Bemærk!: Opdateret 13-08-2024; se funktionsmåden for 13. august 2024
Sammendrag
Windows-opdateringer, der er udgivet den 11. oktober 2022 og derefter, indeholder yderligere beskyttelse, der er introduceret af CVE-2022-38042. Disse beskyttelser forhindrer bevidst domænetilknytningshandlinger i at genbruge en eksisterende computerkonto i destinationsdomænet, medmindre:
-
Den bruger, der forsøger at udføre handlingen, er opretteren af den eksisterende konto.
Eller
-
Computeren blev oprettet af et medlem af domæneadministratorer.
Eller
-
Ejeren af den computerkonto, der genbruges, er medlem af "Domænecontroller: Tillad genbrug af computerkonto under domænetilslutning". Indstilling for gruppepolitik. Denne indstilling kræver installation af Windows-opdateringer, der er udgivet den 14. marts 2023 eller derefter, på ALLE medlemscomputere og domænecontrollere.
Opdateringer, der er udgivet den 14. marts 2023 og den 12. september 2023 og derefter, giver yderligere muligheder for berørte kunder på Windows Server 2012 R2 og nyere samt alle understøttede klienter. Du kan få mere at vide i afsnittene Funktionsmåde for 11. oktober 2022 og Handling .
Seddel I denne artikel refereres der tidligere til registreringsdatabasenøglen NetJoinLegacyAccountReuse . Fra og med den 13. august 2024 blev denne registreringsdatabasenøgle og dens referencer i denne artikel fjernet.
Funktionsmåde før 11. oktober 2022
Før du installerer de kumulative opdateringer fra d. 11. oktober 2022 eller nyere, forespørger klientcomputeren Active Directory efter en eksisterende konto med samme navn. Denne forespørgsel forekommer under klargøring af domænetilslutning og computerkonto. Hvis en sådan konto findes, forsøger klienten automatisk at genbruge den.
Seddel Forsøget på at genbruge mislykkes, hvis den bruger, der forsøger at udføre domænetilslutningshandlingen, ikke har de rette skrivetilladelser. Men hvis brugeren har tilstrækkelige tilladelser, vil domænetilslutningen lykkes.
Der er to scenarier for domænetilslutning med henholdsvis standardfunktionsmåder og flag som følger:
-
Domænetilslutning (NetJoinDomain)
-
Standardindstillingen for genbrug af konto (medmindre NETSETUP_NO_ACCT_REUSE flag er angivet)
-
-
Kontoklargøring (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Standardindstillingen er GENBRUG IKKE (medmindre NETSETUP_PROVISION_REUSE_ACCOUNT er angivet).
-
Funktionsmåde for 11. oktober 2022
Når du har installeret de kumulative opdateringer fra d. 11. oktober 2022 eller nyere på en klientcomputer under domænetilslutning, udfører klienten yderligere sikkerhedskontroller, før du forsøger at genbruge en eksisterende computerkonto. Algoritme:
-
Forsøg på genbrug af konto tillades, hvis den bruger, der forsøger at udføre handlingen, har oprettet den eksisterende konto.
-
Forsøg på genbrug af konto tillades, hvis kontoen blev oprettet af et medlem af domæneadministratorer.
Disse ekstra sikkerhedskontroller udføres, før du forsøger at slutte dig til computeren. Hvis kontrollerne lykkes, er resten af joinhandlingen underlagt Active Directory-tilladelser som før.
Denne ændring påvirker ikke nye konti.
Bemærk! Når du har installeret de kumulative windows-opdateringer fra d. 11. oktober 2022 eller nyere, kan domænetilslutning med brug af computerkonto bevidst mislykkes med følgende fejl:
Fejl 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Der findes en konto med samme navn i Active Directory. Genbrug af kontoen blev blokeret af en sikkerhedspolitik."
Hvis det er tilfældet, beskyttes kontoen bevidst af den nye funktionsmåde.
Hændelses-id 4101 udløses, når fejlen ovenfor opstår, og problemet logføres i c:\windows\debug\netsetup.log. Følg trinnene nedenfor i Handling for at forstå fejlen og løse problemet.
Funktionsmåde for 14. marts 2023
I de Windows-opdateringer, der blev udgivet den 14. marts 2023 eller derefter, har vi foretaget et par ændringer af sikkerhedshærdningen. Disse ændringer omfatter alle de ændringer, vi har foretaget i 11. oktober 2022.
For det første har vi udvidet anvendelsesområdet for grupper, der er undtaget fra denne hærdning. Ud over domæneadministratorer er virksomhedsadministratorer og indbyggede administratorgrupper nu undtaget fra ejerskabskontrol.
For det andet har vi implementeret en ny gruppepolitikindstilling. Administratorer kan bruge den til at angive en liste over tilladte computerkontoejere. Computerkontoen tilsidesætter sikkerhedskontrollen, hvis et af følgende gælder:
-
Kontoen ejes af en bruger, der er angivet som en ejer, der er tillid til, i gruppepolitikken "Domænecontroller: Tillad, at computerkontoen genbruges under domænetilslutning".
-
Kontoen ejes af en bruger, der er medlem af en gruppe, der er angivet som en ejer, der er tillid til, i gruppepolitikken "Domænecontroller: Tillad, at computerkontoen genbruges under domænetilslutning".
Hvis du vil bruge denne nye gruppepolitik, skal domænecontrolleren og medlemscomputeren konsekvent have opdateringen fra d. 14. marts 2023 eller nyere installeret. Nogle af jer kan have bestemte konti, som du bruger til automatisk oprettelse af computerkonto. Hvis disse konti er sikre mod misbrug, og du har tillid til, at de opretter computerkonti, kan du undtage dem. Du vil stadig være sikker mod den oprindelige sikkerhedsrisiko, der blev afhjælpet med Windows-opdateringerne fra den 11. oktober 2022.
Funktionsmåde for 12. september 2023
I de Windows-opdateringer, der blev udgivet den 12. september 2023 eller derefter, har vi foretaget et par yderligere ændringer af sikkerhedshærdningen. Disse ændringer omfatter alle de ændringer, vi har foretaget i 11. oktober 2022, og ændringerne fra 14. marts 2023.
Vi har løst et problem, hvor domænetilslutning ved hjælp af chipkortgodkendelse mislykkedes uanset politikindstillingen. For at løse dette problem har vi flyttet de resterende sikkerhedskontroller tilbage til domænecontrolleren. Derfor foretager klientcomputere efter sikkerhedsopdateringen fra september 2023 godkendte SAMRPC-opkald til domænecontrolleren for at udføre sikkerhedsvalideringskontroller, der er relateret til genbrug af computerkonti.
Dette kan dog medføre, at domænetilslutning mislykkes i miljøer, hvor følgende politik er angivet: Netværksadgang: Begræns klienters tilladelse til at foretage fjernopkald til SAM. Se afsnittet "Kendte problemer" for at få oplysninger om, hvordan du løser dette problem.
Funktionsmåde for 13. august 2024
I de Windows-opdateringer, der blev udgivet d. 13. august 2024 eller derefter, løste vi alle kendte kompatibilitetsproblemer med allowlist-politikken. Vi har også fjernet understøttelse af Nøglen NetJoinLegacyAccountReuse . Funktionsmåden for hærdning bevares uanset nøgleindstillingen. De relevante metoder til at tilføje undtagelser er angivet i afsnittet Gør noget nedenfor.
Gør noget
Konfigurer den nye politik for listen over tilladte ved hjælp af gruppepolitik på en domænecontroller, og fjern eventuelle midlertidige løsninger på klientsiden. Gør derefter følgende:
-
Du skal installere opdateringerne fra d. 12. september 2023 eller nyere på alle medlemscomputere og domænecontrollere.
-
Konfigurer indstillingerne i nedenstående trin i en ny eller eksisterende gruppepolitik, der gælder for alle domænecontrollere.
-
Dobbeltklik på Domænecontroller under Computerkonfiguration\Politikker\Windows-indstillinger\Sikkerhedsindstillinger\Lokale politikker\Sikkerhedsindstillinger: Tillad genbrug af computerkonto under domænetilslutning.
-
Vælg Definer denne politikindstilling , og <Rediger sikkerhed...>.
-
Brug objektvælgeren til at føje brugere eller grupper af computerkontoforfattere og -ejere, der er tillid til, til tilladelsen Tillad . (Som bedste fremgangsmåde anbefaler vi, at du bruger grupper til tilladelser). Tilføj ikke den brugerkonto, der udfører domænetilslutningen.
Advarsel!: Begræns medlemskab til politikken for brugere og tjenestekonti, der er tillid til. Føj ikke godkendte brugere, alle eller andre store grupper til denne politik. I stedet skal du føje bestemte brugere og tjenestekonti, der er tillid til, til grupper og føje disse grupper til politikken.
-
Vent på opdateringsintervallet for gruppepolitik, eller kør gpupdate /force på alle domænecontrollere.
-
Kontrollér, at registreringsdatabasenøglen HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" er udfyldt med den ønskede SDDL. Rediger ikke registreringsdatabasen manuelt.
-
Forsøg at slutte dig til en computer, hvor opdateringerne fra den 12. september 2023 eller nyere er installeret. Sørg for, at en af de konti, der er angivet i politikken, ejer computerkontoen. Hvis domænetilslutningen mislykkes, skal du kontrollere \netsetup.log c:\windows\debug.
Hvis du stadig har brug for en alternativ løsning, kan du gennemse arbejdsprocesser for klargøring af computerkonti og forstå, om der kræves ændringer.
-
Udfør joinhandlingen ved hjælp af den samme konto, der oprettede computerkontoen i destinationsdomænet.
-
Hvis den eksisterende konto er forældet (ubrugt), skal du slette den, før du forsøger at tilslutte dig domænet igen.
-
Omdøb computeren, og deltag ved hjælp af en anden konto, der ikke allerede findes.
-
Hvis den eksisterende konto ejes af en pålidelig sikkerhedsprincipal, og en administrator ønsker at genbruge kontoen, skal du følge vejledningen i afsnittet Udfør handling for at installere Windows-opdateringerne fra september 2023 eller nyere og konfigurere en liste over tilladte.
Opløsninger
-
Føj ikke tjenestekonti eller klargøringskonti til sikkerhedsgruppen Domæneadministratorer.
-
Rediger ikke sikkerhedsbeskrivelsen manuelt på computerkonti i et forsøg på at omdefinere ejerskabet af disse konti, medmindre den tidligere ejerkonto er blevet slettet. Mens redigering af ejeren vil gøre det muligt for de nye kontroller at lykkes, kan computerkontoen bevare de samme potentielt risikable, uønskede tilladelser til den oprindelige ejer, medmindre de udtrykkeligt gennemses og fjernes.
Nye hændelseslogge
Hændelseslogfil |
SYSTEM |
Hændelseskilde |
Netjoin |
Hændelses-id |
4100 |
Hændelsestype |
Informative |
Hændelsestekst |
"Under domænetilslutningen fandt domænecontrolleren en eksisterende computerkonto i Active Directory med samme navn. Et forsøg på at genbruge denne konto er tilladt. Søgning i domænecontroller: <navn på domænecontroller>Eksisterende computerkonto DN: <DN-sti til computerkonto>. Se https://go.microsoft.com/fwlink/?linkid=2202145 for at få flere oplysninger. |
Hændelseslogfil |
SYSTEM |
Hændelseskilde |
Netjoin |
Hændelses-id |
4101 |
Hændelsestype |
Fejl |
Hændelsestekst |
Under domænetilslutningen fandt den domænecontroller, der blev kontaktet, en eksisterende computerkonto i Active Directory med samme navn. Et forsøg på at genbruge denne konto blev forhindret af sikkerhedsmæssige årsager. Søgning i domænecontroller: Eksisterende computerkonto DN: Fejlkoden blev <fejlkode>. Se https://go.microsoft.com/fwlink/?linkid=2202145 for at få flere oplysninger. |
Fejlfindingslogføring er som standard tilgængelig (ingen grund til at aktivere detaljeret logføring) i C:\Windows\Fejlfinding\netsetup.log på alle klientcomputere.
Eksempel på den fejlfindingslogføring, der genereres, når genbrug af kontoen forhindres af sikkerhedsmæssige årsager:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nye begivenheder tilføjet i marts 2023
Denne opdatering tilføjer fire (4) nye hændelser i SYSTEM-logfilen på domænecontrolleren på følgende måde:
Hændelsesniveau |
Informative |
Hændelses-id |
16995 |
Log |
SYSTEM |
Hændelseskilde |
Directory-Services-SAM |
Hændelsestekst |
Sikkerhedskontoadministratoren bruger den angivne sikkerhedsbeskrivelse til validering af forsøg på genbrug af computerkonto under domænetilslutning. SDDL-værdi: <SDDL-streng> Denne liste over tilladte er konfigureret via gruppepolitik i Active Directory. Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145. |
Hændelsesniveau |
Fejl |
Hændelses-id |
16996 |
Log |
SYSTEM |
Hændelseskilde |
Directory-Services-SAM |
Hændelsestekst |
Den sikkerhedsbeskrivelse, der indeholder den computerkonto, der genbruger tilladelseslisten, der bruges til at validere klientanmodninger om domænetilknytning, er forkert udformet. SDDL-værdi: <SDDL-streng> Denne liste over tilladte er konfigureret via gruppepolitik i Active Directory. For at løse dette problem skal en administrator opdatere politikken for at angive denne værdi til en gyldig sikkerhedsbeskrivelse eller deaktivere den. Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145. |
Hændelsesniveau |
Fejl |
Hændelses-id |
16997 |
Log |
SYSTEM |
Hændelseskilde |
Directory-Services-SAM |
Hændelsestekst |
Sikkerhedskontoadministratoren har fundet en computerkonto, der ser ud til at være tabt og ikke har en eksisterende ejer. Computerkonto: S-1-5-xxx Computerkontoejer: S-1-5-xxx Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145. |
Hændelsesniveau |
Advarsel |
Hændelses-id |
16998 |
Log |
SYSTEM |
Hændelseskilde |
Directory-Services-SAM |
Hændelsestekst |
Sikkerhedskontoadministratoren afviste en klientanmodning om at genbruge en computerkonto under domænetilslutning. Computerkontoen og klientidentiteten opfyldte ikke sikkerhedsvalideringskontrollerne. Klientkonto: S-1-5-xxx Computerkonto: S-1-5-xxx Computerkontoejer: S-1-5-xxx Kontrollér postdataene for denne hændelse for NT-fejlkoden. Du kan få mere at vide under http://go.microsoft.com/fwlink/?LinkId=2202145. |
Hvis det er nødvendigt, kan netsetup.log give flere oplysninger.
Kendte problemer
Problem 1 |
Når du har installeret opdateringerne fra d. 12. september 2023 eller nyere, kan domænetilslutning mislykkes i miljøer, hvor følgende politik er angivet: Netværksadgang – Begræns klienters tilladelse til at foretage fjernopkald til SAM – Windows Sikkerhed | Microsoft Learn. Dette skyldes, at klientcomputere nu foretager godkendte SAMRPC-opkald til domænecontrolleren for at udføre sikkerhedsvalideringskontroller, der er relateret til genbrug af computerkonti. Dette forventes. For at imødekomme denne ændring skal administratorer enten beholde domænecontrollerens SAMRPC-politik som standardindstillinger eller eksplicit medtage den brugergruppe, der udfører domænetilslutningen, i SDDL-indstillingerne for at give dem tilladelse.Eksempel fra en netsetup.log, hvor problemet opstod:
|
Problem 2 |
Hvis computerejerkontoen er blevet slettet, og computerkontoen forsøges genbrugt, logføres hændelse 16997 i systemhændelsesloggen. Hvis dette sker, er det i orden at tildele ejerskabet til en anden konto eller gruppe igen. |
Problem 3 |
Hvis kun klienten har opdateringen fra d. 14. marts 2023 eller nyere, returnerer Active Directory-politikkontrollen 0x32 STATUS_NOT_SUPPORTED. Tidligere kontroller, der blev implementeret i hotfixene for november, gælder som vist nedenfor:
|