Nota: Actualizado el 13/08/2024; ver comportamiento del 13 de agosto de 2024
Resumen
Las actualizaciones de Windows publicadas el 11 de octubre de 2022 y posteriores contienen protecciones adicionales introducidas por CVE-2022-38042. Estas protecciones impiden intencionadamente que las operaciones de unión a dominios vuelvan a utilizar una cuenta de equipo existente en el dominio de destino a menos que:
-
El usuario que intenta realizar la operación es el creador de la cuenta existente.
O bien
-
El equipo lo creó un miembro de los administradores de dominio.
O bien
-
El propietario de la cuenta de equipo que se está reutilizando es un miembro del "controlador de dominio: Permitir que la cuenta del equipo se vuelva a usar durante la unión a un dominio". Configuración de directiva de grupo. Esta configuración requiere la instalación de actualizaciones de Windows publicadas el 14 de marzo de 2023 o después en TODOS los equipos miembros y controladores de dominio.
Las actualizaciones publicadas entre el 14 de marzo de 2023 y el 12 de septiembre de 2023, proporcionarán opciones adicionales para los clientes afectados en Windows Server 2012 R2 y versiones posteriores y todos los clientes compatibles. Para obtener más información, vea las secciones Comportamiento del 11 de octubre de 2022 y Tomar medidas .
Nota En este artículo se hacía referencia anteriormente a una clave del Registro NetJoinLegacyAccountReuse . A partir del 13 de agosto de 2024, se quitaron esta clave del Registro y sus referencias en este artículo.
Comportamiento antes del 11 de octubre de 2022
Antes de instalar las actualizaciones acumulativas del 11 de octubre de 2022 o posteriores, el equipo cliente solicita a Active Directory una cuenta existente con el mismo nombre. Esta consulta se produce durante la unión a un dominio y el aprovisionamiento de cuentas de equipo. Si existe dicha cuenta, el cliente intentará volver a usarla automáticamente.
Nota: Se producirá un error en el intento de reutilización si el usuario que intenta la operación de unión al dominio no tiene los permisos de escritura adecuados. Sin embargo, si el usuario tiene permisos suficientes, la unión al dominio se realizará correctamente.
Hay dos escenarios para la unión a un dominio con respectivos comportamientos predeterminados y marcas como se indica a continuación:
-
Unión a dominio (NetJoinDomain)
-
Valores predeterminados para volver a usar la cuenta (a menos que se especifique NETSETUP_NO_ACCT_REUSE marca)
-
-
Aprovisionamiento de cuentas (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
El valor predeterminado es NO volver a usarlo (a menos que se especifique NETSETUP_PROVISION_REUSE_ACCOUNT ).
-
Comportamiento del 11 de octubre de 2022
Después de instalar las actualizaciones acumulativas del 11 de octubre de 2022 o posteriores de Windows en un equipo cliente, durante la unión a un dominio, el cliente realizará comprobaciones de seguridad adicionales antes de intentar volver a usar una cuenta de equipo existente. Algoritmo:
-
Se permitirá el intento de reutilización de la cuenta si el usuario que intenta realizar la operación es el creador de la cuenta existente.
-
Se permitirá el intento de reutilización de la cuenta si la cuenta fue creada por un miembro de administradores de dominio.
Estas comprobaciones de seguridad adicionales se realizan antes de intentar unirse al equipo. Si las comprobaciones se realizan correctamente, el resto de la operación de unión está sujeto a los permisos de Active Directory como antes.
Este cambio no afecta a las cuentas nuevas.
Nota Después de instalar el 11 de octubre de 2022 o las actualizaciones acumulativas de Windows posteriores, la unión a un dominio con la reutilización de la cuenta del equipo podría provocar un error intencionado con el siguiente error:
Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Existe una cuenta con el mismo nombre en Active Directory. Volver a usar la cuenta está bloqueado por la directiva de seguridad".
Si es así, la cuenta está protegida intencionadamente por el nuevo comportamiento.
El evento id. 4101 se activará una vez que se produzca el error anterior y el problema se registrará en c:\windows\debug\netsetup.log. Siga los pasos que se indican a continuación en Tomar medidas para comprender el error y resolver el problema.
Comportamiento del 14 de marzo de 2023
En las actualizaciones de Windows publicadas el 14 de marzo de 2023 o después, hemos realizado algunos cambios en el endurecimiento de la seguridad. Estos cambios incluyen todos los cambios que hicimos en el 11 de octubre de 2022.
En primer lugar, ampliamos el ámbito de los grupos que están exentos de este endurecimiento. Además de los administradores de dominio, los administradores de empresa y los grupos administradores integrados ahora están exentos de la comprobación de propiedad.
En segundo lugar, hemos implementado una nueva configuración de directiva de grupo. Los administradores pueden usarlo para especificar una lista de permitidos de propietarios de cuentas de equipo de confianza. La cuenta del equipo omitirá la comprobación de seguridad si se cumple alguna de las siguientes condiciones:
-
La cuenta es propiedad de un usuario especificado como propietario de confianza en la directiva de grupo "Controlador de dominio: Permitir que la cuenta del equipo se vuelva a usar durante la unión a un dominio".
-
La cuenta es propiedad de un usuario que es miembro de un grupo especificado como propietario de confianza en la directiva de grupo "Controlador de dominio: Permitir que la cuenta del equipo vuelva a usarse durante la unión a un dominio".
Para usar esta nueva directiva de grupo, el controlador de dominio y el equipo miembro deben tener siempre instalada la actualización del 14 de marzo de 2023 o posterior. Es posible que algunos de ustedes tengan cuentas particulares que usa en la creación automatizada de cuentas de equipo. Si estas cuentas están protegidas frente al abuso y confía en ellas para crear cuentas de equipo, puede excluirlas. Seguirás estando seguro frente a la vulnerabilidad original mitigada por las actualizaciones de Windows del 11 de octubre de 2022.
Comportamiento del 12 de septiembre de 2023
En las actualizaciones de Windows publicadas el 12 de septiembre de 2023 o después, hemos realizado algunos cambios adicionales en el endurecimiento de la seguridad. Estos cambios incluyen todos los cambios que hicimos en el 11 de octubre de 2022 y los cambios del 14 de marzo de 2023.
Se ha resuelto un problema por el que no se pudo realizar la unión a un dominio mediante la autenticación de tarjeta inteligente, independientemente de la configuración de la directiva. Para solucionar este problema, hemos movido las comprobaciones de seguridad restantes de nuevo al controlador de dominio. Por lo tanto, después de la actualización de seguridad de septiembre de 2023, los equipos cliente realizan llamadas SAMRPC autenticadas al controlador de dominio para realizar comprobaciones de validación de seguridad relacionadas con la reutilización de cuentas de equipo.
Sin embargo, esto puede provocar errores en la unión a un dominio en entornos donde se establece la siguiente directiva: Acceso de red: Restringir los clientes que pueden realizar llamadas remotas a SAM. Consulte la sección "Problemas conocidos" para obtener información sobre cómo resolver este problema.
Comportamiento del 13 de agosto de 2024
En las actualizaciones de Windows publicadas el 13 de agosto de 2024 o después, hemos solucionado todos los problemas de compatibilidad conocidos con la directiva de lista de permitidos. También hemos quitado la compatibilidad con la clave NetJoinLegacyAccountReuse . El comportamiento de endurecimiento persistirá independientemente de la configuración de la tecla. Los métodos adecuados para agregar exenciones se enumeran en la sección Tomar medida a continuación.
Tomar medidas
Configure la nueva directiva de lista de permitidos mediante la directiva de grupo en un controlador de dominio y quite las soluciones alternativas heredadas del lado cliente. A continuación, haz lo siguiente:
-
Debe instalar las actualizaciones del 12 de septiembre de 2023 o posteriores en todos los equipos miembros y controladores de dominio.
-
En una directiva de grupo nueva o existente que se aplique a todos los controladores de dominio, configure las opciones en los pasos siguientes.
-
En Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad, haz doble clic en Controlador de dominio: Permitir que la cuenta del equipo vuelva a usarse durante la unión al dominio.
-
Seleccione Definir esta configuración de directiva y <Editar seguridad...>.
-
Use el selector de objetos para agregar usuarios o grupos de creadores y propietarios de cuentas de equipo de confianza al permiso Permitir . (Como procedimiento recomendado, se recomienda encarecidamente usar grupos para permisos). No agregue la cuenta de usuario que realiza la unión al dominio.
Advertencia: Limite la pertenencia a la directiva a usuarios de confianza y cuentas de servicio. No agregue usuarios autenticados, a todos los usuarios ni a otros grupos grandes a esta directiva. En su lugar, agregue usuarios de confianza específicos y cuentas de servicio a grupos y agregue esos grupos a la directiva.
-
Espere el intervalo de actualización de la directiva de grupo o ejecute gpupdate /force en todos los controladores de dominio.
-
Comprueba que la clave del Registro HKLM\System\CCS\Control\SAM: "ComputerAccountReuseAllowList" se rellena con el SDDL deseado. No edite manualmente el Registro.
-
Intente unirse a un equipo que tenga instaladas las actualizaciones del 12 de septiembre de 2023 o posteriores. Asegúrese de que una de las cuentas enumeradas en la directiva es la propietaria de la cuenta de equipo. Si se produce un error en la unión al dominio, compruebe la \netsetup.log c:\windows\debug.
Si aún necesita una solución alternativa, revise los flujos de trabajo de aprovisionamiento de cuentas de equipo y comprenda si se necesitan cambios.
-
Realice la operación de combinación con la misma cuenta que creó la cuenta de equipo en el dominio de destino.
-
Si la cuenta existente está obsoleta (sin usar), elimínela antes de intentar unirse de nuevo al dominio.
-
Cambie el nombre del equipo y únase con una cuenta diferente que aún no existe.
-
Si la cuenta existente es propiedad de una entidad de seguridad de confianza y un administrador quiere volver a usar la cuenta, siga las instrucciones de la sección Tomar medidas para instalar las actualizaciones de Windows de septiembre de 2023 o posteriores y configurar una lista de permitidos.
No disolución
-
No agregue cuentas de servicio ni cuentas de aprovisionamiento al grupo de seguridad Administradores de dominio.
-
No edite manualmente el descriptor de seguridad de las cuentas de equipo para volver a definir la propiedad de dichas cuentas, a menos que se haya eliminado la cuenta de propietario anterior. Al editar el propietario, se habilitarán las nuevas comprobaciones para que se realicen correctamente, es posible que la cuenta del equipo conserve los mismos permisos potencialmente arriesgados y no deseados para el propietario original a menos que se revisen y quiten explícitamente.
Registros de eventos nuevos
Registro de eventos |
SISTEMA |
Origen del evento |
Netjoin |
Id. del evento |
4100 |
Tipos de eventos |
Informativo |
Texto del evento |
"Durante la unión a un dominio, el controlador de dominio contactado encontró una cuenta de equipo existente en Active Directory con el mismo nombre. Se permitió un intento de volver a usar esta cuenta. Controlador de dominio buscado: <nombre de controlador de dominio>DN cuenta de equipo existente: <ruta de acceso DN de> de cuenta de equipo. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obtener más información. |
Registro de eventos |
SYSTEM |
Origen del evento |
Netjoin |
Id. del evento |
4101 |
Tipos de eventos |
Error |
Texto del evento |
Durante la unión a un dominio, el controlador de dominio contactado encontró una cuenta de equipo existente en Active Directory con el mismo nombre. Se ha impedido un intento de volver a usar esta cuenta por motivos de seguridad. Controlador de dominio buscado: DN de cuenta de equipo existente: el código de error se <código de error>. Consulte https://go.microsoft.com/fwlink/?linkid=2202145 para obtener más información. |
El registro de depuración está disponible de forma predeterminada (no es necesario habilitar ningún registro detallado) en C:\Windows\Debug\netsetup.log en todos los equipos cliente.
Ejemplo del registro de depuración generado cuando se impide la reutilización de la cuenta por razones de seguridad:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nuevos eventos agregados en marzo de 2023
Esta actualización agrega cuatro (4) eventos nuevos en el registro system en el controlador de dominio como sigue:
Nivel de evento |
Informativo |
Id. de evento |
16995 |
Log |
SYSTEM |
Origen del evento |
Servicios de directorio-SAM |
Texto del evento |
El administrador de cuentas de seguridad usa el descriptor de seguridad especificado para la validación de intentos de reutilización de la cuenta del equipo durante la unión a un dominio. Valor SDDL: <> de cadena SDDL Esta lista de permitidos se configura a través de la directiva de grupo en Active Directory. Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145. |
Nivel de evento |
Error |
Id. de evento |
16996 |
Log |
SYSTEM |
Origen del evento |
Servicios de directorio-SAM |
Texto del evento |
El descriptor de seguridad que contiene la lista de permitidos de la cuenta de equipo que se usa para validar la unión a un dominio de solicitudes de cliente tiene un formato incorrecto. Valor SDDL: <> de cadena SDDL Esta lista de permitidos se configura a través de la directiva de grupo en Active Directory. Para corregir este problema, un administrador deberá actualizar la directiva para establecer este valor en un descriptor de seguridad válido o deshabilitarlo. Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145. |
Nivel de evento |
Error |
Id. de evento |
16997 |
Log |
SYSTEM |
Origen del evento |
Servicios de directorio-SAM |
Texto del evento |
El administrador de cuentas de seguridad encontró una cuenta de equipo que parece huérfana y no tiene un propietario existente. Cuenta de equipo: S-1-5-xxx Propietario de la cuenta de equipo: S-1-5-xxx Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145. |
Nivel de evento |
Advertencia |
Id. de evento |
16998 |
Log |
SYSTEM |
Origen del evento |
Servicios de directorio-SAM |
Texto del evento |
El administrador de cuentas de seguridad rechazó una solicitud de cliente para volver a usar una cuenta de equipo durante la unión a un dominio. La cuenta del equipo y la identidad del cliente no cumplían las comprobaciones de validación de seguridad. Cuenta de cliente: S-1-5-xxx Cuenta de equipo: S-1-5-xxx Propietario de la cuenta de equipo: S-1-5-xxx Compruebe los datos del registro de este evento para el código de error NT. Para obtener más información, consulta http://go.microsoft.com/fwlink/?LinkId=2202145. |
Si es necesario, el netsetup.log puede proporcionar más información.
Problemas conocidos
Problema 1 |
Después de instalar las actualizaciones del 12 de septiembre de 2023 o posteriores, es posible que se produzca un error en la unión a un dominio en entornos donde se establezca la siguiente directiva: Acceso a la red: restringir los clientes que pueden realizar llamadas remotas a SAM - Seguridad de Windows | Microsoft Learn. Esto se debe a que los equipos cliente ahora realizan llamadas SAMRPC autenticadas al controlador de dominio para realizar comprobaciones de validación de seguridad relacionadas con la reutilización de cuentas de equipo. Esto es lo esperado. Para dar cabida a este cambio, los administradores deben mantener la directiva SAMRPC del controlador de dominio en la configuración predeterminada O incluir explícitamente el grupo de usuarios que realiza la unión al dominio en la configuración de SDDL para concederles permiso.Ejemplo de una netsetup.log en la que se produjo este problema:
|
Problema 2 |
Si se ha eliminado la cuenta del propietario del equipo y se intenta volver a usar la cuenta del equipo, se registrará el evento 16997 en el registro de eventos del sistema. Si esto ocurre, es correcto volver a asignar la propiedad a otra cuenta o grupo. |
Problema 3 |
Si solo el cliente tiene la actualización del 14 de marzo de 2023 o posterior, la comprobación de la directiva de Active Directory devolverá 0x32 STATUS_NOT_SUPPORTED. Las comprobaciones anteriores que se implementaron en las revisiones de noviembre se aplicarán como se muestra a continuación:
|