Hinweis: Aktualisiert 13.08.2024; siehe Verhalten vom 13. August 2024
Zusammenfassung
Windows-Updates, die am und nach dem 11. Oktober 2022 veröffentlicht wurden, enthalten zusätzliche Schutzmaßnahmen, die von CVE-2022-38042 eingeführt wurden. Diese Schutzmaßnahmen verhindern absichtlich, dass Domänenbeitrittsvorgänge ein vorhandenes Computerkonto in der Zieldomäne wiederverwenden, es sei denn:
-
Der Benutzer, der den Vorgang versucht, ist der Ersteller des vorhandenen Kontos.
Oder
-
Der Computer wurde von einem Mitglied der Domänenadministratoren erstellt.
Oder
-
Der Besitzer des Computerkontos, das wiederverwendet wird, ist Mitglied von "Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen". Gruppenrichtlinieneinstellung. Diese Einstellung erfordert die Installation von Windows-Updates, die am oder nach dem 14. März 2023 auf ALLEN Mitgliedscomputern und Domänencontrollern veröffentlicht wurden.
Updates, die am und nach dem 14. März 2023 und dem 12. September 2023 veröffentlicht werden, bieten zusätzliche Optionen für betroffene Kunden unter Windows Server 2012 R2 und höher und allen unterstützten Clients. Weitere Informationen finden Sie in den Abschnitten Verhalten vom 11. Oktober 2022 und Ergreifen von Maßnahmen .
Anmerkung In diesem Artikel wurde zuvor auf einen NetJoinLegacyAccountReuse-Registrierungsschlüssel verwiesen. Am 13. August 2024 wurden dieser Registrierungsschlüssel und seine Verweise in diesem Artikel entfernt.
Verhalten vor dem 11. Oktober 2022
Bevor Sie die kumulativen Updates vom 11. Oktober 2022 oder höher installieren, fragt der Clientcomputer Active Directory nach einem vorhandenen Konto mit demselben Namen ab. Diese Abfrage tritt während der Domänenbeitritts- und Computerkontobereitstellung auf. Wenn ein solches Konto vorhanden ist, versucht der Client automatisch, es wiederzuverwenden.
Hinweis Der Wiederverwendungsversuch schlägt fehl, wenn der Benutzer, der den Domänenbeitritt versucht, nicht über die entsprechenden Schreibberechtigungen verfügt. Wenn der Benutzer jedoch über ausreichende Berechtigungen verfügt, ist der Domänenbeitritt erfolgreich.
Es gibt zwei Szenarien für den Domänenbeitritt mit den entsprechenden Standardverhalten und -flags wie folgt:
-
Domänenbeitritt (NetJoinDomain)
-
Standardmäßig wird die Kontowiederverwendung verwendet (es sei denn , NETSETUP_NO_ACCT_REUSE Flag angegeben ist)
-
-
Kontobereitstellung (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Standardmäßig wird KEINE Wiederverwendung verwendet (es sei denn , NETSETUP_PROVISION_REUSE_ACCOUNT angegeben ist).)
-
Verhalten vom 11. Oktober 2022
Nachdem Sie die kumulativen Windows-Updates vom 11. Oktober 2022 oder höher auf einem Clientcomputer installiert haben, führt der Client während des Domänenbeitritts zusätzliche Sicherheitsüberprüfungen durch, bevor versucht wird, ein vorhandenes Computerkonto wiederzuverwenden. Algorithmus:
-
Der Wiederverwendungsversuch für Konten ist zulässig, wenn der Benutzer, der den Vorgang versucht, der Ersteller des vorhandenen Kontos ist.
-
Der Wiederverwendungsversuch für Konten ist zulässig, wenn das Konto von einem Mitglied von Domänenadministratoren erstellt wurde.
Diese zusätzlichen Sicherheitsüberprüfungen werden durchgeführt, bevor versucht wird, dem Computer beizutreten. Wenn die Überprüfungen erfolgreich sind, unterliegt der Rest des Joinvorgangs wie zuvor Active Directory-Berechtigungen.
Diese Änderung wirkt sich nicht auf neue Konten aus.
Hinweis Nach der Installation der kumulativen Windows-Updates vom 11. Oktober 2022 oder höher schlägt der Domänenbeitritt mit der Wiederverwendung von Computerkonten möglicherweise absichtlich mit dem folgenden Fehler fehl:
Fehler 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "In Active Directory ist ein Konto mit demselben Namen vorhanden. Die erneute Verwendung des Kontos wurde durch die Sicherheitsrichtlinie blockiert."
Wenn ja, wird das Konto absichtlich durch das neue Verhalten geschützt.
Die Ereignis-ID 4101 wird ausgelöst, sobald der obige Fehler auftritt, und das Problem wird in c:\windows\debug\netsetup.log protokolliert. Führen Sie die folgenden Schritte unter Ergreifen von Maßnahmen aus, um den Fehler zu verstehen und das Problem zu beheben.
Verhalten vom 14. März 2023
In den Windows-Updates, die am oder nach dem 14. März 2023 veröffentlicht wurden, haben wir einige Änderungen an der Sicherheitshärtung vorgenommen. Diese Änderungen umfassen alle Änderungen, die wir am 11. Oktober 2022 vorgenommen haben.
Zunächst haben wir den Bereich der Gruppen erweitert, die von dieser Härtung ausgenommen sind. Neben Domänenadministratoren sind jetzt auch Unternehmensadministratoren und integrierte Administratorengruppen von der Besitzprüfung ausgenommen.
Zweitens haben wir eine neue Gruppenrichtlinieneinstellung implementiert. Administratoren können damit eine Zulassungsliste von Besitzern vertrauenswürdiger Computerkonten angeben. Das Computerkonto umgeht die Sicherheitsüberprüfung, wenn eine der folgenden Aussagen zutrifft:
-
Das Konto gehört einem Benutzer, der in der Gruppenrichtlinie "Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen" als vertrauenswürdiger Besitzer angegeben ist.
-
Das Konto gehört einem Benutzer, der Mitglied einer Gruppe ist, die in der Gruppenrichtlinie "Domänencontroller: Wiederverwendung von Computerkonten während des Domänenbeitritts zulassen" als vertrauenswürdiger Besitzer angegeben ist.
Um diese neue Gruppenrichtlinie verwenden zu können, muss auf dem Domänencontroller und dem Mitgliedscomputer immer das Update vom 14. März 2023 oder höher installiert sein. Einige von Ihnen verfügen möglicherweise über bestimmte Konten, die Sie bei der automatisierten Computerkontoerstellung verwenden. Wenn diese Konten vor Missbrauch sicher sind und Sie ihnen vertrauen, Computerkonten zu erstellen, können Sie sie ausschließen. Sie sind weiterhin vor der ursprünglichen Sicherheitsanfälligkeit geschützt, die durch die Windows-Updates vom 11. Oktober 2022 behoben wurde.
Verhalten vom 12. September 2023
In den Windows-Updates, die am oder nach dem 12. September 2023 veröffentlicht wurden, haben wir einige zusätzliche Änderungen an der Sicherheitshärtung vorgenommen. Diese Änderungen umfassen alle Änderungen, die wir am 11. Oktober 2022 vorgenommen haben, sowie die Änderungen ab dem 14. März 2023.
Es wurde ein Problem behoben, bei dem der Domänenbeitritt mithilfe der Smartcard-Authentifizierung unabhängig von der Richtlinieneinstellung fehlgeschlagen ist. Um dieses Problem zu beheben, haben wir die verbleibenden Sicherheitsüberprüfungen wieder auf den Domänencontroller verschoben. Daher führen Clientcomputer nach dem Sicherheitsupdate vom September 2023 authentifizierte SAMRPC-Aufrufe an den Domänencontroller aus, um Sicherheitsüberprüfungen im Zusammenhang mit der Wiederverwendung von Computerkonten durchzuführen.
Dies kann jedoch dazu führen, dass der Domänenbeitritt in Umgebungen fehlschlägt, in denen die folgende Richtlinie festgelegt ist: Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM durchführen dürfen. Informationen zur Behebung dieses Problems finden Sie im Abschnitt "Bekannte Probleme".
Verhalten vom 13. August 2024
In den Windows-Updates, die am oder nach dem 13. August 2024 veröffentlicht wurden, wurden alle bekannten Kompatibilitätsprobleme mit der Richtlinie für die Zulassungsliste behoben. Außerdem wurde die Unterstützung für den Schlüssel NetJoinLegacyAccountReuse entfernt. Das Härtungsverhalten bleibt unabhängig von der Schlüsseleinstellung bestehen. Die geeigneten Methoden zum Hinzufügen von Ausnahmen sind unten im Abschnitt "Aktion ergreifen" aufgeführt.
Handeln Sie
Konfigurieren Sie die neue Richtlinie für Zulassungslisten mithilfe der Gruppenrichtlinie auf einem Domänencontroller, und entfernen Sie alle clientseitigen Legacyumgehungen. Gehen Sie dann wie folgt vor:
-
Sie müssen die Updates vom 12. September 2023 oder höher auf allen Mitgliedscomputern und Domänencontrollern installieren.
-
Konfigurieren Sie in einer neuen oder vorhandenen Gruppenrichtlinie, die für alle Domänencontroller gilt, die Einstellungen in den folgenden Schritten.
-
Doppelklicken Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen auf Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen.
-
Wählen Sie Diese Richtlinieneinstellung definieren und <Sicherheit bearbeiten...>aus.
-
Verwenden Sie die Objektauswahl, um Benutzer oder Gruppen von Erstellern und Besitzern vertrauenswürdiger Computerkonten zur Berechtigung Zulassen hinzuzufügen. (Als bewährte Methode wird dringend empfohlen, Gruppen für Berechtigungen zu verwenden.) Fügen Sie nicht das Benutzerkonto hinzu, das den Domänenbeitritt durchführt.
Warnung: Beschränken Sie die Mitgliedschaft auf die Richtlinie auf vertrauenswürdige Benutzer und Dienstkonten. Fügen Sie dieser Richtlinie keine authentifizierten Benutzer, alle benutzer oder andere große Gruppen hinzu. Fügen Sie stattdessen bestimmte vertrauenswürdige Benutzer und Dienstkonten zu Gruppen hinzu, und fügen Sie diese Gruppen der Richtlinie hinzu.
-
Warten Sie auf das Aktualisierungsintervall der Gruppenrichtlinie, oder führen Sie gpupdate /force auf allen Domänencontrollern aus.
-
Vergewissern Sie sich, dass der Registrierungsschlüssel HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" mit der gewünschten SDDL aufgefüllt ist. Bearbeiten Sie die Registrierung nicht manuell.
-
Versuchen Sie, einen Computer zu verbinden, auf dem die Updates vom 12. September 2023 oder höher installiert sind. Stellen Sie sicher, dass eines der in der Richtlinie aufgeführten Konten das Computerkonto besitzt. Wenn der Domänenbeitritt fehlschlägt, überprüfen Sie die \netsetup.log c:\windows\debug.
Wenn Sie weiterhin eine alternative Problemumgehung benötigen, überprüfen Sie die Workflows zur Bereitstellung von Computerkonten, und ermitteln Sie, ob Änderungen erforderlich sind.
-
Führen Sie den Joinvorgang mit demselben Konto aus, das das Computerkonto in der Zieldomäne erstellt hat.
-
Wenn das vorhandene Konto veraltet (nicht verwendet) ist, löschen Sie es, bevor Sie versuchen, der Domäne erneut beizutreten.
-
Benennen Sie den Computer um, und schließen Sie sich mit einem anderen Konto an, das noch nicht vorhanden ist.
-
Wenn sich das vorhandene Konto im Besitz eines vertrauenswürdigen Sicherheitsprinzipals befindet und ein Administrator das Konto wiederverwenden möchte, befolgen Sie die Anweisungen im Abschnitt Aktion ergreifen, um die Windows-Updates vom September 2023 oder höher zu installieren und eine Zulassungsliste zu konfigurieren.
Nicht-Lösungen
-
Fügen Sie der Sicherheitsgruppe Domänenadministratoren keine Dienstkonten oder Bereitstellungskonten hinzu.
-
Bearbeiten Sie die Sicherheitsbeschreibung für Computerkonten nicht manuell, um den Besitz solcher Konten neu zu definieren, es sei denn, das vorherige Besitzerkonto wurde gelöscht. Während die Bearbeitung des Besitzers ermöglicht, dass die neuen Überprüfungen erfolgreich sind, behält das Computerkonto möglicherweise die gleichen potenziell riskanten und unerwünschten Berechtigungen für den ursprünglichen Besitzer bei, es sei denn, es wurde explizit überprüft und entfernt.
Neue Ereignisprotokolle
Ereignisprotokoll |
SYSTEM |
Ereignisquelle |
Netjoin |
Ereigniskennung |
4100 |
Ereignistyp |
Information |
Ereignistext |
"Während des Domänenbeitritts hat der kontaktierte Domänencontroller ein vorhandenes Computerkonto in Active Directory mit demselben Namen gefunden. Es wurde versucht, dieses Konto erneut zu verwenden. Domänencontroller durchsucht: <Domänencontrollername>Vorhandenes Computerkonto DN: <DN-Pfad des Computerkontos>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145. |
Ereignisprotokoll |
SYSTEM |
Ereignisquelle |
Netjoin |
Ereigniskennung |
4101 |
Ereignistyp |
Fehler |
Ereignistext |
Während des Domänenbeitritts hat der kontaktierte Domänencontroller ein vorhandenes Computerkonto in Active Directory mit demselben Namen gefunden. Ein Versuch, dieses Konto erneut zu verwenden, wurde aus Sicherheitsgründen verhindert. Domänencontroller durchsucht: Vorhandenes Computerkonto DN: Der Fehlercode wurde <Fehlercode>. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145. |
Die Debugprotokollierung ist standardmäßig im C:\Windows\Debug-\netsetup.log auf allen Clientcomputern verfügbar (es ist keine ausführliche Protokollierung erforderlich).
Beispiel für die Debugprotokollierung, die generiert wird, wenn die Wiederverwendung des Kontos aus Sicherheitsgründen verhindert wird:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Neue Ereignisse im März 2023 hinzugefügt
Dieses Update fügt vier (4) neue Ereignisse im SYSTEM-Protokoll auf dem Domänencontroller wie folgt hinzu:
Ereignisebene |
Information |
Ereignis-ID |
16995 |
Protokoll |
SYSTEM |
Ereignisquelle |
Directory-Services-SAM |
Ereignistext |
Der Sicherheitskonto-Manager verwendet den angegebenen Sicherheitsdeskriptor für die Überprüfung von Wiederverwendungsversuchen des Computerkontos während des Domänenbeitritts. SDDL-Wert: <SDDL-Zeichenfolge> Diese Zulassungsliste wird über eine Gruppenrichtlinie in Active Directory konfiguriert. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ereignisebene |
Fehler |
Ereignis-ID |
16996 |
Protokoll |
SYSTEM |
Ereignisquelle |
Directory-Services-SAM |
Ereignistext |
Der Sicherheitsdeskriptor, der die Wiederverwendungsliste des Computerkontos enthält, die verwendet wird, um zu überprüfen, ob der Domänenbeitritt von Clientanforderungen falsch formatiert ist. SDDL-Wert: <SDDL-Zeichenfolge> Diese Zulassungsliste wird über eine Gruppenrichtlinie in Active Directory konfiguriert. Um dieses Problem zu beheben, muss ein Administrator die Richtlinie aktualisieren, um diesen Wert auf einen gültigen Sicherheitsdeskriptor festzulegen oder ihn zu deaktivieren. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ereignisebene |
Fehler |
Ereignis-ID |
16997 |
Protokoll |
SYSTEM |
Ereignisquelle |
Directory-Services-SAM |
Ereignistext |
Der Sicherheitskonto-Manager hat ein Computerkonto gefunden, das verwaist zu sein scheint und nicht über einen vorhandenen Besitzer verfügt. Computerkonto: S-1-5-xxx Computerkontobesitzer: S-1-5-xxx Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ereignisebene |
Warnung |
Ereignis-ID |
16998 |
Protokoll |
SYSTEM |
Ereignisquelle |
Directory-Services-SAM |
Ereignistext |
Der Sicherheitskonto-Manager hat eine Clientanforderung zur Wiederverwendung eines Computerkontos während des Domänenbeitritts abgelehnt. Das Computerkonto und die Clientidentität haben die Sicherheitsüberprüfungen nicht erfüllt. Benutzerkonto: S-1-5-xxx Computerkonto: S-1-5-xxx Computerkontobesitzer: S-1-5-xxx Überprüfen Sie die Datensatzdaten dieses Ereignisses auf den NT-Fehlercode. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
Bei Bedarf kann der netsetup.log weitere Informationen bereitstellen.
Bekannte Probleme
Problem 1 |
Nach der Installation der Updates vom 12. September 2023 oder höher kann der Domänenbeitritt in Umgebungen, in denen die folgende Richtlinie festgelegt ist, fehlschlagen: Netzwerkzugriff – Einschränken von Clients, die Remoteaufrufe an SAM durchführen dürfen – Windows-Sicherheit | Microsoft Learn. Dies liegt daran, dass Clientcomputer jetzt authentifizierte SAMRPC-Aufrufe an den Domänencontroller senden, um Sicherheitsüberprüfungen im Zusammenhang mit der Wiederverwendung von Computerkonten durchzuführen. Dies wird erwartet. Um dieser Änderung Rechnung zu tragen, sollten Administratoren entweder die SAMRPC-Richtlinie des Domänencontrollers bei den Standardeinstellungen beibehalten oder die Benutzergruppe, die den Domänenbeitritt durchführt, explizit in die SDDL-Einstellungen einschließen, um ihnen die Berechtigung zu erteilen.Beispiel aus einem netsetup.log, bei dem dieses Problem aufgetreten ist:
|
Problem 2 |
Wenn das Konto des Computerbesitzers gelöscht wurde und versucht wird, das Computerkonto wiederzuverwenden, wird Ereignis 16997 im Systemereignisprotokoll protokolliert. In diesem Fall ist es in Ordnung, den Besitz einem anderen Konto oder einer anderen Gruppe erneut zuzuweisen. |
Problem 3 |
Wenn nur der Client über das Update vom 14. März 2023 oder höher verfügt, gibt die Active Directory-Richtlinienüberprüfung 0x32 STATUS_NOT_SUPPORTED zurück. Vorherige Überprüfungen, die in den November-Hotfixes implementiert wurden, gelten wie unten gezeigt:
|