Remarque : Mise à jour du 13/08/2024 ; voir comportement du 13 août 2024
Résumé
Les mises à jour Windows publiées à partir du 11 octobre 2022 contiennent des protections supplémentaires introduites par CVE-2022-38042. Ces protections empêchent intentionnellement les opérations de jointure de domaine de réutiliser un compte d’ordinateur existant dans le domaine cible, sauf si :
-
L’utilisateur qui tente l’opération est le créateur du compte existant.
Ou
-
L’ordinateur a été créé par un membre des administrateurs de domaine.
Ou
-
Le propriétaire du compte d’ordinateur réutilisé est membre du « Contrôleur de domaine : Autoriser la réutilisation du compte d’ordinateur lors de la jonction de domaine ». Paramètre de stratégie de groupe. Ce paramètre nécessite l’installation des mises à jour Windows publiées à partir du 14 mars 2023 sur TOUS les ordinateurs membres et contrôleurs de domaine.
Les mises à jour publiées entre le 14 mars 2023 et le 12 septembre 2023 fournissent des options supplémentaires pour les clients concernés sur Windows Server 2012 R2 et versions ultérieures et tous les clients pris en charge. Pour plus d’informations, consultez les sections Comportement du 11 octobre 2022 et Agir .
Note Cet article a précédemment fait référence à une clé de Registre NetJoinLegacyAccountReuse . Depuis le 13 août 2024, cette clé de Registre et ses références dans cet article ont été supprimées.
Comportement avant le 11 octobre 2022
Avant d’installer les mises à jour cumulatives du 11 octobre 2022 ou ultérieures, l’ordinateur client interroge Active Directory pour obtenir un compte existant portant le même nom. Cette requête se produit lors de la jonction de domaine et de l’approvisionnement de compte d’ordinateur. S’il existe un tel compte, le client tente automatiquement de le réutiliser.
RemarqueLa tentative de réutilisation échoue si l’utilisateur qui tente l’opération de jointure de domaine ne dispose pas des autorisations d’écriture appropriées. Toutefois, si l’utilisateur dispose d’autorisations suffisantes, la jonction de domaine réussit.
Il existe deux scénarios pour la jointure de domaine avec des comportements et des indicateurs par défaut respectifs comme suit :
-
Jonction de domaine (NetJoinDomain)
-
Réutilisation du compte par défaut (sauf si NETSETUP_NO_ACCT_REUSE indicateur est spécifié)
-
-
Provisionnement de compte (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
La valeur par défaut est AUCUNE réutilisation (sauf si NETSETUP_PROVISION_REUSE_ACCOUNT est spécifié.)
-
Comportement du 11 octobre 2022
Une fois que vous avez installé les mises à jour cumulatives Windows du 11 octobre 2022 ou ultérieures sur un ordinateur client, pendant la jonction de domaine, le client effectue des vérifications de sécurité supplémentaires avant de tenter de réutiliser un compte d’ordinateur existant. Algorithme:
-
La tentative de réutilisation du compte est autorisée si l’utilisateur qui tente l’opération est le créateur du compte existant.
-
La tentative de réutilisation du compte est autorisée si le compte a été créé par un membre des administrateurs de domaine.
Ces vérifications de sécurité supplémentaires sont effectuées avant de tenter de joindre l’ordinateur. Si les vérifications réussissent, le reste de l’opération de jointure est soumis aux autorisations Active Directory comme précédemment.
Cette modification n’affecte pas les nouveaux comptes.
Remarque Après avoir installé les mises à jour cumulatives Windows du 11 octobre 2022 ou ultérieures, la jonction de domaine avec la réutilisation du compte d’ordinateur peut échouer intentionnellement avec l’erreur suivante :
Erreur 0xaac (2732) : NERR_AccountReuseBlockedByPolicy : « Un compte portant le même nom existe dans Active Directory. La réutilisation du compte a été bloquée par la stratégie de sécurité. »
Si c’est le cas, le compte est intentionnellement protégé par le nouveau comportement.
L’ID d’événement 4101 est déclenché une fois que l’erreur ci-dessus se produit et que le problème est enregistré dans c :\windows\debug\netsetup.log. Suivez les étapes ci-dessous dans Prendre des mesures pour comprendre l’échec et résoudre le problème.
Comportement du 14 mars 2023
Dans les mises à jour Windows publiées le ou après le 14 mars 2023, nous avons apporté quelques modifications au renforcement de la sécurité. Ces modifications incluent toutes les modifications que nous avons apportées au 11 octobre 2022.
Tout d’abord, nous avons étendu la portée des groupes qui sont exemptés de ce renforcement. En plus des administrateurs de domaine, les groupes Administrateurs d’entreprise et Administrateurs intégrés sont désormais exemptés de la vérification de la propriété.
Deuxièmement, nous avons implémenté un nouveau paramètre de stratégie de groupe. Les administrateurs peuvent l’utiliser pour spécifier une liste verte de propriétaires de comptes d’ordinateur approuvés. Le compte d’ordinateur ignore la vérification de sécurité si l’une des conditions suivantes est vraie :
-
Le compte appartient à un utilisateur spécifié en tant que propriétaire approuvé dans la stratégie de groupe « Contrôleur de domaine : Autoriser la réutilisation du compte d’ordinateur lors de la jonction de domaine ».
-
Le compte appartient à un utilisateur membre d’un groupe spécifié en tant que propriétaire approuvé dans la stratégie de groupe « Contrôleur de domaine : Autoriser la réutilisation du compte d’ordinateur lors de la jonction de domaine ».
Pour utiliser cette nouvelle stratégie de groupe, le contrôleur de domaine et l’ordinateur membre doivent avoir systématiquement installé la mise à jour du 14 mars 2023 ou ultérieure. Certains d’entre vous peuvent avoir des comptes particuliers que vous utilisez dans la création automatisée de comptes d’ordinateur. Si ces comptes sont protégés contre les abus et que vous leur faites confiance pour créer des comptes d’ordinateur, vous pouvez les exempter. Vous serez toujours en sécurité contre la vulnérabilité d’origine atténuée par les mises à jour Windows du 11 octobre 2022.
Comportement du 12 septembre 2023
Dans les mises à jour Windows publiées le ou après le 12 septembre 2023, nous avons apporté quelques modifications supplémentaires au renforcement de la sécurité. Ces modifications incluent toutes les modifications que nous avons apportées au 11 octobre 2022 et celles du 14 mars 2023.
Nous avons résolu un problème où la jonction de domaine à l’aide de l’authentification par carte à puce a échoué, quel que soit le paramètre de stratégie. Pour résoudre ce problème, nous avons déplacé les vérifications de sécurité restantes vers le contrôleur de domaine. Par conséquent, à la suite de la mise à jour de sécurité de septembre 2023, les ordinateurs clients effectuent des appels SAMRPC authentifiés au contrôleur de domaine pour effectuer des vérifications de validation de sécurité liées à la réutilisation des comptes d’ordinateur.
Toutefois, cela peut entraîner l’échec de la jonction de domaine dans les environnements où la stratégie suivante est définie : Accès réseau : Restreindre les clients autorisés à effectuer des appels distants à SAM. Pour plus d’informations sur la résolution de ce problème, consultez la section « Problèmes connus ».
Comportement du 13 août 2024
Dans les mises à jour Windows publiées à compter du 13 août 2024, nous avons résolu tous les problèmes de compatibilité connus avec la stratégie de liste verte. Nous avons également supprimé la prise en charge de la clé NetJoinLegacyAccountReuse . Le comportement de renforcement est conservé quel que soit le paramètre de clé. Les méthodes appropriées pour ajouter des exemptions sont répertoriées dans la section Prendre des mesures ci-dessous.
Procédure à suivre
Configurez la nouvelle stratégie de liste verte à l’aide de la stratégie de groupe sur un contrôleur de domaine et supprimez toutes les solutions de contournement côté client héritées. Ensuite, procédez comme suit :
-
Vous devez installer les mises à jour du 12 septembre 2023 ou ultérieures sur tous les ordinateurs membres et contrôleurs de domaine.
-
Dans une stratégie de groupe nouvelle ou existante qui s’applique à tous les contrôleurs de domaine, configurez les paramètres dans les étapes ci-dessous.
-
Sous Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité, double-cliquez sur Contrôleur de domaine : Autoriser la réutilisation du compte d’ordinateur lors de la jonction de domaine.
-
Sélectionnez Définir ce paramètre de stratégie et <Modifier la sécurité...>.
-
Utilisez le sélecteur d’objets pour ajouter des utilisateurs ou des groupes de créateurs et de propriétaires de comptes d’ordinateur approuvés à l’autorisation Autoriser . (Comme meilleure pratique, nous vous recommandons vivement d’utiliser des groupes pour les autorisations.) N’ajoutez pas le compte d’utilisateur qui effectue la jonction de domaine.
Avertissement : Limitez l’appartenance à la stratégie aux utilisateurs approuvés et aux comptes de service. N’ajoutez pas d’utilisateurs authentifiés, de tout le monde ou d’autres grands groupes à cette stratégie. Au lieu de cela, ajoutez des utilisateurs approuvés et des comptes de service spécifiques à des groupes, puis ajoutez ces groupes à la stratégie.
-
Attendez l’intervalle d’actualisation de la stratégie de groupe ou exécutez gpupdate /force sur tous les contrôleurs de domaine.
-
Vérifiez que la clé de Registre HKLM\System\CCS\Control\SAM – « ComputerAccountReuseAllowList » est remplie avec le SDDL souhaité. Ne modifiez pas manuellement le Registre.
-
Essayez de joindre un ordinateur sur lequel les mises à jour du 12 septembre 2023 ou ultérieures sont installées. Vérifiez que l’un des comptes répertoriés dans la stratégie est propriétaire du compte d’ordinateur. Si la jointure de domaine échoue, vérifiez l'\netsetup.log c :\windows\debug.
Si vous avez toujours besoin d’une autre solution de contournement, passez en revue les flux de travail d’approvisionnement de compte d’ordinateur et déterminez si des modifications sont nécessaires.
-
Effectuez l’opération de jointure à l’aide du même compte que celui qui a créé le compte d’ordinateur dans le domaine cible.
-
Si le compte existant est obsolète (inutilisé), supprimez-le avant de réessayer de joindre le domaine.
-
Renommez l’ordinateur et joignez-vous à l’aide d’un autre compte qui n’existe pas déjà.
-
Si le compte existant appartient à un principal de sécurité approuvé et qu’un administrateur souhaite réutiliser le compte, suivez les instructions de la section Prendre des mesures pour installer les mises à jour Windows de septembre 2023 ou ultérieures et configurer une liste verte.
Non-solutions
-
N’ajoutez pas de comptes de service ou de comptes d’approvisionnement au groupe de sécurité Administrateurs du domaine.
-
Ne modifiez pas manuellement le descripteur de sécurité sur les comptes d’ordinateur dans le but de redéfinir la propriété de ces comptes, sauf si le compte de propriétaire précédent a été supprimé. Bien que la modification du propriétaire permette aux nouvelles vérifications de réussir, le compte d’ordinateur peut conserver les mêmes autorisations potentiellement risquées et indésirables pour le propriétaire d’origine, sauf si elle est explicitement examinée et supprimée.
Nouveaux journaux des événements
Journal des événements |
SYSTÈME |
Source de l’événement |
Netjoin |
ID d’événement |
4100 |
Type d’événement |
Information |
Texte de l’événement |
« Lors de la jonction de domaine, le contrôleur de domaine contacté a trouvé un compte d’ordinateur existant dans Active Directory portant le même nom. Une tentative de réutilisation de ce compte a été autorisée. Contrôleur de domaine recherché : <nom du contrôleur de domaine>Nom de domaine du compte d’ordinateur existant : <chemin DN du compte d’ordinateur>. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2202145. |
Journal des événements |
SYSTEM |
Source de l’événement |
Netjoin |
ID d’événement |
4101 |
Type d’événement |
Error |
Texte de l’événement |
Lors de la jonction de domaine, le contrôleur de domaine contacté a trouvé un compte d’ordinateur existant dans Active Directory portant le même nom. Une tentative de réutilisation de ce compte a été empêchée pour des raisons de sécurité. Contrôleur de domaine recherché : nom de domaine du compte d’ordinateur existant : le code d’erreur a été <code d’erreur>. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2202145. |
La journalisation du débogage est disponible par défaut (il n’est pas nécessaire d’activer une journalisation détaillée) dans C :\Windows\Debug\netsetup.log sur tous les ordinateurs clients.
Exemple de journalisation de débogage générée lorsque la réutilisation du compte est empêchée pour des raisons de sécurité :
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nouveaux événements ajoutés en mars 2023
Cette mise à jour ajoute quatre (4) nouveaux événements dans le journal SYSTEM sur le contrôleur de domaine comme suit :
Niveau d’événement |
Information |
ID d’événement |
16995 |
Journal |
SYSTEM |
Source de l’événement |
Directory-Services-SAM |
Texte de l’événement |
Le gestionnaire de compte de sécurité utilise le descripteur de sécurité spécifié pour la validation des tentatives de réutilisation de compte d’ordinateur lors de la jonction de domaine. Valeur SDDL : <chaîne SDDL> Cette liste verte est configurée par le biais d’une stratégie de groupe dans Active Directory. Pour plus d’informations, consultez http://go.microsoft.com/fwlink/?LinkId=2202145. |
Niveau d’événement |
Error |
ID d’événement |
16996 |
Journal |
SYSTEM |
Source de l’événement |
Directory-Services-SAM |
Texte de l’événement |
Le descripteur de sécurité qui contient la liste verte de réutilisation du compte d’ordinateur utilisée pour valider la jonction de domaine des demandes clientes est incorrect. Valeur SDDL : <chaîne SDDL> Cette liste verte est configurée par le biais d’une stratégie de groupe dans Active Directory. Pour corriger ce problème, un administrateur doit mettre à jour la stratégie pour définir cette valeur sur un descripteur de sécurité valide ou la désactiver. Pour plus d’informations, consultez http://go.microsoft.com/fwlink/?LinkId=2202145. |
Niveau d’événement |
Error |
ID d’événement |
16997 |
Journal |
SYSTEM |
Source de l’événement |
Directory-Services-SAM |
Texte de l’événement |
Le gestionnaire de compte de sécurité a trouvé un compte d’ordinateur qui semble orphelin et qui n’a pas de propriétaire existant. Compte d’ordinateur : S-1-5-xxx Propriétaire du compte d’ordinateur : S-1-5-xxx Pour plus d’informations, consultez http://go.microsoft.com/fwlink/?LinkId=2202145. |
Niveau d’événement |
Avertissement |
ID d’événement |
16998 |
Journal |
SYSTEM |
Source de l’événement |
Directory-Services-SAM |
Texte de l’événement |
Le gestionnaire de compte de sécurité a rejeté une demande cliente de réutilisation d’un compte d’ordinateur lors de la jonction de domaine. Le compte d’ordinateur et l’identité du client n’ont pas satisfait aux vérifications de validation de sécurité. Compte client : S-1-5-xxx Compte d’ordinateur : S-1-5-xxx Propriétaire du compte d’ordinateur : S-1-5-xxx Vérifiez les données d’enregistrement de cet événement pour le code d’erreur NT. Pour plus d’informations, consultez http://go.microsoft.com/fwlink/?LinkId=2202145. |
Si nécessaire, le netsetup.log peut fournir plus d’informations.
Problèmes connus
Problème 1 |
Après l’installation des mises à jour du 12 septembre 2023 ou ultérieures, la jonction de domaine peut échouer dans les environnements où la stratégie suivante est définie : Accès réseau - Restreindre les clients autorisés à effectuer des appels distants à SAM - Sécurité Windows | Microsoft Learn. Cela est dû au fait que les ordinateurs clients effectuent désormais des appels SAMRPC authentifiés au contrôleur de domaine pour effectuer des vérifications de validation de sécurité liées à la réutilisation des comptes d’ordinateur. C’est normal. Pour prendre en charge cette modification, les administrateurs doivent conserver la stratégie SAMRPC du contrôleur de domaine dans les paramètres par défaut ou inclure explicitement le groupe d’utilisateurs effectuant la jointure de domaine dans les paramètres SDDL pour leur accorder l’autorisation.Exemple d’un netsetup.log où ce problème s’est produit :
|
Problème 2 |
Si le compte du propriétaire de l’ordinateur a été supprimé et qu’une tentative de réutilisation du compte d’ordinateur se produit, l’événement 16997 est enregistré dans le journal des événements système. Si cela se produit, il est OK de réinscrire la propriété à un autre compte ou groupe. |
Problème 3 |
Si seul le client dispose de la mise à jour du 14 mars 2023 ou ultérieure, la vérification de la stratégie Active Directory retourne 0x32 STATUS_NOT_SUPPORTED. Les vérifications précédentes qui ont été implémentées dans les correctifs logiciels de novembre s’appliquent comme indiqué ci-dessous :
|