Opomba: Posodobljeno 13. 8. 2024; Glejte vedenje 13. avgusta 2024
Povzetek
Posodobitve sistema Windows, izdane 11. oktobra 2022 in po njem, vsebujejo dodatno zaščito, ki jo je uvedel CVE-2022-38042. S temi zaščitami namerno preprečite, da bi operacije združevanja domen znova uporabiti obstoječi račun računalnika v ciljni domeni, razen če:
-
Uporabnik, ki poskuša izvesti operacijo, je avtor obstoječega računa.
Ali
-
Računalnik je ustvaril član skrbnikov domene.
Ali
-
Lastnik računa računalnika, ki ga znova uporabljate, je član »Krmilnik domene: omogočanje ponovne uporabe računa računalnika med pridružitvijo domeni«. Nastavitev pravilnika skupine. Ta nastavitev zahteva namestitev posodobitev sistema Windows, ki so bile izdane 14. marca 2023 ali po tem, v vse računalnike in krmilnike domene za člane.
Posodobitve, izdane 14. marca 2023 in 12. septembra 2023 in po tem, bodo zagotovile dodatne možnosti za prizadete stranke v sistemu Windows Server 2012 R2 in več ter vseh podprtih odjemalcih. Če želite več informacij, glejte razdelka Delovanje z dne 11. oktobra 2022in Ukrepanje .
Opomba V tem članku je bil predhodno opisan registrski ključ NetJoinLegacyAccountReuse . Od 13. avgusta 2024 so bili ta registrski ključ in njegovi sklici v tem članku odstranjeni.
Vedenje pred 11. oktobrom 2022
Preden namestite zbirne posodobitve z dne 11. oktobra 2022 ali novejše, odjemalski računalnik prebira imenik Active Directory za obstoječi račun z istim imenom. Do te poizvedbe pride med združevanjem domen in omogočanjem uporabe računa računalnika. Če obstaja tak račun, ga bo odjemalec samodejno poskušal znova uporabiti.
Opomba Poskus vnovične uporabe ne bo uspel, če uporabnik, ki poskusi operacijo pridružitve domeni, nima ustreznih dovoljenj za pisanje. Če pa ima uporabnik dovolj dovoljenj, bo pridružitev domeni uspešna.
Za pridružitev domeni z ustreznim privzetim vedenjem in zastavicami obstajata dva scenarija:
-
Pridružitev domeni (NetJoinDomain)
-
Privzete nastavitve za vnovično uporabo računa ( razen če NETSETUP_NO_ACCT_REUSE zastavica določena)
-
-
Omogočanje uporabe računa (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Privzeta vrednost za vnovično uporabo funkcije NO (NETSETUP_PROVISION_REUSE_ACCOUNT ni določena.)
-
11. oktober 2022
Ko v odjemalski računalnik namestite zbirne posodobitve sistema Windows z dne 11. oktobra 2022 ali novejše, bo odjemalec med pridružitvijo domeni opravil dodatna varnostna preverjanja, preden bo poskusil znova uporabiti obstoječi račun računalnika. Algoritem:
-
Poskus vnovične uporabe računa bo dovoljen, če je uporabnik, ki poskuša izvesti operacijo, ustvaril obstoječi račun.
-
Poskus ponovne uporabe računa je dovoljen, če je račun ustvaril član skrbnikov domene.
Ta dodatna varnostna preverjanja se opravijo, preden se poskusijo pridružiti računalniku. Če so preverjanja uspešna, za preostalo operacijo združevanja veljajo dovoljenja imenika Active Directory kot prej.
Ta sprememba ne vpliva na nove račune.
Opomba Po namestitvi zbirnih posodobitev sistema Windows z dne 11. oktobra 2022 ali novejših, lahko pridružitev domeni z vnovično uporabo računa računalnika namerno ne uspe, pri tem pa se prikaže ta napaka:
Napaka 0xaac (2732): NERR_AccountReuseBlockedByPolicy: »Račun z istim imenom obstaja v imeniku Active Directory. Ponovno uporabo računa je blokiral varnostni pravilnik.«
V tem primeru je račun namerno zaščiten z novim vedenjem.
ID dogodka 4101 se sproži, ko pride do zgornje napake in težava bo zabeležena v mapi c:\windows\debug\netsetup.log. Če želite razumeti napako in odpraviti težavo, upoštevajte spodnja navodila v razdelku Ukrepanje.
14. marec 2023 vedenje
V posodobitvah sistema Windows, ki so bile izdane 14. marca 2023 ali po tem, smo nekoliko spremenili varnostno utrjevanje. Te spremembe vključujejo vse spremembe, ki smo jih naredili 11. oktobra 2022.
Najprej smo razširili obseg skupin, ki so izvzete iz tega utrjenega. Poleg skrbnikov domene so skrbniki podjetja in vgrajene skupine skrbnikov zdaj izvzeti iz preverjanja lastništva.
Nato smo izvedejo novo nastavitev pravilnika skupine. Skrbniki lahko z njim določijo seznam omogočanje za lastnike zaupanja vrednih računov v računalniku. Račun računalnika bo preskočil varnostno preverjanje, če velja nekaj od tega:
-
Račun je v lasti uporabnika, ki je naveden kot zaupanja vreden lastnik v pravilniku skupine »Krmilnik domene: Dovoli ponovno uporabo računalniškega računa med pridružitvijo domeni«.
-
Račun je v lasti uporabnika, ki je član skupine, določene kot zaupanja vreden lastnik v pravilniku skupine »Krmilnik domene: Dovoli ponovno uporabo računalniškega računa med pridružitvijo domeni«.
Če želite uporabiti ta nov pravilnik skupine, morata biti krmilnik domene in računalnik člana dosledno nameščena posodobitev z dne 14. marca 2023 ali novejša. Nekateri od vas imajo morda določene račune, ki jih uporabljate pri avtomatiziranem ustvarjanju računa v računalniku. Če so ti računi varni pred zlorabami in jim zaupate, da ustvarijo računalniške račune, jih lahko izvzamete. Še vedno boste zaščiteni pred izvirno ranljivostjo, ki ste jo ublažili s posodobitvami sistema Windows z dne 11. oktobra 2022.
12. september 2023
V posodobitvah sistema Windows, ki so bile izdane 12. septembra 2023 ali po tem, smo naredili nekaj dodatnih sprememb v varnostnem utrjenju. Te spremembe vključujejo vse spremembe, ki smo jih naredili 11. oktobra 2022, in spremembe iz 14. marca 2023.
Odpravili smo težavo, pri kateri pridružitev domeni s preverjanjem pristnosti pametne kartice ni uspela ne glede na nastavitev pravilnika. Da bi odpravili to težavo, smo preostala varnostna preverjanja premaknili nazaj v krmilnik domene. Po varnostni posodobitvi iz septembra 2023 odjemalski računalniki s preverjeno pristnostjo pokličejo krmilnik domene za izvajanje preverjanj varnosti, povezanih s ponovno uporabo računalnikov.
Vendar pa lahko zaradi tega pridružitev domeni ne uspe v okoljih, kjer je nastavljen ta pravilnik: Dostop do omrežja: Omejitev odjemalcev, ki imajo dovoljenje za opravljanje oddaljenih klicev v SAM. Če želite več informacij o tem, kako odpraviti to težavo, glejte razdelek »Znane težave«.
13. avgust 2024
V posodobitvah sistema Windows, ki so bile izdane 13. avgusta 2024 ali po njem, smo odpravili vse znane težave z združljivostjo s pravilnikom allowlist. Odstranili smo tudi podporo za ključ NetJoinLegacyAccountReuse . Vedenje utrjenosti bo ohranjeno ne glede na nastavitev ključa. Ustrezne metode za dodajanje izjem so navedene v spodnjem razdelku Ukrepanje.
Ukrepajte
Konfigurirajte nov pravilnik za seznam allow list s pravilnikom skupine v krmilniku domene in odstranite morebitne podedovane rešitve na strani odjemalca. Nato naredite to:
-
Posodobitve, ki so bile nameščene 12. septembra 2023 ali novejše, morate namestiti v vse računalnike in krmilnike domene za člane.
-
V novem ali obstoječem pravilniku skupine, ki velja za vse krmilnike domene, konfigurirajte nastavitve v spodnjih korakih.
-
V razdelku Konfiguracija računalnika\Pravilniki\Nastavitve sistema Windows\ Varnostne nastavitve\Lokalni pravilniki\Varnostne možnosti dvokliknite Krmilnik domene: Omogočanje vnovične uporabe računa računalnika med pridružitvijo domeni.
-
Izberite Določi to nastavitev pravilnika in <Uredi varnost ...>.
-
Z izbirnikom predmetov dodajte uporabnike ali skupine ustvarjalcev in lastnikov zaupanja vrednih računalnikov v dovoljenje »Dovoli«. (Priporočamo, da za dovoljenja uporabite skupine.) Ne dodajte uporabniškega računa, ki izvede pridružitev domeni.
Opozorilo: Omejite članstvo na pravilnik na zaupanja vredne uporabnike in račune storitev. V ta pravilnik ne dodajajte uporabnikov s preverjeno pristnostjo, vseh ali drugih velikih skupin. Namesto tega v skupine dodajte določene zaupanja vredne uporabnike in račune storitev ter dodajte te skupine v pravilnik.
-
Počakajte na interval osveževanja pravilnika skupine ali zaženite gpupdate /force v vseh krmilnikih domene.
-
Preverite, ali je registrski ključ HKLM\System\CCS\Control\SAM – »ComputerAccountReuseAllowList« izpolnjen s želenim ključem SDDL. Registra ne urejajte ročno.
-
Poskusite se pridružiti računalniku, v katerem so nameščene posodobitve, ki so bile nameščene 12. septembra 2023 ali novejše. Prepričajte se, da je eden od računov, navedenih v pravilniku, v lasti računalniškega računa. Če pridružitev domeni ne uspe, preverite potrditveno polje c:\windows\debug\netsetup.log.
Če še vedno potrebujete nadomestno rešitev, preglejte poteke dela za omogočanje uporabe računa v računalniku in preverite, ali so potrebne spremembe.
-
Operacijo združevanja izvedite z istim računom, ki je ustvaril račun računalnika v ciljni domeni.
-
Če je obstoječi račun zastarel (neuporabljen), ga izbrišite, preden se poskusite znova pridružiti domeni.
-
Preimenujte računalnik in se pridružite z drugim računom, ki še ne obstaja.
-
Če je obstoječi račun v lasti zaupanja vrednega glavnega imena varnosti in skrbnik želi znova uporabiti račun, upoštevajte navodila v razdelku »Ukrepaj«, da namestite posodobitve sistema Windows iz septembra 2023 ali novejše in konfigurirate seznam omogočanje.
Neoddelitve
-
V varnostno skupino skrbnikov domene ne dodajaj računov storitev ali računov za omogočanje uporabe.
-
Varnostnega deskriptorja v računih računalnika ne urejajte ročno, da bi znova določiti lastništvo takšnih računov, razen če je bil izbrisan prejšnji račun lastnika. Medtem ko bo urejanje lastnika omogočilo uspešno preverjanje, bo račun računalnika morda ohranil enako morebitno tvegano, neželeno dovoljenje za izvirnega lastnika, razen če ga izrecno pregledate in odstranite.
Novi dnevniki dogodkov
Dnevnik dogodkov |
SISTEM |
Vir dogodka |
Netjoin |
ID dogodka |
4100 |
Vrsta dogodka |
Informativne |
Besedilo dogodka |
»Med pridružitvijo domeni je stik s krmilnikom domene našel obstoječi račun računalnika v imeniku Active Directory z istim imenom. Poskus vnovične uporabe tega računa je bil dovoljen. Iskanje krmilnika domene: <krmilnika domene>obstoječi račun računalnika DN: <pot DN računa računalnika>. Če želite https://go.microsoft.com/fwlink/?linkid=2202145 informacij, glejte Temo za iskanje. |
Dnevnik dogodkov |
SISTEM |
Vir dogodka |
Netjoin |
ID dogodka |
4101 |
Vrsta dogodka |
Napaka |
Besedilo dogodka |
Med pridružitvijo domeni je stik s krmilnikom domene našel obstoječi račun računalnika v imeniku Active Directory z istim imenom. Poskus vnovične uporabe tega računa je bil preprečen zaradi varnostnih razlogov. Iskanje krmilnika domene: DN obstoječega računa računalnika: Koda napake je <koda napake>. Če želite https://go.microsoft.com/fwlink/?linkid=2202145 informacij, glejte Temo za iskanje. |
Pisanje dnevnika za iskanje napak je privzeto na voljo (ni vam treba omogočiti nobenega obširnega pisanja dnevnika) v C:\Windows\Debug\netsetup.log v vseh odjemalskih računalnikih.
Primer pisanja dnevnika za iskanje napak, ustvarjenega, ko je zaradi varnostnih razlogov preprečena ponovna uporaba računa:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Novi dogodki so bili dodani marca 2023
Ta posodobitev doda štiri (4) nove dogodke v dnevnik SYSTEM v krmilniku domene tako:
Raven dogodka |
Informativne |
ID dogodka |
16995 |
Dnevnik |
SISTEM |
Vir dogodka |
Imeniške storitve – SAM |
Besedilo dogodka |
Upravitelj varnostnega računa uporablja določen varnostni deskriptor za preverjanje veljavnosti poskusov vnovične uporabe računa računalnika med pridružitvijo domeni. Vrednost SDDL: <niza SDDL> Ta seznam omogočanje je konfiguriran s pravilnikom skupine v imeniku Active Directory. Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Raven dogodka |
Napaka |
ID dogodka |
16996 |
Dnevnik |
SISTEM |
Vir dogodka |
Imeniške storitve – SAM |
Besedilo dogodka |
Varnostni deskriptor, ki vsebuje seznam omogočanje za ponovno uporabo računa računalnika, ki se uporablja za preverjanje veljavnosti zahtev odjemalca, je poškodovan. Vrednost SDDL: <niza SDDL> Ta seznam omogočanje je konfiguriran s pravilnikom skupine v imeniku Active Directory. Če želite odpraviti to težavo, mora skrbnik posodobiti pravilnik, da nastavi to vrednost na veljaven varnostni deskriptor ali ga onemogoči. Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Raven dogodka |
Napaka |
ID dogodka |
16997 |
Dnevnik |
SISTEM |
Vir dogodka |
Imeniške storitve – SAM |
Besedilo dogodka |
Upravitelj varnostnega računa je našel računalniški račun, ki je videti zapuščen in nima obstoječega lastnika. Račun računalnika: S-1-5-xxx Lastnik računa računalnika: S-1-5-xxx Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Raven dogodka |
Opozorilo |
ID dogodka |
16998 |
Dnevnik |
SISTEM |
Vir dogodka |
Imeniške storitve – SAM |
Besedilo dogodka |
Upravitelj varnostnega računa je zavrnil zahtevo odjemalca za vnovično uporabo računa računalnika med pridružitvijo domeni. Račun računalnika in identiteta odjemalca ne ustrezata preverjanjem veljavnosti varnosti. Račun odjemalca: S-1-5-xxx Račun računalnika: S-1-5-xxx Lastnik računa računalnika: S-1-5-xxx Preverite podatke zapisa tega dogodka za NT kodo napake. Če želite več informacij, glejte http://go.microsoft.com/fwlink/?LinkId=2202145. |
Po potrebi lahko netsetup.log več informacij.
Znane težave
Težava 1 |
Po namestitvi posodobitev, ki so bile nameščene 12. septembra 2023 ali novejše, pridružitev domeni morda ne uspe v okoljih, kjer je nastavljen ta pravilnik: Dostop do omrežja – omejite odjemalce z dovoljenjem za opravljanje oddaljenih klicev v SAM – Varnost sistema Windows | Microsoft Learn. To je zato, ker odjemalski računalniki zdaj s preverjeno pristnostjo pokličejo krmilnik domene za izvajanje preverjanj varnosti, povezanih s ponovno uporabo računov računalnika. To je pričakovano. V skladu s to spremembo morajo skrbniki ohraniti pravilnik SAMRPC krmilnika domene pri privzetih nastavitvah ALI izrecno vključiti skupino uporabnikov, ki izvaja pridružitev domeni v nastavitvah SDDL, da jim dodelijo dovoljenje.Primer iz netsetup.log, kjer je prišlo do te težave:
|
Težava 2 |
Če je bil račun lastnika računalnika izbrisan in pride do poskusa ponovne uporabe računa računalnika, bo dogodek 16997 zabeležen v dnevnik sistemskih dogodkov. Če pride do tega, lahko lastništvo znova dodelite drugemu računu ali skupini. |
Težava 3 |
Če ima le odjemalec posodobitev z dne 14. marca 2023 ali novejšo posodobitev, bo preverjanje pravilnika Active Directory vrnilo 0x32 STATUS_NOT_SUPPORTED. Prejšnja preverjanja, ki so bila uvedena v novembrskih sprotnih popravkih, bodo veljala, kot je prikazano spodaj:
|