsoft.com/fwlink/?LinkId=2202145. |
مستوى الحدث |
تحذير |
معرف الحدث |
16998 |
سجل |
نظام |
مصدر الحدث |
Directory-Services-SAM |
نص الحدث |
رفض مدير حساب الأمان طلب عميل لإعادة استخدام حساب كمبيوتر أثناء الانضمام إلى المجال. لم يستوف حساب الكمبيوتر وهوية العميل عمليات التحقق من صحة الأمان. حساب العميل: S-1-5-xxx حساب الكمبيوتر: S-1-5-xxx مالك حساب الكمبيوتر: S-1-5-xxx تحقق من بيانات السجل لهذا الحدث للحصول على رمز خطأ NT. لمزيد من المعلومات، يرجى الاطلاع على http://go.microsoft.com/fwlink/?LinkId=2202145. |
إذا لزم الأمر، يمكن netsetup.log تقديم مزيد من المعلومات.
المشاكل المعروفة
المشكلة 1 |
بعد تثبيت تحديثات 12 سبتمبر 2023 أو التحديثات الأحدث، قد يفشل الانضمام إلى المجال في البيئات التي تم فيها تعيين النهج التالي: الوصول إلى الشبكة - تقييد العملاء المسموح لهم بإجراء مكالمات عن بعد إلى SAM - أمن Windows | Microsoft Learn. وذلك لأن أجهزة العميل تجري الآن استدعاءات SAMRPC مصادق عليها إلى وحدة التحكم بالمجال لإجراء عمليات التحقق من صحة الأمان المتعلقة بإعادة استخدام حسابات الكمبيوتر. هذا متوقع. لاستيعاب هذا التغيير، يجب على المسؤولين إما الاحتفاظ بنهج SAMRPC لوحدة التحكم بالمجال في الإعدادات الافتراضية أو تضمين مجموعة المستخدمين التي تقوم بتنفيذ الانضمام إلى المجال في إعدادات SDDL لمنحهم الإذن.مثال من netsetup.log حيث حدثت هذه المشكلة:
|
المشكلة 2 |
إذا تم حذف حساب مالك الكمبيوتر، وحدثت محاولة لإعادة استخدام حساب الكمبيوتر، تسجيل الحدث 16997 في سجل أحداث النظام. إذا حدث ذلك، فلا بأس من إعادة تعيين الملكية إلى حساب أو مجموعة أخرى. |
المشكلة 3 |
إذا كان العميل فقط لديه التحديث 14 مارس 2023 أو التحديث الأحدث، فسيرجع فحص نهج Active Directory 0x32 STATUS_NOT_SUPPORTED. سيتم تطبيق عمليات التحقق السابقة التي تم تنفيذها في الإصلاحات العاجلة لشهر نوفمبر كما هو موضح أدناه:
|