KB5020276 – Netjoin: Změny posílení zabezpečení připojení k doméně

Shrnutí

Aktualizace Windows vydané 11. října 2022 a po nich obsahují další ochranu zavedenou v cve-2022-38042. Tato ochrana záměrně brání operacím připojení k doméně v opakovaném využitím existujícího účtu počítače v cílové doméně, pokud:

Uživatel, který se o operaci pokouší, je tvůrcem existujícího účtu.

NEBO
Počítač vytvořil člen skupiny správců domény.

NEBO

Vlastník účtu počítače, který se opakovaně používá, je členem řadiče domény: Povolit opakované použití účtu počítače během připojení k doméně. Nastavení zásad skupiny. Toto nastavení vyžaduje instalaci aktualizací Windows vydaných 14. března 2023 nebo později na VŠECHNY členské počítače a řadiče domény.

Aktualizace vydané 14. března 2023 a 12. září 2023 a později budou poskytovat další možnosti pro ovlivněné zákazníky s Windows Serverem 2012 R2 a novějšími a pro všechny podporované klienty. Další informace najdete v částech Chování z 11. října 2022 a Akce .

Poznámka Tento článek dříve odkazoval na klíč registru NetJoinLegacyAccountReuse . K 13. srpnu 2024 byl tento klíč registru a jeho odkazy v tomto článku odebrány.

Chování před 11. říjnem 2022

Před instalací kumulativních aktualizací z 11. října 2022 nebo novějších se klientský počítač dotáže služby Active Directory na existující účet se stejným názvem. K tomuto dotazu dochází během připojení k doméně a zřizování účtu počítače. Pokud takový účet existuje, klient se ho automaticky pokusí znovu použít.

Poznámka Pokus o opakované použití se nezdaří, pokud uživatel, který se pokusí o operaci připojení k doméně, nemá příslušná oprávnění k zápisu. Pokud má ale uživatel dostatečná oprávnění, připojení k doméně bude úspěšné.

Existují dva scénáře pro připojení k doméně s odpovídajícími výchozími chováními a příznaky, jak je uvedeno níže:

Připojení k doméně (NetJoinDomain)
- Výchozí nastavení opakovaného použití účtu (pokud není zadaný příznak NETSETUP_NO_ACCT_REUSE )
Zřizování účtů (NetProvisionComputerAccountNetCreateProvisioningPackage).
- Výchozí hodnota JE NO opakované použití (pokud není zadána NETSETUP_PROVISION_REUSE_ACCOUNT ).

Chování z 11. října 2022

Po instalaci kumulativních aktualizací systému Windows z 11. října 2022 nebo novějších do klientského počítače provede klient během připojení k doméně další kontroly zabezpečení před pokusem o opakované použití existujícího účtu počítače. Algoritmus:

Pokus o opakované použití účtu bude povolen, pokud je uživatel, který se o operaci pokouší, autorem existujícího účtu.
Pokus o opakované použití účtu bude povolen, pokud byl účet vytvořen členem správce domény.

Tyto další kontroly zabezpečení se provádějí před pokusem o připojení k počítači. Pokud jsou kontroly úspěšné, zbytek operace připojení podléhá oprávněním Active Directory stejně jako předtím.

Tato změna nemá vliv na nové účty.

Poznámka Po instalaci kumulativních aktualizací windows z 11. října 2022 nebo novějších může připojení k doméně s opětovným použitím účtu počítače záměrně selhat s následující chybou:

Chyba 0xaac (2732): NERR_AccountReuseBlockedByPolicy: Ve službě Active Directory existuje účet se stejným názvem. Opakované použití účtu bylo zablokováno zásadami zabezpečení."

Pokud ano, je účet záměrně chráněn novým chováním.

Událost s ID 4101 se aktivuje, jakmile dojde k výše uvedené chybě a problém se zaprotokoluje ve složce c:\windows\debug\netsetup.log. Pokud chcete porozumět selhání a vyřešit problém, postupujte podle níže uvedených kroků v tématu Provedení akce.

Chování z 14. března 2023

V aktualizacích Windows vydaných 14. března 2023 nebo později jsme provedli několik změn v posílení zabezpečení. Tyto změny zahrnují všechny změny, které jsme udělali v 11. říjnu 2022.

Nejprve jsme rozšířili rozsah skupin, které jsou z tohoto posílení zabezpečení vyloučené. Kromě správců domény jsou teď z kontroly vlastnictví vyloučeni i skupiny Enterprise Administrators a Předdefinovaní správci.

Za druhé jsme implementovali nové nastavení zásad skupiny. Správci ho můžou použít k určení seznamu povolených vlastníků důvěryhodných účtů počítačů. Účet počítače obejde kontrolu zabezpečení, pokud platí některá z následujících podmínek:

Vlastníkem účtu je uživatel zadaný jako důvěryhodný vlastník v zásadách skupiny Řadič domény: Povolit opakované použití účtu počítače během připojení k doméně.
Vlastníkem účtu je uživatel, který je členem skupiny zadané jako důvěryhodný vlastník v zásadách skupiny Řadič domény: Povolit opakované použití účtu počítače během připojení k doméně.

Aby bylo možné tuto novou zásadu skupiny používat, musí mít řadič domény a členský počítač konzistentně nainstalovanou aktualizaci ze 14. března 2023 nebo novější. Někteří z vás můžou mít konkrétní účty, které používáte při automatickém vytváření účtů počítače. Pokud jsou tyto účty v bezpečí před zneužitím a vy jim důvěřujete při vytváření účtů počítačů, můžete je vyloučit. Budete stále v bezpečí proti původní chybě zabezpečení, kterou zmírní aktualizace Windows z 11. října 2022.

^{Chování v září 12, 2023}

V aktualizacích Windows vydaných 12. září 2023 nebo později jsme provedli několik dalších změn v posílení zabezpečení. Tyto změny zahrnují všechny změny, které jsme udělali v 11. říjnu 2022, a změny ze 14. března 2023.

Vyřešili jsme problém, kdy připojení k doméně pomocí ověřování čipovou kartou selhalo bez ohledu na nastavení zásad. Abychom tento problém vyřešili, přesunuli jsme zbývající kontroly zabezpečení zpět na řadič domény. Proto po aktualizaci zabezpečení ze září 2023 klientské počítače provádějí ověřená volání SAMRPC řadiče domény, aby provedly kontroly ověření zabezpečení související s opětovným používáním účtů počítačů.

To ale může způsobit selhání připojení k doméně v prostředích, kde jsou nastavené následující zásady: Přístup k síti: Omezení klientů, kteří můžou vzdáleně volat sam. Informace o řešení tohoto problému najdete v části Známé problémy.

Chování z 13. srpna 2024

V aktualizacích Windows vydaných 13. srpna 2024 nebo později jsme vyřešili všechny známé problémy s kompatibilitou se zásadami seznamu povolených. Také jsme odebrali podporu pro klíč NetJoinLegacyAccountReuse . Chování posílení zabezpečení bude zachováno bez ohledu na nastavení klíče. Vhodné metody pro přidání výjimek jsou uvedeny v části Provedení akce níže.

Přijmout opatření

Nakonfigurujte nové zásady seznamu povolených pomocí zásad skupiny na řadiči domény a odeberte všechna starší alternativní řešení na straně klienta. Pak udělejte toto:

Aktualizace z 12. září 2023 nebo novější musíte nainstalovat do všech členských počítačů a řadičů domény.
V nových nebo existujících zásadách skupiny, které platí pro všechny řadiče domény, nakonfigurujte nastavení v následujících krocích.
V části Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení poklikejte na položku Řadič domény: Povolit opakované použití účtu počítače během připojení k doméně.
Vyberte Definovat nastavení této zásady a <Upravit zabezpečení >.
Pomocí nástroje pro výběr objektů přidejte uživatele nebo skupiny důvěryhodných tvůrců a vlastníků účtů počítačů k oprávnění Povolit . (Jako osvědčený postup důrazně doporučujeme používat pro oprávnění skupiny.) Nepřidávejte uživatelský účet, který provádí připojení k doméně.

Upozornění: Omezte členství na zásadu na důvěryhodné uživatele a účty služeb. Do této zásady nepřidávejte ověřené uživatele, všechny uživatele ani jiné velké skupiny. Místo toho přidejte do skupin konkrétní důvěryhodné uživatele a účty služeb a přidejte tyto skupiny do zásad.
Počkejte na interval aktualizace zásad skupiny nebo na všech řadičích domény spusťte příkaz gpupdate /force.
Ověřte, že klíč registru HKLM\System\CCS\Control\SAM – ComputerAccountReuseAllowList je naplněn požadovaným SDDL. Neupravujte registr ručně.
Pokuste se připojit k počítači, na který jsou nainstalované aktualizace z 12. září 2023 nebo novější. Ujistěte se, že jeden z účtů uvedených v zásadách vlastní účet počítače. Pokud připojení k doméně selže, zkontrolujte \netsetup.log c:\windows\debug.

Pokud stále potřebujete alternativní řešení, projděte si pracovní postupy zřizování účtů počítače a zjistěte, jestli se vyžadují změny.

Operaci připojení proveďte pomocí stejného účtu, který vytvořil účet počítače v cílové doméně.
Pokud je stávající účet zastaralý (nepoužívá se), odstraňte ho před dalším pokusem o připojení k doméně.
Přejmenujte počítač a připojte se pomocí jiného účtu, který ještě neexistuje.
Pokud stávající účet vlastní důvěryhodný objekt zabezpečení a správce chce účet znovu použít, postupujte podle pokynů v části Provedení akce a nainstalujte aktualizace Systému Windows ze září 2023 nebo novější a nakonfigurujte seznam povolených.

Neřešení

Nepřidávejte účty služeb ani účty zřizování do skupiny zabezpečení Domain Admins.
Pokud nebyl předchozí účet vlastníka odstraněn, neupravujte popisovač zabezpečení na účtech počítačů ručně při pokusu o redefinování vlastnictví těchto účtů. Úprava vlastníka sice umožní úspěšné nové kontroly, ale účet počítače si může zachovat stejná potenciálně riziková a nežádoucí oprávnění pro původního vlastníka, pokud ho explicitně nekontroluje a neodebere.

Nové protokoly událostí

Protokol událostí	SYSTÉM
Zdroj události	Netjoin
ID události	4100
Typ události	Informační
Text události	"Během připojení k doméně našel řadič domény existující účet počítače ve službě Active Directory se stejným názvem. Byl povolen pokus o opakované použití tohoto účtu. Prohledán řadič domény: <název řadiče domény>název existujícího účtu počítače DN: <cesta DN> účtu počítače. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2202145.

Protokol událostí	SYSTÉM
Zdroj události	Netjoin
ID události	4101
Typ události	Chyba
Text události	Během připojení k doméně kontaktovaný řadič domény našel existující účet počítače ve službě Active Directory se stejným názvem. Pokus o opětovné použití tohoto účtu byl z bezpečnostních důvodů znemožněný. Prohledáno řadič domény: Název dn existujícího účtu počítače: Kód chyby byl <kód chyby>. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2202145.

Protokolování ladění je ve výchozím nastavení dostupné (není nutné povolovat podrobné protokolování) v C:\Windows\Debug\netsetup.log na všech klientských počítačích.

Příklad protokolování ladění vygenerovaného v případě, že se z bezpečnostních důvodů zabrání opakovanému použití účtu:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nové události přidané v březnu 2023

Tato aktualizace přidá čtyři (4) nové události v protokolu SYSTEM na řadiči domény následujícím způsobem:

Úroveň události	Informační
ID události	16995
Kláda	SYSTÉM
Zdroj události	Adresářové služby – SAM
Text události	Správce účtu zabezpečení používá zadaný popisovač zabezpečení k ověření pokusů o opakované použití účtu počítače během připojení k doméně. Hodnota SDDL: <řetězcová> SDDL Tento seznam povolených položek se konfiguruje prostřednictvím zásad skupiny ve službě Active Directory. Další informace najdete v tématu http://go.microsoft.com/fwlink/?LinkId=2202145.

Úroveň události	Chyba
ID události	16996
Kláda	SYSTÉM
Zdroj události	Adresářové služby – SAM
Text události	Popisovač zabezpečení obsahující účet počítače znovu použít seznam povolených položek, který se používá k ověření připojení k doméně žádostí klientů, je poškozený. Hodnota SDDL: <řetězcová> SDDL Tento seznam povolených položek se konfiguruje prostřednictvím zásad skupiny ve službě Active Directory. Pokud chcete tento problém vyřešit, správce bude muset aktualizovat zásadu tak, aby tuto hodnotu nastavil na platný popisovač zabezpečení nebo ji zakázal. Další informace najdete v tématu http://go.microsoft.com/fwlink/?LinkId=2202145.

Úroveň události	Chyba
ID události	16997
Kláda	SYSTÉM
Zdroj události	Adresářové služby – SAM
Text události	Správce účtu zabezpečení našel účet počítače, který vypadá jako osamocený a nemá existujícího vlastníka. Účet počítače: S-1-5-xxx Vlastník účtu počítače: S-1-5-xxx Další informace najdete v tématu http://go.microsoft.com/fwlink/?LinkId=2202145.

Úroveň události	Upozornění
ID události	16998
Kláda	SYSTÉM
Zdroj události	Adresářové služby – SAM
Text události	Správce účtu zabezpečení zamítl žádost klienta o opakované použití účtu počítače během připojení k doméně. Účet počítače a identita klienta nesplní ověřovací kontroly zabezpečení. Klientský účet: S-1-5-xxx Účet počítače: S-1-5-xxx Vlastník účtu počítače: S-1-5-xxx Zkontrolujte v datech záznamu této události kód chyby NT. Další informace najdete v tématu http://go.microsoft.com/fwlink/?LinkId=2202145.

V případě potřeby může netsetup.log poskytnout další informace.

Známé problémy

Problém 1

Po instalaci aktualizací z 12. září 2023 nebo novějších může připojení k doméně selhat v prostředích, kde je nastavená následující zásada: Přístup k síti – Omezení klientů, kteří můžou vzdáleně volat sam – Zabezpečení Windows | Microsoft Learn. Důvodem je to, že klientské počítače nyní provádějí ověřená volání SAMRPC řadiče domény, aby provedly kontroly ověřování zabezpečení související s opětovným používáním účtů počítačů. To se očekává. Aby správci tuto změnu přizpůsobili, měli by buď zachovat výchozí nastavení zásady SAMRPC řadiče domény, nebo explicitně zahrnout skupinu uživatelů provádějící připojení k doméně do nastavení SDDL, aby jim udělila oprávnění.

Příklad z netsetup.log, kde k tomuto problému došlo:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problém 2

Pokud byl účet vlastníka počítače odstraněn a dojde k pokusu o opakované použití účtu počítače, do protokolu událostí systému se zaprotokoluje událost 16997. Pokud k tomu dojde, je v pořádku znovu přiřadit vlastnictví k jinému účtu nebo skupině.

Problém 3

Pokud má pouze klient aktualizaci ze 14. března 2023 nebo novější, vrátí se kontrola zásad služby Active Directory 0x32 STATUS_NOT_SUPPORTED. Předchozí kontroly, které byly implementovány v listopadových opravách hotfix, budou platit, jak je znázorněno níže:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac