Nota: Aggiornato il 13/08/2024; vedi Comportamento del 13 agosto 2024
Riassunto
Gli aggiornamenti di Windows rilasciati dopo l'11 ottobre 2022 contengono protezioni aggiuntive introdotte da CVE-2022-38042. Queste protezioni impediscono intenzionalmente alle operazioni di aggiunta a un dominio di riutilizzare un account computer esistente nel dominio di destinazione a meno che:
-
L'utente che tenta l'operazione è l'autore dell'account esistente.
Oppure
-
Il computer è stato creato da un membro degli amministratori di dominio.
Oppure
-
Il proprietario dell'account computer che viene riutilizzato è un membro del "Controller di dominio: Consenti riutilizzare l'account computer durante l'aggiunta al dominio". Impostazione di Criteri di gruppo. Questa impostazione richiede l'installazione degli aggiornamenti di Windows rilasciati dopo il 14 marzo 2023 o successivamente in TUTTI i computer membri e i controller di dominio.
Gli aggiornamenti rilasciati dopo il 14 marzo 2023 e il 12 settembre 2023 successivi forniranno opzioni aggiuntive per i clienti interessati in Windows Server 2012 R2 e versioni successive e per tutti i client supportati. Per altre informazioni, vedi le sezioni Comportamento dell'11 ottobre 2022 e Azioni da intraprendere .
Nota Questo articolo fa riferimento in precedenza a una chiave del Registro di sistema NetJoinLegacyAccountReuse . A partire dal 13 agosto 2024, questa chiave del Registro di sistema e i relativi riferimenti in questo articolo sono stati rimossi.
Comportamento prima dell'11 ottobre 2022
Prima di installare gli aggiornamenti cumulativi dell'11 ottobre 2022 o successivi, il computer client esegue una query in Active Directory per cercare un account esistente con lo stesso nome. Questa query si verifica durante il provisioning dell'account del computer e dell'aggiunta a un dominio. Se esiste un account di questo tipo, il cliente tenterà automaticamente di riutilizzarlo.
Nota Il tentativo di riutilizzo avrà esito negativo se l'utente che tenta l'operazione di aggiunta al dominio non dispone delle autorizzazioni di scrittura appropriate. Tuttavia, se l'utente dispone di autorizzazioni sufficienti, l'aggiunta al dominio avrà esito positivo.
Esistono due scenari per l'aggiunta al dominio con i rispettivi comportamenti e flag predefiniti come indicato di seguito:
-
Aggiunta a un dominio (NetJoinDomain)
-
Impostazione predefinita per il riutilizzo dell'account (a meno che non sia specificato NETSETUP_NO_ACCT_REUSE contrassegno)
-
-
Provisioning dell'account (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
L'impostazione predefinita non viene riutilizzata, a meno che non sia specificato NETSETUP_PROVISION_REUSE_ACCOUNT .
-
Comportamento dell'11 ottobre 2022
Dopo aver installato gli aggiornamenti cumulativi di Windows dell'11 ottobre 2022 o successivi in un computer client, durante l'aggiunta al dominio, il client eseguirà ulteriori controlli di sicurezza prima di tentare di riutilizzare un account computer esistente. Algoritmo:
-
Il tentativo di riutilizzo dell'account sarà consentito se l'utente che tenta l'operazione è l'autore dell'account esistente.
-
Il tentativo di riutilizzo dell'account sarà consentito se l'account è stato creato da un membro degli amministratori di dominio.
Questi controlli di sicurezza aggiuntivi vengono eseguiti prima di tentare di partecipare al computer. Se i controlli hanno esito positivo, il resto dell'operazione di join è soggetto alle autorizzazioni di Active Directory come in precedenza.
Questa modifica non influisce sui nuovi account.
Nota Dopo l'installazione degli aggiornamenti cumulativi di Windows dell'11 ottobre 2022 o successivi, l'aggiunta al dominio con il riutilizzo dell'account del computer potrebbe intenzionalmente non riuscire con l'errore seguente:
Errore 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Esiste un account con lo stesso nome in Active Directory. Il riutilizzo dell'account è stato bloccato dai criteri di sicurezza".
In tal caso, l'account viene intenzionalmente protetto dal nuovo comportamento.
L'ID evento 4101 verrà attivato quando si verifica l'errore precedente e il problema verrà registrato in c:\windows\debug\netsetup.log. Seguire la procedura seguente in Intervenire per comprendere l'errore e risolvere il problema.Please follow the steps below in Take Action to understand the failure and resolve the issue.
Comportamento del 14 marzo 2023
Negli aggiornamenti di Windows rilasciati dopo il 14 marzo 2023 sono state apportate alcune modifiche alla protezione avanzata. Queste modifiche includono tutte le modifiche apportate a ottobre 11, 2022.
In primo luogo, abbiamo ampliato l'ambito dei gruppi che sono esenti da questa protezione avanzata. Oltre agli amministratori di dominio, gli amministratori enterprise e i gruppi di amministratori predefiniti sono ora esenti dal controllo di proprietà.
In secondo luogo, abbiamo implementato una nuova impostazione di Criteri di gruppo. Gli amministratori possono usarlo per specificare un elenco di account attendibili. L'account del computer ignora il controllo di sicurezza se si verifica una delle condizioni seguenti:
-
L'account è di proprietà di un utente specificato come proprietario attendibile nei Criteri di gruppo "Controller di dominio: consenti riutilizzo dell'account computer durante l'aggiunta al dominio".
-
L'account è di proprietà di un utente membro di un gruppo specificato come proprietario attendibile nei Criteri di gruppo "Controller di dominio: consenti il riutilizzo dell'account computer durante l'aggiunta al dominio".
Per usare questi nuovi Criteri di gruppo, il controller di dominio e il computer membro devono avere installato in modo coerente l'aggiornamento del 14 marzo 2023 o successivo. Alcuni di voi potrebbero avere account specifici che si usano per la creazione automatica di account computer. Se questi account sono al sicuro da abusi e li consideri attendibili per creare account di computer, è possibile esentarli. Sarai comunque protetto contro la vulnerabilità originale attenuata dagli aggiornamenti di Windows dell'11 ottobre 2022.
Comportamento del 12 settembre 2023
Negli aggiornamenti di Windows rilasciati dopo il 12 settembre 2023 sono state apportate alcune modifiche aggiuntive alla protezione avanzata. Queste modifiche includono tutte le modifiche apportate nell'11 ottobre 2022 e le modifiche del 14 marzo 2023.
È stato risolto un problema per cui l'aggiunta a un dominio con l'autenticazione tramite smart card non riesce indipendentemente dall'impostazione dei criteri. Per risolvere il problema, i controlli di sicurezza rimanenti sono stati spostati nuovamente nel controller di dominio. Pertanto, a seguito dell'aggiornamento della sicurezza di settembre 2023, i computer client effettuano chiamate SAMRPC autenticate al controller di dominio per eseguire controlli di convalida della sicurezza relativi al riutilizzo degli account computer.
Tuttavia, ciò potrebbe causare l'esito negativo dell'aggiunta a un dominio in ambienti in cui è impostato il criterio seguente: Accesso di rete: Limitare i client autorizzati a effettuare chiamate remote a SAM. Per informazioni su come risolvere il problema, vedere la sezione "Problemi noti".
Comportamento del 13 agosto 2024
Negli aggiornamenti di Windows rilasciati dopo il 13 agosto 2024 sono stati risolti tutti i problemi di compatibilità noti relativi ai criteri Allowlist. È stato rimosso anche il supporto per la chiave NetJoinLegacyAccountReuse . Il comportamento di protezione avanzata persisterà indipendentemente dall'impostazione della chiave. I metodi appropriati per l'aggiunta di eccezioni sono elencati nella sezione Azioni da intraprendere di seguito.
Agire
Configurare i nuovi criteri elenco consentiti usando Criteri di gruppo in un controller di dominio e rimuovere eventuali soluzioni alternative legacy lato client. Quindi, eseguire le operazioni seguenti:
-
È necessario installare gli aggiornamenti del 12 settembre 2023 o successivi in tutti i computer membri e i controller di dominio.
-
In un criterio di gruppo nuovo o esistente che si applica a tutti i controller di dominio, configurare le impostazioni nei passaggi seguenti.
-
In Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza fare doppio clic su Controller di dominio: Consentire il riutilizzo dell'account computer durante l'aggiunta al dominio.
-
Selezionare Definisci questa impostazione dei criteri e <Modifica sicurezza...>.
-
Usare selezione oggetti per aggiungere utenti o gruppi di autori di account di computer attendibili e proprietari all'autorizzazione Consenti . Come procedura consigliata, è consigliabile usare i gruppi per le autorizzazioni. Non aggiungere l'account utente che esegue l'aggiunta al dominio.
Avviso: Limitare l'appartenenza ai criteri agli utenti attendibili e agli account del servizio. Non aggiungere utenti autenticati, tutti o altri gruppi di grandi dimensioni a questo criterio. Aggiungere invece specifici utenti attendibili e account di servizio ai gruppi e aggiungerli al criterio.
-
Attendere l'intervallo di aggiornamento di Criteri di gruppo o eseguire gpupdate /force in tutti i controller di dominio.
-
Verifica che la chiave del Registro di sistema HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" sia popolata con il file SDDL desiderato. Non modificare manualmente il Registro di sistema.
-
Prova a partecipare a un computer in cui sono installati gli aggiornamenti del 12 settembre 2023 o successivi. Verificare che uno degli account elencati nel criterio sia il proprietario dell'account del computer. Se l'aggiunta a un dominio non riesce, controllare il \netsetup.log c:\windows\debug.
Se è ancora necessaria una soluzione alternativa, esaminare i flussi di lavoro di provisioning degli account del computer e verificare se sono necessarie modifiche.
-
Eseguire l'operazione di join usando lo stesso account che ha creato l'account computer nel dominio di destinazione.
-
Se l'account esistente non è aggiornato (inutilizzato), eliminarlo prima di tentare di aggiungersi di nuovo al dominio.
-
Rinomina il computer e partecipa con un account diverso che non esiste già.
-
Se l'account esistente è di proprietà di un'entità di sicurezza attendibile e un amministratore vuole riutilizzare l'account, seguire le indicazioni nella sezione Azioni da intraprendere per installare gli aggiornamenti di Windows di settembre 2023 o versioni successive e configurare un elenco di domini consentiti.
Nonsoluzioni
-
Non aggiungere account di servizio o account di provisioning al gruppo di sicurezza Domain Admins.
-
Non modificare manualmente il descrittore di sicurezza negli account computer nel tentativo di ridefinire la proprietà di tali account, a meno che l'account proprietario precedente non sia stato eliminato. Durante la modifica del proprietario, i nuovi controlli avranno esito positivo, l'account del computer potrebbe mantenere le stesse autorizzazioni potenzialmente rischiose e indesiderate per il proprietario originale, a meno che non siano state esaminate e rimosse esplicitamente.
Nuovi registri eventi
Registro eventi |
SISTEMA |
Origine evento |
Netjoin |
ID evento |
4100 |
Tipo di evento |
Informativo |
Testo evento |
"Durante l'aggiunta al dominio, il controller di dominio contattato ha trovato un account computer esistente in Active Directory con lo stesso nome. È stato consentito un tentativo di riutilirsi di questo account. Controller di dominio cercato: <nome del controller di dominio>DN account computer esistente: percorso DN <dell'account computer>. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2202145. |
Registro eventi |
SISTEMA |
Origine evento |
Netjoin |
ID evento |
4101 |
Tipo di evento |
Errore |
Testo evento |
Durante l'aggiunta al dominio, il controller contattato ha trovato un account computer esistente in Active Directory con lo stesso nome. Per motivi di sicurezza è stato impedito un tentativo di riutilizzo dell'account. Controller di dominio cercato: DN account computer esistente: il codice di errore è stato <codice di errore>. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2202145. |
La registrazione di debug è disponibile per impostazione predefinita (non è necessario abilitare alcuna registrazione dettagliata) in C:\Windows\Debug\netsetup.log in tutti i computer client.
Esempio di registrazione di debug generata quando viene impedito il riutilizzo dell'account per motivi di sicurezza:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nuovi eventi aggiunti a marzo 2023
Questo aggiornamento aggiunge quattro (4) nuovi eventi nel registro SYSTEM sul controller di dominio come segue:
Livello evento |
Informativo |
ID evento |
16995 |
Registro |
SISTEMA |
Origine evento |
Directory Services-SAM |
Testo evento |
Gestione account di sicurezza usa il descrittore di sicurezza specificato per la convalida dei tentativi di riutilizzo dell'account computer durante l'aggiunta a un dominio. Valore SDDL: <> stringa SDDL Questo elenco di indirizzi consentiti è configurato tramite Criteri di gruppo in Active Directory. Per ulteriori informazioni, vedi http://go.microsoft.com/fwlink/?LinkId=2202145. |
Livello evento |
Errore |
ID evento |
16996 |
Registro |
SISTEMA |
Origine evento |
Directory Services-SAM |
Testo evento |
Il descrittore di sicurezza che contiene l'elenco degli account di computer consentiti usato per convalidare le richieste client di aggiunta al dominio non è corretto. Valore SDDL: <> stringa SDDL Questo elenco di indirizzi consentiti è configurato tramite Criteri di gruppo in Active Directory. Per risolvere il problema, un amministratore dovrà aggiornare il criterio per impostare questo valore su un descrittore di sicurezza valido o disabilitarlo. Per ulteriori informazioni, vedi http://go.microsoft.com/fwlink/?LinkId=2202145. |
Livello evento |
Errore |
ID evento |
16997 |
Registro |
SISTEMA |
Origine evento |
Directory Services-SAM |
Testo evento |
Gestione account di sicurezza ha trovato un account computer che sembra orfano e non ha un proprietario esistente. Account computer: S-1-5-xxx Proprietario account computer: S-1-5-xxx Per ulteriori informazioni, vedi http://go.microsoft.com/fwlink/?LinkId=2202145. |
Livello evento |
Attenzione |
ID evento |
16998 |
Registro |
SISTEMA |
Origine evento |
Directory Services-SAM |
Testo evento |
L'account manager della sicurezza ha rifiutato una richiesta client di riutilirsi di un account computer durante l'aggiunta al dominio. L'account del computer e l'identità client non hanno soddisfatto i controlli di convalida della sicurezza. Account client: S-1-5-xxx Account computer: S-1-5-xxx Proprietario account computer: S-1-5-xxx Controllare i dati dei record di questo evento per il codice di errore NT. Per ulteriori informazioni, vedi http://go.microsoft.com/fwlink/?LinkId=2202145. |
Se necessario, il netsetup.log può fornire altre informazioni.
Problemi noti
Problema 1 |
Dopo l'installazione degli aggiornamenti del 12 settembre 2023 o successivi, l'aggiunta al dominio potrebbe non riuscire negli ambienti in cui sono impostati i criteri seguenti: Accesso alla rete - Limitare i client autorizzati a effettuare chiamate remote a SAM - Sicurezza di Windows | Microsoft Learn. Ciò è dovuto al fatto che i computer client effettuano chiamate SAMRPC autenticate al controller di dominio per eseguire i controlli di convalida della sicurezza relativi al riutilizzo degli account computer. Questo è previsto. Per accettare questa modifica, gli amministratori devono mantenere i criteri SAMRPC del controller di dominio alle impostazioni predefinite OPPURE includere in modo esplicito il gruppo di utenti che esegue l'aggiunta al dominio nelle impostazioni SDDL per concedere loro l'autorizzazione.Esempio da un netsetup.log in cui si è verificato questo problema:
|
Problema 2 |
Se l'account del proprietario del computer è stato eliminato e si verifica un tentativo di riutilizzo dell'account computer, l'evento 16997 verrà registrato nel registro eventi di sistema. In questo caso, è opportuno riasprirne la proprietà a un altro account o gruppo. |
Problema 3 |
Se solo il client ha l'aggiornamento del 14 marzo 2023 o successivo, il controllo dei criteri di Active Directory restituirà 0x32 STATUS_NOT_SUPPORTED. I controlli precedenti implementati negli aggiornamenti rapidi di novembre verranno applicati come illustrato di seguito:
|