Megjegyzés: Frissítve: 2024. 08. 13.; lásd: 2024. augusztus 13., viselkedés
Összefoglalás
A 2022. október 11-én és azt követően kiadott Windows-frissítések a CVE-2022-38042 által bevezetett további védelmet tartalmaznak. Ezek a védelmi műveletek szándékosan megakadályozzák, hogy a tartományhoz való csatlakozáskor a rendszer újrahasználjon egy meglévő számítógépfiókot a céltartományban, kivéve, ha:
-
A műveletet megkísérelő felhasználó a meglévő fiók létrehozója.
Vagy
-
A számítógépet a tartományi rendszergazdák egyik tagja hozta létre.
Vagy
-
Az újrahasznált számítógépfiók tulajdonosa a "Tartományvezérlő: A számítógépfiók újbóli használatának engedélyezése tartományhoz való csatlakozáskor" tagja. Csoportházirend-beállítás. Ehhez a beállításhoz telepíteni kell a 2023. március 14-én vagy azt követően kiadott Windows-frissítéseket minden tagszámítógépen és tartományvezérlőn.
A 2023. március 14-én és 2023. szeptember 12-én kiadott frissítések további lehetőségeket biztosítanak az érintett ügyfelek számára a Windows Server 2012 R2 és újabb verziókon, valamint az összes támogatott ügyfélen. További információt a 2022. október 11-i viselkedés és a Művelet végrehajtása című szakaszokban talál.
Jegyzet Ez a cikk korábban egy NetJoinLegacyAccountReuse beállításkulcsra hivatkozott. 2024. augusztus 13-ától ez a beállításkulcs és a cikkben szereplő hivatkozások el lettek távolítva.
Viselkedés 2022. október 11. előtt
A 2022. október 11-i vagy újabb összegző frissítések telepítése előtt az ügyfélszámítógép lekérdezi az Active Directoryt egy azonos nevű meglévő fiókról. Ez a lekérdezés a tartományhoz való csatlakozás és a számítógépfiók kiépítése során történik. Ha létezik ilyen fiók, az ügyfél automatikusan megpróbálja újra felhasználni.
Jegyzet Az újbóli próbálkozás sikertelen lesz, ha a tartományhoz való csatlakozást megkísérlő felhasználó nem rendelkezik a megfelelő írási engedélyekkel. Ha azonban a felhasználó rendelkezik elegendő engedéllyel, a tartományhoz való csatlakozás sikeres lesz.
A tartományhoz való csatlakozásnak két forgatókönyve van a megfelelő alapértelmezett viselkedéssel és jelzőkkel az alábbiak szerint:
-
Tartományhoz való csatlakozás (NetJoinDomain)
-
A fiók újrafelhasználásának alapértelmezett értéke (kivéve , ha NETSETUP_NO_ACCT_REUSE jelző van megadva)
-
-
Fiókkiépítés (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Alapértelmezés szerint NINCS újrafelhasználás (kivéve, ha NETSETUP_PROVISION_REUSE_ACCOUNT van megadva).)
-
2022. október 11-i viselkedés
Miután telepítette a Windows 2022. október 11-i vagy újabb összegző frissítéseit egy ügyfélszámítógépre, a tartományhoz való csatlakozás során az ügyfél további biztonsági ellenőrzéseket végez, mielőtt megpróbálna újra felhasználni egy meglévő számítógépfiókot. Algoritmus:
-
A fiók újrafelhasználási kísérlete akkor engedélyezett, ha a műveletet megkísérlő felhasználó a meglévő fiók létrehozója.
-
A fiók újrafelhasználási kísérlete akkor engedélyezett, ha a fiókot a tartományi rendszergazdák egyik tagja hozta létre.
Ezek a további biztonsági ellenőrzések a számítógéphez való csatlakozás előtt végezhetők el. Ha az ellenőrzések sikeresek, az illesztési művelet többi része is Active Directory-engedélyekhez van kapcsolva, mint korábban.
Ez a módosítás nincs hatással az új fiókokra.
Megjegyzés A Windows 2022. október 11-i vagy újabb összegző frissítéseinek telepítése után a tartományhoz való csatlakozás a számítógépfiók újrafelhasználásával szándékosan meghiúsulhat a következő hibával:
Hiba 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Az Active Directoryban létezik egy azonos nevű fiók. A fiók újbóli használatát a biztonsági szabályzat letiltotta."
Ha igen, a fiókot szándékosan védi az új viselkedés.
A 4101-ös eseményazonosító akkor aktiválódik, ha a fenti hiba jelentkezik, és a probléma a c:\windows\debug\netsetup.log lesz naplózva. A hiba megértéséhez és a probléma megoldásához kövesse az alábbi lépéseket a Művelet végrehajtása szakaszban.
2023. március 14-i viselkedés
A 2023. március 14-én vagy azt követően kiadott Windows-frissítésekben módosítottuk a biztonsági korlátozást. Ezek a módosítások tartalmazzák a 2022. október 11-én végrehajtott összes módosítást.
Először kibontottuk azon csoportok körét, amelyek mentesülnek a korlátozás alól. A tartományi rendszergazdák mellett a vállalati rendszergazdák és a beépített rendszergazdák csoportjai is mentesülnek a tulajdonjog-ellenőrzés alól.
Másodszor, implementáltunk egy új csoportházirend-beállítást. A rendszergazdák a megbízható számítógépfiók-tulajdonosok engedélyezési listájának megadására használhatják. A számítógépfiók megkerüli a biztonsági ellenőrzést, ha az alábbiak egyike igaz:
-
A fiók tulajdonosa egy megbízható tulajdonosként megadott felhasználó a "Tartományvezérlő: Számítógépfiók újbóli használatának engedélyezése tartományhoz való csatlakozáskor" csoportházirendben.
-
A fiók tulajdonosa egy olyan felhasználó, aki tagja egy megbízható tulajdonosként megadott csoportnak a "Tartományvezérlő: Számítógépfiók újbóli használatának engedélyezése tartományhoz való csatlakozáskor" csoportházirendben.
Az új csoportházirend használatához a tartományvezérlőnek és a tagszámítógépnek folyamatosan telepítve kell lennie a 2023. március 14-i vagy újabb frissítésnek. Előfordulhat, hogy néhányuk rendelkezik olyan fiókkal, amelyet az automatikus számítógépfiók-létrehozás során használ. Ha ezek a fiókok biztonságban vannak a visszaélésektől, és megbízik bennük a számítógépfiókok létrehozásában, mentesítheti őket. Továbbra is biztonságban lesz a 2022. október 11-i Windows-frissítések által enyhített eredeti biztonsági rés ellen.
2023. szeptember 12-i viselkedés
A 2023. szeptember 12-én vagy azt követően kiadott Windows-frissítésekben további módosításokat végeztünk a biztonsági korlátozáson. Ezek a módosítások tartalmazzák a 2022. október 11-én végrehajtott összes módosítást, valamint a 2023. március 14-i módosításokat.
Kijavítottunk egy hibát, amely miatt a tartomány intelligens kártyás hitelesítéssel való csatlakoztatása a házirend-beállítástól függetlenül meghiúsult. A probléma megoldásához a fennmaradó biztonsági ellenőrzéseket visszahelyeztük a tartományvezérlőre. Ezért a 2023. szeptemberi biztonsági frissítés után az ügyfélszámítógépek hitelesített SAMRPC-hívásokat intéznek a tartományvezérlőhöz a számítógépfiókok újbóli használatával kapcsolatos biztonsági ellenőrzési ellenőrzések végrehajtásához.
Ez azonban azt eredményezheti, hogy a tartományhoz való csatlakozás meghiúsul azokban a környezetekben, ahol a következő házirend van beállítva: Hálózati hozzáférés: A SAM felé irányuló távoli hívásokra engedélyezett ügyfelek korlátozása. A probléma megoldásáról az "Ismert problémák" című szakaszban talál további információt.
2024. augusztus 13-i viselkedés
A 2024. augusztus 13-án vagy azt követően kiadott Windows-frissítésekben elhárítottuk az Allowlist szabályzattal kapcsolatos összes ismert kompatibilitási problémát. A NetJoinLegacyAccountReuse kulcs támogatását is eltávolítottuk. A megkeményedési viselkedés a kulcsbeállítástól függetlenül megmarad. A kivételek hozzáadásának megfelelő módszereit az alábbi Művelet végrehajtása szakaszban találja.
Művelet végrehajtása
Konfigurálja az új engedélyezési listára vonatkozó szabályzatot a csoportházirend használatával egy tartományvezérlőn, és távolítsa el az örökölt ügyféloldali kerülő megoldásokat. Ezután tegye a következőket:
-
Az összes tagszámítógépen és tartományvezérlőn telepítenie kell a 2023. szeptember 12-i vagy újabb frissítéseket.
-
Az összes tartományvezérlőre érvényes új vagy meglévő csoportházirendben konfigurálja a beállításokat az alábbi lépésekben.
-
A Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Helyi házirendek\Biztonsági beállítások területen kattintson duplán a Tartományvezérlő: Számítógépfiók újbóli használatának engedélyezése a tartományhoz való csatlakozás során elemre.
-
Válassza a Házirend-beállítás definiálása lehetőséget, és <a Biztonság szerkesztése... >lehetőséget.
-
Az objektumválasztóval hozzáadhatja a megbízható számítógépfiók-létrehozók és -tulajdonosok felhasználóit vagy csoportjait az Engedélyezés engedélyhez. (Ajánlott eljárásként kifejezetten javasoljuk, hogy használjon csoportokat az engedélyekhez.) Ne adja hozzá a tartományhoz való csatlakozást végző felhasználói fiókot.
Figyelmeztetés: Korlátozza a tagságot a szabályzatra a megbízható felhasználókra és a szolgáltatásfiókra. Ne adjon hozzá hitelesített felhasználókat, mindenkit vagy más nagy csoportot ehhez a szabályzathoz. Ehelyett adjon hozzá konkrét megbízható felhasználókat és szolgáltatásfiókokat a csoportokhoz, és vegye fel ezeket a csoportokat a szabályzatba.
-
Várja meg a csoportházirend frissítési időközét, vagy futtassa a gpupdate /force parancsot az összes tartományvezérlőn.
-
Ellenőrizze, hogy a HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" beállításkulcs ki van-e töltve a kívánt SDDL-vel. Ne szerkessze manuálisan a beállításjegyzéket.
-
Próbáljon meg csatlakozni egy olyan számítógéphez, amely a 2023. szeptember 12-i vagy újabb frissítéseket telepítette. Győződjön meg arról, hogy a házirendben felsorolt fiókok egyike a számítógépfiók tulajdonosa. Ha a tartományhoz való csatlakozás sikertelen, ellenőrizze a c:\windows\debug\netsetup.log.
Ha továbbra is alternatív áthidaló megoldásra van szüksége, tekintse át a számítógépfiókok létesítési munkafolyamatait, és ismerje meg, hogy szükség van-e módosításokra.
-
Hajtsa végre a csatlakoztatási műveletet ugyanazzal a fiókkal, amely a számítógépfiókot a céltartományban létrehozta.
-
Ha a meglévő fiók elavult (nem használt), törölje, mielőtt újra megpróbálna csatlakozni a tartományhoz.
-
Nevezze át a számítógépet, és csatlakozzon egy másik, még nem létező fiókkal.
-
Ha a meglévő fiók egy megbízható rendszerbiztonsági tag tulajdonában van, és egy rendszergazda újra fel szeretné használni a fiókot, kövesse a Művelet végrehajtása szakaszban található útmutatást a 2023. szeptemberi vagy újabb Windows-frissítések telepítéséhez és egy engedélyezési lista konfigurálásához.
Meg nem oldások
-
Ne adjon hozzá szolgáltatásfiókokat vagy létesítési fiókokat a Tartománygazdák biztonsági csoporthoz.
-
Ne szerkessze manuálisan a számítógépfiókok biztonsági leíróját az ilyen fiókok tulajdonjogának újradefiniálásához, kivéve, ha az előző tulajdonosi fiókot törölték. Miközben a tulajdonos szerkesztése lehetővé teszi az új ellenőrzések sikerességét, a számítógépfiók megtarthatja ugyanazokat a potenciálisan kockázatos, nemkívánatos engedélyeket az eredeti tulajdonos számára, kivéve, ha explicit módon felülvizsgálják és eltávolítják őket.
Új eseménynaplók
Eseménynapló |
RENDSZER |
Eseményforrás |
Netjoin |
Eseményazonosító |
4100 |
Esemény típusa |
Információs |
Esemény szövege |
"A tartományhoz való csatlakozás során a tartományvezérlő felvette a kapcsolatot egy meglévő számítógépfiókot az Active Directoryban ugyanazzal a névvel. A fiók újbóli használatára tett kísérlet engedélyezve volt. Keresett tartományvezérlő: <tartományvezérlő neve>Meglévő számítógépfiók DN:<számítógépfiók DN-elérési útja>. További információért lásd: https://go.microsoft.com/fwlink/?linkid=2202145. |
Eseménynapló |
RENDSZER |
Eseményforrás |
Netjoin |
Eseményazonosító |
4101 |
Esemény típusa |
Hiba |
Esemény szövege |
A tartományhoz való csatlakozás során a tartományvezérlő felvette a kapcsolatot egy meglévő számítógépfiókot az Active Directoryban ugyanazzal a névvel. Biztonsági okokból a rendszer megakadályozta a fiók újbóli használatára tett kísérletet. A tartományvezérlő a következőt kereste: Meglévő számítógépfiók DN-címe: A hibakód <hibakód>. További információért lásd: https://go.microsoft.com/fwlink/?linkid=2202145. |
A hibakeresési naplózás alapértelmezés szerint elérhető (nincs szükség részletes naplózás engedélyezésére) a C:\Windows\Debug\netsetup.log minden ügyfélszámítógépen.
Példa a hibakeresési naplózásra, amely akkor jön létre, amikor biztonsági okokból nem lehet újból felhasználni a fiókot:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Új események hozzáadva 2023 márciusában
Ez a frissítés négy (4) új eseményt ad hozzá a SYSTEM naplóhoz a tartományvezérlőn az alábbiak szerint:
Eseményszint |
Információs |
Eseményazonosító |
16995 |
Napló |
RENDSZER |
Eseményforrás |
Directory-Services-SAM |
Esemény szövege |
A biztonságifiók-kezelő a megadott biztonsági leírót használja a számítógépfiók tartományhoz való csatlakoztatása során történő újrahasználati kísérletek ellenőrzéséhez. SDDL-érték: SDDL-sztring> < Ez az engedélyezési lista csoportházirenddel van konfigurálva az Active Directoryban. További információ: http://go.microsoft.com/fwlink/?LinkId=2202145. |
Eseményszint |
Hiba |
Eseményazonosító |
16996 |
Napló |
RENDSZER |
Eseményforrás |
Directory-Services-SAM |
Esemény szövege |
Az ügyfélkérések tartományhoz való csatlakoztatásának ellenőrzéséhez használt számítógépfiók újrahasználati engedélyezési listáját tartalmazó biztonsági leíró helytelenül van formázva. SDDL-érték: SDDL-sztring> < Ez az engedélyezési lista csoportházirenddel van konfigurálva az Active Directoryban. A probléma megoldásához a rendszergazdának frissítenie kell a szabályzatot, hogy érvényes biztonsági leíróra állítsa be ezt az értéket, vagy tiltsa le. További információ: http://go.microsoft.com/fwlink/?LinkId=2202145. |
Eseményszint |
Hiba |
Eseményazonosító |
16997 |
Napló |
RENDSZER |
Eseményforrás |
Directory-Services-SAM |
Esemény szövege |
A biztonsági fiókkezelő olyan számítógépfiókot talált, amely árva, és nem rendelkezik meglévő tulajdonossal. Számítógépfiók: S-1-5-xxx Számítógépfiók tulajdonosa: S-1-5-xxx További információ: http://go.microsoft.com/fwlink/?LinkId=2202145. |
Eseményszint |
Figyelmeztetés |
Eseményazonosító |
16998 |
Napló |
RENDSZER |
Eseményforrás |
Directory-Services-SAM |
Esemény szövege |
A biztonságifiók-kezelő elutasította a számítógépfiók újbóli használatára vonatkozó ügyfélkérést a tartományhoz való csatlakozás során. A számítógépfiók és az ügyfélidentitás nem felelt meg a biztonsági ellenőrzési ellenőrzéseknek. Ügyfélfiók: S-1-5-xxx Számítógépfiók: S-1-5-xxx Számítógépfiók tulajdonosa: S-1-5-xxx Ellenőrizze az esemény rekordadatait az NT-hibakódhoz. További információ: http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ha szükséges, a netsetup.log további információkat adhat.
Ismert problémák
1. probléma |
A 2023. szeptember 12-i vagy újabb frissítések telepítése után előfordulhat, hogy a tartományhoz való csatlakozás meghiúsul azokban a környezetekben, ahol a következő házirend van beállítva: Hálózati hozzáférés – A SAM-hez távoli hívásra jogosult ügyfelek korlátozása – Windows biztonság | Microsoft Learn. Ennek az az oka, hogy az ügyfélszámítógépek mostantól hitelesített SAMRPC-hívásokat intéznek a tartományvezérlőhöz a számítógépfiókok újbóli használatával kapcsolatos biztonsági ellenőrzési ellenőrzések végrehajtásához. Ez várható. A módosítás végrehajtásához a rendszergazdáknak vagy meg kell tartaniuk a tartományvezérlő SAMRPC-házirendjét az alapértelmezett beállításoknál, vagy explicit módon bele kell foglalniuk a tartományhoz való csatlakozást végző felhasználói csoportot az SDDL-beállításokba, hogy engedélyt adjanak nekik.Példa a probléma előfordulásának netsetup.log:
|
2. probléma |
Ha a számítógép tulajdonosi fiókját törölték, és a számítógépfiók újbóli felhasználására tett kísérlet történik, a rendszer az 16997-s eseményt naplózza a rendszer eseménynaplójában. Ha ez történik, akkor nem baj, ha újra hozzárendeli a tulajdonjogot egy másik fiókhoz vagy csoporthoz. |
3. probléma |
Ha csak az ügyfél rendelkezik a 2023. március 14-i vagy újabb frissítésével, az Active Directory-szabályzat ellenőrzése 0x32 STATUS_NOT_SUPPORTED fog visszatérni. A novemberi gyorsjavításokban végrehajtott korábbi ellenőrzések az alábbiak szerint lesznek alkalmazva:
|