Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

הערה: עודכן ב- 13/08/2024; ראה אופן הפעולה של 13 באוגוסט 2024

סיכום

עדכוני Windows שהופצו ב- 11 באוקטובר 2022 ולאחר מכן מכילים הגנות נוספות שהוצגו על-ידי CVE-2022-38042. הגנות אלה מונעות במכוון מפעולות צירוף תחום לעשות שימוש חוזר בחשבון מחשב קיים בתחום היעד, אלא אם:

  • המשתמש שינסה לבצע את הפעולה הוא היוצר של החשבון הקיים.

    ‏‏או

  • המחשב נוצר על-ידי חבר של מנהלי תחום.

    ‏‏או

  • הבעלים של חשבון המחשב שבו נעשה שימוש חוזר הוא חבר ב"בקר תחום: אפשר שימוש חוזר בחשבון מחשב במהלך הצטרפות לתחום". הגדרת מדיניות קבוצתית. הגדרה זו מחייבת התקנה של עדכוני Windows שהופצו ב- 14 במרץ 2023 או לאחר מכן, בכל המחשבים החברים ובבקרי התחום.

עדכונים שהופצו ב- 14 במרץ 2023 וב- 12 בספטמבר 2023, יספקו אפשרויות נוספות עבור לקוחות מושפעים ב- Windows Server 2012 R2 ואילך וכל הלקוחות הנתמכים. לקבלת מידע נוסף, עיין בסעיפים אופן הפעולה של 11 באוקטובר 2022ופעולה .

הערה מאמר זה הפנה בעבר למפתח רישום של NetJoinLegacyAccountReuse . החל מ- 13 באוגוסט 2024, מפתח רישום זה וההפניות שלו במאמר זה הוסרו. 

אופן פעולה לפני 11 באוקטובר 2022

לפני שתתקין את העדכונים המצטברים של 11 באוקטובר, 2022 או מאוחר יותר, מחשב הלקוח ישאילתת Active Directory עבור חשבון קיים בעל שם זהה. שאילתה זו מתרחשת במהלך הצטרפות לתחום והקצאת חשבון מחשב. אם קיים חשבון כזה, הלקוח ינסה לעשות בו שימוש חוזר באופן אוטומטי.

הערה הניסיון לעשות שימוש חוזר ייכשל אם למשתמש שינסה לבצע את פעולת ההצטרפות לתחום אין הרשאות כתיבה מתאימות. עם זאת, אם למשתמש יש מספיק הרשאות, ההצטרפות לתחום תצליח.

קיימים שני תרחישים עבור הצטרפות לתחום עם אופני פעולה ודגגלים המוגדרים כברירת מחדל באופן הבא:

אופן פעולה של 11 באוקטובר 2022 

לאחר התקנת העדכונים המצטברים של Windows ב- 11 באוקטובר 2022 או מאוחר יותר במחשב לקוח, במהלך הצטרפות לתחום, הלקוח יבצע בדיקות אבטחה נוספות לפני שתנסה לעשות שימוש חוזר בחשבון מחשב קיים. אלגוריתם:

  1. ניסיון שימוש חוזר בחשבון יורשה אם המשתמש שינסה לבצע את הפעולה הוא היוצר של החשבון הקיים.

  2. ניסיון שימוש חוזר בחשבון יורשה אם החשבון נוצר על-ידי חבר בקבוצת מנהלי תחום.

פעולות אלה של בדיקת אבטחה נוספות מתבצעות לפני שתנסה להצטרף למחשב. אם ההבדקות מצליחות, שאר פעולת הצירוף כפופה להרשאות Active Directory כפי שצוין קודם לכן.

שינוי זה אינו משפיע על חשבונות חדשים.

הערה לאחר התקנת העדכונים המצטברים של Windows ב- 11 באוקטובר 2022 או מאוחר יותר, הצטרפות לתחום עם חשבון מחשב עשויה להיכשל במכוון עם השגיאה הבאה:

שגיאה 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "חשבון בעל שם זהה קיים ב- Active Directory. שימוש מחדש בחשבון נחסם על-ידי מדיניות האבטחה."

אם כן, החשבון מוגן במכוון על-ידי אופן הפעולה החדש.

מזהה האירוע 4101 יופעל לאחר שהשגיאה לעיל תתרחש והבעיה תירשם ב- c:\windows\debug\netsetup.log. בצע את השלבים שלהלן בסעיף הפעולה כדי להבין את הכשל ולפתור את הבעיה.

אופן פעולה של 14 במרץ 2023

בעדכונים של Windows שהופצו ב- 14 במרץ 2023 או לאחר מכן, ביצענו כמה שינויים בהת הקשיחות של האבטחה. שינויים אלה כוללים את כל השינויים שביצענו ב- 11 באוקטובר 2022.

תחילה, הרחבנו את טווח הקבוצות הפטורות מההתרחבות. בנוסף למנהלי תחום, מנהלי ארגון וקבוצות מנהלי מערכת מוכללים פטורים כעת מבדיקת הבעלות.

שנית, יישמנו הגדרת מדיניות קבוצתית חדשה. מנהלי מערכת יכולים להשתמש בו כדי לציין רשימת אישורים של בעלי חשבונות מחשב מהימנים. חשבון המחשב יעקוף את בדיקת האבטחה אם מתקיים אחד מהתנאים הבאים:

  • החשבון נמצא בבעלות משתמש שצוין כבעלים מהימן במדיניות הקבוצתית "בקר תחום: אפשר שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום".

  • החשבון נמצא בבעלות משתמש שהוא חבר בקבוצה שצוינה כבעלים מהימן במדיניות הקבוצתית "בקר תחום: אפשר שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום".

כדי להשתמש במדיניות קבוצתית חדשה זו, בקר התחום והמחשב החבר חייבים להיות מותקנים באופן עקבי ב- 14 במרץ, 2023 או בעדכון מאוחר יותר. ייתכן של חלקכם יש חשבונות מסוימים שבהם אתה משתמש ביצירת חשבון מחשב אוטומטי. אם חשבונות אלה בטוחים מפני שימוש לרעה ואתה נותן בהם אמון ליצור חשבונות מחשב, באפשרותך לפטור אותם. עדיין תהיה מאובטח מפני הפגיעות המקורית שנ להפחית עד 11 באוקטובר 2022, עדכוני Windows.

אופן הפעולה של 12 בספטמבר 2023

בעדכוני Windows שהופצו ב- 12 בספטמבר 2023 או לאחר מכן, ביצענו כמה שינויים נוספים בחומרת האבטחה. שינויים אלה כוללים את כל השינויים שביצענו ב- 11 באוקטובר 2022 ואת השינויים החל מ- 14 במרץ 2023.

טופלה בעיה שבה הצטרפות לתחום באמצעות אימות כרטיס חכם נכשלה ללא קשר להגדרת המדיניות. כדי לפתור בעיה זו, העברנו את יתר בדיקת האבטחה בחזרה לבקר התחום. לכן, לאחר עדכון האבטחה של ספטמבר 2023, מחשבי לקוח מבצעים שיחות SAMRPC מאומתות לבקר התחום כדי לבצע בדיקות אימות אבטחה הקשורות לשימוש חוזר בחשבונות מחשב.

עם זאת, הדבר עלול לגרום להצטרפות לתחום להיכשל בסביבות שבהן מוגדרת המדיניות הבאה: גישה לרשת: הגבלת לקוחות המורשים לבצע שיחות מרוחקות ל- SAM.  עיין בסעיף 'בעיות ידועות' לקבלת מידע על האופן שבו ניתן לפתור בעיה זו.

אופן פעולה של 13 באוגוסט 2024

בעדכוני Windows שהופצו ב- 13 באוגוסט 2024 או לאחר מכן, תיקנו את כל בעיות התאימות הידועות במדיניות Allowlist. הסרנו גם את התמיכה עבור מפתח NetJoinLegacyAccountReuse . אופן הפעולה של ההקשדה יישאר ללא קשר להגדרת המפתח. השיטות המתאימות להוספת פטורים מפורטות בסעיף 'בצע פעולה' להלן. 

בצע פעולה

קבע את תצורת המדיניות החדשה של רשימת התרה באמצעות המדיניות הקבוצתית בבקר תחום והסר את כל הפתרונות בצד הלקוח מדור קודם. לאחר מכן, בצע את הפעולות הבאות:

  1. עליך להתקין את העדכונים של 12 בספטמבר 2023 או מאוחרים יותר בכל המחשבים החברים ובקרי התחום. 

  2. במדיניות קבוצתית חדשה או קיימת שחלה על כל בקרי התחום, קבע את תצורת ההגדרות בשלבים הבאים.

  3. תחת תצורת מחשב\מדיניות\הגדרות Windows\הגדרות אבטחה\פריטי מדיניות מקומיים\אפשרויות אבטחה, לחץ פעמיים על בקר תחום : אפשר שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום.

  4. בחר הגדר הגדרת מדיניות זו <ערוך אבטחה...>.

  5. השתמש ב'בורר האובייקטים' כדי להוסיף משתמשים או קבוצות של יוצרים ובעלים של חשבונות מחשב מהימנים להרשאות 'אפשר '. (כשם העבודה המומלצת, אנו ממליצים מאוד להשתמש בקבוצות לקבלת הרשאות.) אל תוסיף את חשבון המשתמש שמבצע את הצטרפות התחום.

    אזהרה: הגבל את החברות למדיניות למשתמשים מהימנים ולחשבונות שירות. אל תוסיף משתמשים מאומתים, כל אחד או קבוצות גדולות אחרות למדיניות זו. במקום זאת, הוסף לקבוצות משתמשים וחשבונות שירות מהימנים ספציפיים והוסף קבוצות אלה למדיניות.

  6. המתן למרווח הזמן לרענון המדיניות הקבוצתית או הפעל את gpupdate /force בכל בקרי התחום.

  7. ודא שמפתח הרישום HKLM\System\CCS\Control\SAM – מפתח הרישום "ComputerAccountReuseAllowList" מאוכלס ב- SDDL הרצוי. אל תערוך את הרישום באופן ידני.

  8. נסה להצטרף למחשב שבו מותקנים העדכונים של 12 בספטמבר 2023 ואילך. ודא כי אחד החשבונות המפורטים במדיניות הוא הבעלים של חשבון המחשב. אם הצטרפות התחום נכשלת, בדוק את כתובת c:\windows\debug\netsetup.log.

אם אתה עדיין זקוק לעקיפת הבעיה החלופית, סקור את זרימות העבודה להקצאת חשבונות מחשב ובדוק אם נדרשים שינויים. 

  1. בצע את פעולת ההצטרפות באמצעות אותו חשבון שיצר את חשבון המחשב בתחום היעד.

  2. אם החשבון הקיים מיושמע (לא בשימוש), מחק אותו לפני שתנסה שוב להצטרף לתחום.

  3. שנה את שם המחשב והצטרף באמצעות חשבון אחר שאינו קיים כבר.

  4. אם החשבון הקיים נמצא בבעלות מנהל אבטחה מהימן ומנהל מערכת מעוניין לעשות שימוש חוזר בחשבון, בצע את ההנחיות בסעיף 'בצע פעולה' כדי להתקין את עדכוני Windows בספטמבר 2023 ואילך וקבע תצורה של רשימת התרה.

Nonsolutions

  • אל תוסיף חשבונות שירות או תקצה חשבונות לקבוצת האבטחה Domain Admins.

  • אל תערוך באופן ידני את מתאר האבטחה בחשבונות מחשב בניסיון להגדיר מחדש את הבעלות על חשבונות אלה, אלא אם חשבון הבעלים הקודם נמחק. על אף שעריכת הבעלים תאפשר לבדיקה החדשה להצליח, חשבון המחשב עשוי לשמור על אותן הרשאות שעלולות להיות מסתכן ולא רצויות עבור הבעלים המקורי, אלא אם כן נבדק והוסר במפורש.

יומני אירועים חדשים

יומן אירועים

מערכת  

מקור האירוע

תשובת תשובות

מזהה האירוע

4100

סוג אירוע

אינפורמטיבי

טקסט אירוע

"במהלך הצטרפות לתחום, בקר התחום פנה מצא חשבון מחשב קיים ב- Active Directory בשם זהה.

הותר ניסיון להשתמש מחדש בחשבון זה.

בקר תחום שבו חפשו: <שם בקר התחום>DN של חשבון מחשב קיים: <DN של חשבון>. ראה https://go.microsoft.com/fwlink/?linkid=2202145 לקבלת מידע נוסף.

יומן אירועים

מערכת

מקור האירוע

תשובת תשובות

מזהה האירוע

4101

סוג אירוע

שגיאה

טקסט אירוע

במהלך הצטרפות לתחום, בקר התחום פנה מצא חשבון מחשב קיים ב- Active Directory בשם זהה. הניסיון להשתמש מחדש בחשבון זה נמנע מסיבות אבטחה. בקר תחום שבו התבצע חיפוש: DN של חשבון מחשב קיים: קוד השגיאה <קוד>. ראה https://go.microsoft.com/fwlink/?linkid=2202145 לקבלת מידע נוסף.

רישום באגים זמין כברירת מחדל (אין צורך להפוך רישום מילולי לזמין) ב- C:\Windows\איתור באגים\netsetup.log כל מחשבי הלקוח.

דוגמה לרישום איתור באגים שנוצר כאשר השימוש מחדש בחשבון נמנע מסיבות אבטחה:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

אירועים חדשים שנוספו במרץ 2023 

עדכון זה מוסיף ארבעה (4) אירועים חדשים ביומן המערכת בבקר התחום באופן הבא:

רמת אירוע

אינפורמטיבי

מזהה אירוע

16995

יומן רישום

מערכת

מקור האירוע

Directory-Services-SAM

טקסט אירוע

מנהל חשבון האבטחה משתמש במת מתאר האבטחה שצוין לאימות ניסיונות שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום.

ערך SDDL: <מחרוזת SDDL>

רשימת התרות זו מוגדרת באמצעות מדיניות קבוצתית ב- Active Directory.

לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145.

רמת אירוע

שגיאה

מזהה אירוע

16996

יומן רישום

מערכת

מקור האירוע

Directory-Services-SAM

טקסט אירוע

מתאר האבטחה המכיל את רשימת התראות לשימוש מחדש בחשבון המחשב המשמש לאימות הצטרפות לתחום של בקשות לקוח פגום.

ערך SDDL: <מחרוזת SDDL>

רשימת התרות זו מוגדרת באמצעות מדיניות קבוצתית ב- Active Directory.

כדי לפתור בעיה זו, מנהל מערכת יצטרכו לעדכן את המדיניות כדי להגדיר ערך זה מתאר אבטחה חוקי או להפוך אותו ללא זמין.

לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145.

רמת אירוע

שגיאה

מזהה אירוע

16997

יומן רישום

מערכת

מקור האירוע

Directory-Services-SAM

טקסט אירוע

מנהל חשבון האבטחה מצא חשבון מחשב שרשום כי הוא מיותם, ללא בעלים קיים.

חשבון מחשב: S-1-5-xxx

בעלי חשבון מחשב: S-1-5-xxx

לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145.

רמת אירוע

שלט אזהרה

מזהה אירוע

16998

יומן רישום

מערכת

מקור האירוע

Directory-Services-SAM

טקסט אירוע

מנהל חשבון האבטחה דחה בקשת לקוח לשימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום.

חשבון המחשב וזהות הלקוח לא עומדים בבדיקת אימות האבטחה.

חשבון לקוח: S-1-5-xxx

חשבון מחשב: S-1-5-xxx

בעלי חשבון מחשב: S-1-5-xxx

בדוק את נתוני הרשומה של אירוע זה עבור קוד שגיאת NT.

לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145.

במידת הצורך, netsetup.log יכול לתת מידע נוסף.

בעיות ידועות

בעיה 1

לאחר התקנת העדכונים של 12 בספטמבר 2023 ואילך, הצטרפות לתחום עלולה להיכשל בסביבות שבהן מוגדרת המדיניות הבאה: גישה לרשת - הגבלת לקוחות המותרים לבצע שיחות מרוחקות ל- SAM - אבטחת Windows | Microsoft Learn. זאת משום שמחשבי לקוח מבצעים כעת שיחות SAMRPC מאומתות לבקר התחום כדי לבצע בדיקות אימות אבטחה הקשורות לשימוש חוזר בחשבונות מחשב.     פעולה זו צפויה. כדי להתאים לשינוי זה, מנהלי מערכת צריכים לשמור את מדיניות SAMRPC של בקר התחום בהגדרות ברירת המחדל או לכלול במפורש את קבוצת המשתמשים שמבצעת את הצטרפות התחום בהגדרות SDDL כדי להעניק להם הרשאה. 

דוגמה מקובץ netsetup.log שבו אירעה בעיה זו:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

בעיה 2

אם חשבון בעלי המחשב נמחק וניסיון לעשות שימוש חוזר בחשבון המחשב מתרחש, האירוע 16997 יירשם ביומן האירועים של המערכת. במקרה כזה, זה בסדר להקצות מחדש בעלות לחשבון או לקבוצה אחרים.

בעיה 3

אם רק ללקוח יש את העדכון מ- 14 במרץ 2023 ואילך, בדיקת המדיניות של Active Directory תחזיר 0x32 STATUS_NOT_SUPPORTED. ההבדקות הקודמות שהושמו בתיקונים חמים של נובמבר יחולו כפי שמוצג להלן:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.