KB5020276 — Netjoin: изменения защиты присоединения к домену

Сводка

Обновления Windows, выпущенные 11 октября 2022 г. и позже, содержат дополнительные меры защиты, введенные CVE-2022-38042. Эти меры защиты намеренно запрещают операциям присоединения к домену повторно использовать существующую учетную запись компьютера в целевом домене, если только:

• Пользователь, пытающийся выполнить операцию, является создателем существующей учетной записи.

  Или

• Компьютер был создан членом администраторов домена.

  Или

• Владелец учетной записи компьютера, которая используется повторно, является членом "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену". Параметр групповой политики. Для этого параметра требуется установить обновления Windows, выпущенные 14 марта 2023 г. или позже, на всех компьютерах-членах и контроллерах домена.

Обновления, выпущенные с 14 марта 2023 г. и после 12 сентября 2023 г., предоставляют дополнительные возможности для затронутых клиентов в Windows Server 2012 R2 и более поздних версиях, а также для всех поддерживаемых клиентов. Дополнительные сведения см. в разделах Поведение от 11 октября 2022 г. и Принятие мер .

Заметка Эта статья ранее ссылалась на раздел реестра NetJoinLegacyAccountReuse . По состоянию на 13 августа 2024 г. этот раздел реестра и ссылки на него в этой статье были удалены. 

Поведение до 11 октября 2022 г.

Перед установкой накопительных обновлений от 11 октября 2022 г. или более поздних версий клиентский компьютер запрашивает у Active Directory существующую учетную запись с тем же именем. Этот запрос выполняется во время присоединения к домену и подготовки учетной записи компьютера. Если такая учетная запись существует, клиент автоматически попытается повторно использовать ее.

Заметка Попытка повторного использования завершится ошибкой, если пользователь, который пытается выполнить операцию присоединения к домену, не имеет соответствующих разрешений на запись. Однако если у пользователя достаточно разрешений, присоединение к домену будет выполнено успешно.

Существует два сценария присоединения к домену с соответствующим поведением по умолчанию и флагами следующим образом:

• Присоединение к домену (NetJoinDomain)

  • По умолчанию используется повторное использование учетной записи (если не указан флаг NETSETUP_NO_ACCT_REUSE )

• Подготовка учетных записей (NetProvisionComputerAccountNetCreateProvisioningPackage).

  • По умолчанию используется значение NO reuse (если не указано NETSETUP_PROVISION_REUSE_ACCOUNT ).

Поведение от 11 октября 2022 г. 

После установки накопительных обновлений Windows от 11 октября 2022 г. или более поздних версий на клиентском компьютере во время присоединения к домену клиент выполнит дополнительные проверки безопасности, прежде чем пытаться повторно использовать существующую учетную запись компьютера. Алгоритм:

1. Попытка повторного использования учетной записи будет разрешена, если пользователь, пытающийся выполнить операцию, является создателем существующей учетной записи.

2. Попытка повторного использования учетной записи будет разрешена, если учетная запись была создана членом администраторов домена.

Эти дополнительные проверки безопасности выполняются перед попыткой присоединиться к компьютеру. Если проверка прошла успешно, остальная часть операции присоединения зависит от разрешений Active Directory, как и раньше.

Это изменение не влияет на новые учетные записи.

Примечание После установки накопительных обновлений Windows от 11 октября 2022 г. или более поздней версии присоединение к домену с использованием учетной записи компьютера может намеренно завершиться ошибкой со следующей ошибкой:

Ошибка 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Учетная запись с таким же именем существует в Active Directory. Повторное использование учетной записи было заблокировано политикой безопасности".

Если это так, учетная запись намеренно защищена новым поведением.

Событие с идентификатором 4101 активируется после возникновения приведенной выше ошибки, и проблема будет зарегистрирована в c:\windows\debug\netsetup.log. Чтобы понять сбой и устранить проблему, выполните приведенные ниже действия.

Поведение от 14 марта 2023 г.

В обновлениях Windows, выпущенных 14 марта 2023 г. или позже, мы внесли несколько изменений в усиление безопасности. Эти изменения включают все изменения, внесенные 11 октября 2022 г.

Во-первых, мы расширили область действия групп, которые исключены из этой защиты. Помимо администраторов домена, администраторы предприятия и группы встроенных администраторов теперь освобождаются от проверки владения.

Во-вторых, мы реализовали новый параметр групповой политики. Администраторы могут использовать его для указания списка разрешенных владельцев доверенных учетных записей компьютеров. Учетная запись компьютера обойдет проверку безопасности, если выполняется одно из следующих действий:

• Учетная запись принадлежит пользователю, указанному в качестве доверенного владельца в групповой политике "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену".

• Учетная запись принадлежит пользователю, который является членом группы, указанной в качестве доверенного владельца в групповой политике "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену".

Чтобы использовать эту новую групповую политику, контроллер домена и компьютер-член должны последовательно установить обновление от 14 марта 2023 г. или более поздней версии. Некоторые из вас могут иметь определенные учетные записи, которые используются при автоматическом создании учетной записи компьютера. Если эти учетные записи защищены от злоупотреблений и вы доверяете им создание учетных записей компьютеров, их можно исключить. Вы по-прежнему будете защищены от исходной уязвимости, устраненной обновлениями Windows от 11 октября 2022 г.

^{Поведение от 12 сентября 2023 г.}

В обновлениях Windows, выпущенных 12 сентября 2023 г. или позже, мы внесли несколько дополнительных изменений в усиление безопасности. Эти изменения включают все изменения, внесенные 11 октября 2022 г., и изменения с 14 марта 2023 г.

Устранена проблема, из-за которой не удалось присоединиться к домену с помощью проверки подлинности смарт-карты независимо от параметра политики. Чтобы устранить эту проблему, мы переместили оставшиеся проверки безопасности обратно в контроллер домена. Поэтому после обновления системы безопасности за сентябрь 2023 г. клиентские компьютеры выполняют проверенные вызовы SAMRPC к контроллеру домена для выполнения проверок безопасности, связанных с повторным использованием учетных записей компьютеров.

Однако это может привести к сбою присоединения к домену в средах, где задана следующая политика: Сетевой доступ: Ограничение клиентов, которым разрешено совершать удаленные вызовы к SAM.  Сведения о том, как устранить эту проблему, см. в разделе "Известные проблемы".

Поведение от 13 августа 2024 г.

В обновлениях Windows, выпущенных 13 августа 2024 г. или позже, мы устраняли все известные проблемы совместимости с политикой allowlist. Мы также удалили поддержку ключа NetJoinLegacyAccountReuse . Поведение усиления защиты будет сохраняться независимо от параметра ключа. Соответствующие методы для добавления исключений перечислены в разделе "Принять меры" ниже. 

Действие

Настройте новую политику списка разрешений с помощью групповой политики на контроллере домена и удалите все устаревшие обходные решения на стороне клиента. Затем выполните следующие действия.

1. Необходимо установить обновления от 12 сентября 2023 г. или более поздних версий на всех компьютерах-членах и контроллерах домена. 

2. В новой или существующей групповой политике, которая применяется ко всем контроллерам домена, настройте параметры, описанные ниже.

3. В разделе Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности дважды щелкните Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену.

4. Выберите Определить этот параметр политики и <Изменить безопасность...>.

5. Используйте средство выбора объектов, чтобы добавить пользователей или группы создателей и владельцев доверенных учетных записей компьютеров в разрешение Разрешить . (Рекомендуется использовать группы для разрешений.) Не добавляйте учетную запись пользователя, выполняющего присоединение к домену.

   Предупреждение: Ограничьте членство в политике доверенными пользователями и учетными записями служб. Не добавляйте в эту политику пользователей, прошедших проверку подлинности, всех пользователей или другие большие группы. Вместо этого добавьте в группы определенных доверенных пользователей и учетные записи служб и добавьте эти группы в политику.

6. Дождитесь интервала обновления групповой политики или выполните gpupdate /force на всех контроллерах домена.

7. Убедитесь, что раздел реестра HKLM\System\CCS\Control\SAM – ComputerAccountReuseAllowList заполнен требуемым SDDL. Не редактируйте реестр вручную.

8. Попробуйте присоединиться к компьютеру с установленными обновлениями от 12 сентября 2023 г. или более поздних версий. Убедитесь, что одной из учетных записей, перечисленных в политике, принадлежит учетная запись компьютера. Если сбой присоединения к домену, проверьте \netsetup.log c:\windows\debug.

Если вам по-прежнему требуется альтернативное решение, ознакомьтесь с рабочими процессами подготовки учетных записей компьютера и поймите, требуются ли изменения. 

1. Выполните операцию присоединения, используя ту же учетную запись, которая создала учетную запись компьютера в целевом домене.

2. Если существующая учетная запись устарела (не используется), удалите ее, прежде чем снова присоединиться к домену.

3. Переименуйте компьютер и присоединитесь, используя другую учетную запись, которая еще не существует.

4. Если существующая учетная запись принадлежит доверенному субъекту безопасности и администратор хочет повторно использовать учетную запись, следуйте указаниям в разделе "Принять меры", чтобы установить обновления Windows за сентябрь 2023 г. или более поздней версии и настроить список разрешений.

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Известные проблемы

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac