Примітка.: Оновлено 13.08.2024; див. Поведінка 13 серпня 2024 р.
Зведення
Оновлення Windows, випущені 11 жовтня 2022 року та після них, містять додаткові засоби захисту, введені CVE-2022-38042. Ці засоби захисту навмисно перешкоджають операціям приєднання до домену повторно використовувати наявний обліковий запис комп'ютера в цільовому домені, якщо:
-
Користувач, який намагається виконати операцію, є автором наявного облікового запису.
Або
-
Комп'ютер створив член адміністраторів домену.
Або
-
Власник облікового запису комп'ютера, який використовується повторно, входить до складу "Контролер домену: дозволити повторне використання облікового запису комп'ютера під час приєднання до домену". Параметр групової політики. Для цього параметра потрібна інсталяція оновлень Windows, випущених 14 березня 2023 р. або пізніше, на всіх комп'ютерах-учасниках і контролерах домену.
Оновлення, випущені 14 березня 2023 р. та після 12 вересня 2023 р., надаються додаткові варіанти для користувачів, яких це стосується, у Windows Server 2012 R2 і вище, і для всіх підтримуваних клієнтів. Докладні відомості див. в розділах Поведінка від 11 жовтня 2022 року та Дії .
Примітка У цій статті раніше посилалися на розділ реєстру NetJoinLegacyAccountReuse . Станом на 13 серпня 2024 р. цей розділ реєстру та його посилання в цій статті видалено.
Поведінка до 11 жовтня 2022 р.
Перш ніж інсталювати сукупний пакет оновлень від 11 жовтня 2022 р. або пізнішої версії, клієнтський комп'ютер запитує Active Directory для наявного облікового запису з таким самим іменем. Цей запит виконується під час підготовки облікового запису до домену та комп'ютера. Якщо такий обліковий запис існує, клієнт автоматично спробує його використати повторно.
Примітка Спроба повторного використання завершиться помилкою, якщо користувач, який намагається приєднатися до домену, не має відповідних дозволів на записування. Однак, якщо користувач має достатньо дозволів, приєднання до домену буде успішним.
Існує два сценарії для приєднання до домену з відповідними поведінкою за промовчанням і позначками, як це відбувається:
-
Приєднання до домену (NetJoinDomain)
-
Повторне використання облікового запису за замовчуванням (якщо не вказано позначку NETSETUP_NO_ACCT_REUSE )
-
-
Підготовка облікового запису (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
За замовчуванням для повторного використання no (якщо не вказано NETSETUP_PROVISION_REUSE_ACCOUNT ).
-
Поведінка 11 жовтня 2022 р.
Після інсталяції сукупних оновлень Windows від 11 жовтня 2022 р. або пізнішої версії на клієнтському комп'ютері під час приєднання до домену клієнт виконуватиме додаткові перевірки безпеки перед спробою повторного використання наявного облікового запису комп'ютера. Алгоритм:
-
Спроба повторного використання облікового запису буде дозволена, якщо користувач, який намагається виконати операцію, є автором наявного облікового запису.
-
Спроба повторного використання облікового запису дозволяється, якщо обліковий запис створив член адміністраторів домену.
Ці додаткові перевірки безпеки виконуються перед спробою приєднатися до комп'ютера. Якщо перевірки виконано успішно, інші операції об'єднання підпадають під дію дозволів Active Directory, як і раніше.
Ця зміна не впливає на нові облікові записи.
Нотатка Після інсталяції сукупних оновлень Windows від 11 жовтня 2022 р. або пізнішої версії, повторне використання домену з обліковим записом комп'ютера може навмисно не вдатися з такою помилкою:
Помилка 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Обліковий запис із таким іменем існує в Active Directory. Повторне використання облікового запису заблоковано політикою безпеки"."
У такому разі обліковий запис навмисно захищено новою поведінкою.
Подія з ідентифікатором 4101 спрацьовуватиме після виникнення наведеної вище помилки та ввійти в систему c:\windows\debug\netsetup.log. Виконайте наведені нижче дії, щоб зрозуміти неполадку та вирішити її.
Поведінка 14 березня 2023 р.
В оновленнях Windows, випущених 14 березня 2023 р. або пізніше, ми внесли кілька змін до посилення безпеки. Ці зміни включають усі зміни, внесені в 11 жовтня 2022 року.
По-перше, ми розширили сферу груп, які звільняються від цього загартування. На додачу до адміністраторів домену, адміністратори підприємства та вбудовані групи адміністраторів тепер звільняються від перевірки власності.
По-друге, ми реалізували новий параметр групової політики. За його допомогою адміністратори можуть указати список довірених власників облікових записів комп'ютера. Обліковий запис комп'ютера буде обходити перевірку безпеки, якщо виконується одна з таких умов:
-
Обліковий запис належить користувачу, указаному як надійний власник у груповій політиці "Контролер домену: дозволити повторне використання облікового запису комп'ютера під час приєднання до домену".
-
Обліковий запис належить користувачу, який входить до групи, указаної як надійний власник у груповій політиці "Контролер домену: дозволити повторне використання облікового запису комп'ютера під час приєднання до домену".
Щоб використовувати цю нову групову політику, контролер домену та комп'ютер-учасник повинні постійно мати оновлення від 14 березня 2023 р. або пізнішої версії. Деякі з вас можуть мати певні облікові записи, які використовуються для автоматичного створення облікових записів комп'ютера. Якщо ці облікові записи захищені від зловживань і ви довіряєте їм створювати комп'ютерні облікові записи, ви можете звільнити їх. Ви все одно будете захищені від початкової вразливості, що пом'якшуватиметься до 11 жовтня 2022 року, оновлень Windows.
Поведінка 12 вересня 2023 року
В оновленнях Windows, випущених 12 вересня 2023 р. або пізніше, ми внесли кілька додаткових змін до посилення безпеки. До цих змін належать усі зміни, внесені в 11 жовтня 2022 року, і зміни, внесені з 14 березня 2023 року.
Вирішено проблему, через яку не вдавалося приєднатися до домену за допомогою автентифікації смарт-картки незалежно від параметра політики. Щоб вирішити цю проблему, ми перенесли решту перевірок безпеки назад до контролера домену. Таким чином, після оновлення системи безпеки за вересень 2023 року клієнтські комп'ютери автентифіковані SAMRPC виклики контролер домену для виконання перевірки безпеки перевірки, пов'язані з повторного використання облікових записів комп'ютера.
Однак це може призвести до помилки приєднання до домену в середовищах, у яких налаштовано таку політику: Мережевий доступ: Обмежити клієнтам дозволено здійснювати віддалені виклики SAM. Відомості про те, як вирішити цю проблему, див. в розділі "Відомі проблеми".
Поведінка 13 серпня 2024 р.
В оновленнях Windows, випущених 13 серпня 2024 р. або пізніше, ми вирішимо всі відомі проблеми сумісності з політикою Allowlist. Ми також видалили підтримку ключа NetJoinLegacyAccountReuse . Поведінка загартування зберігається незалежно від параметра ключа. Відповідні методи додавання виключень наведено в розділі "Вжити заходів" нижче.
Вжити заходів
Настройте нову політику списку довірених дозволів за допомогою групової політики на контролері домену та видаліть усі застарілі способи вирішення на боці клієнта. Потім виконайте наведені нижче дії.
-
Потрібно інсталювати оновлення від 12 вересня 2023 р. або пізнішої версії на всіх комп'ютерах-учасниках і контролерах домену.
-
У новій або наявній груповій політиці, яка застосовується до всіх контролерів домену, настройте параметри на наведених нижче кроках.
-
У розділі Конфігурація комп'ютера\Політики\Настройки Windows\Параметри безпеки\Локальні політики\Параметри безпеки двічі клацніть контролер домену: дозволити повторне використання облікового запису комп'ютера під час приєднання до домену.
-
Виберіть Визначити цей параметр політики та <Редагувати безпеку...>.
-
Скористайтеся засобом вибору об'єктів, щоб додати користувачів або групи надійних авторів облікових записів комп'ютера та власників до дозволу "Дозволити ". (Рекомендовано використовувати групи для дозволів.) Не додавайте обліковий запис користувача, який виконує приєднання до домену.
Попередження!: Обмежити членство в політиці довіреними користувачами та обліковими записами служб. Не додавайте до цієї політики автентифікованих користувачів, усіх або інших великих груп. Натомість додайте певних надійних користувачів і облікові записи служб до груп і додайте ці групи до політики.
-
Зачекайте інтервал оновлення групової політики або запустіть gpupdate /force на всіх контролерах домену.
-
Переконайтеся, що розділ реєстру HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" заповнено потрібним SDDL. Не редагуйте реєстр вручну.
-
Спробуйте приєднатися до комп'ютера, на якому інстальовано оновлення від 12 вересня 2023 року або пізнішої версії. Переконайтеся, що один з облікових записів, перелічених у політиці, належить до облікового запису комп'ютера. Якщо не вдається приєднатися до домену, перевірте c:\windows\debug\netsetup.log.
Якщо вам усе одно знадобиться додатковий спосіб вирішення, перегляньте робочі цикли підготовки облікового запису комп'ютера та дізнайтеся, чи потрібні зміни.
-
Виконайте операцію об'єднання, використовуючи той самий обліковий запис, який створив обліковий запис комп'ютера в цільовому домені.
-
Якщо наявний обліковий запис застарілий (не використовується), видаліть його, перш ніж знову спробувати приєднатися до домену.
-
Перейменуйте комп'ютер і приєднайтеся за допомогою іншого облікового запису, який ще не існує.
-
Якщо наявний обліковий запис належить надійному принципалу безпеки та адміністратор хоче повторно використовувати обліковий запис, дотримуйтеся вказівок у розділі "Вжити заходів", щоб інсталювати оновлення Windows за вересень 2023 р. або пізнішої версії та налаштувати список довірених осіб.
Нерозпускні
-
Не додавайте облікові записи служб і не піддавайте облікові записи групі безпеки адміністраторів доменів.
-
Не редагуйте дескриптор безпеки в облікових записах комп'ютера вручну, намагаючись перевизначити право власності на такі облікові записи, якщо обліковий запис попереднього власника не видалено. Під час редагування власник активує нові перевірки для успішного виконання, обліковий запис комп'ютера може зберігати такі ж потенційно ризиковані, небажані дозволи для початкового власника, якщо його явно не переглянуто та видалено.
Нові журнали подій
|
Журнал подій |
СИСТЕМА |
|
Джерело події |
Netjoin |
|
Ідентифікатор події |
4100 |
|
Тип події |
Інформаційних |
|
Текст події |
"Під час підключення до домену контролер домену знайшов наявний обліковий запис комп'ютера в Active Directory з таким самим іменем. Спроба повторного використання цього облікового запису дозволена. Контролер домену виконав пошук: <ім'я контролера домену>Наявний обліковий запис комп'ютера DN: шлях <DN облікового запису комп'ютера>. Докладні відомості див. в https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Журнал подій |
СИСТЕМА |
|
Джерело події |
Netjoin |
|
Ідентифікатор події |
4101 |
|
Тип події |
Помилка |
|
Текст події |
Під час приєднання до домену контролер домену знайшов наявний обліковий запис комп'ютера в Active Directory з таким самим іменем. Спроба повторного використання цього облікового запису була попереджена з міркувань безпеки. Контролер домену виконав пошук: наявний обліковий запис комп'ютера DN: код помилки <код помилки>. Докладні відомості див. в https://go.microsoft.com/fwlink/?linkid=2202145. |
Журналювання налагодження доступний за замовчуванням (не потрібно вмикати детальне журналювання) у C:\Windows\Debug\netsetup.log на всіх клієнтських комп'ютерах.
Приклад журналювання налагодження, створеного під час повторного використання облікового запису з міркувань безпеки:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Нові події, додані в березні 2023 року
Це оновлення додає чотири (4) нові події в системному журналі на контролері домену таким чином:
|
Рівень події |
Інформаційних |
|
Ідентифікатор події |
16995 |
|
Журнал |
СИСТЕМА |
|
Джерело події |
Служби каталогів–SAM |
|
Текст події |
Диспетчер облікових записів безпеки використовує вказаний дескриптор безпеки для перевірки спроб повторного використання облікового запису комп'ютера під час приєднання до домену. Значення SDDL: рядок <SDDL> Цей список дозволів настроєно за допомогою групової політики в Active Directory. Докладні відомості див. в статті http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Рівень події |
Помилка |
|
Ідентифікатор події |
16996 |
|
Журнал |
СИСТЕМА |
|
Джерело події |
Служби каталогів–SAM |
|
Текст події |
Дескриптор безпеки, який містить список дозволів облікового запису комп'ютера, який використовується для перевірки клієнтських запитів на приєднання до домену, має неправильний формат. Значення SDDL: рядок <SDDL> Цей список дозволів настроєно за допомогою групової політики в Active Directory. Щоб виправити цю помилку, адміністратор повинен оновити політику, щоб установити для цього значення припустимий дескриптор безпеки або вимкнути його. Докладні відомості див. в статті http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Рівень події |
Помилка |
|
Ідентифікатор події |
16997 |
|
Журнал |
СИСТЕМА |
|
Джерело події |
Служби каталогів–SAM |
|
Текст події |
Диспетчер облікових записів безпеки знайшов обліковий запис комп'ютера, який, як видається, загублений і не має наявного власника. Обліковий запис комп'ютера: S-1-5-xxx Власник облікового запису комп'ютера: S-1-5-xxx Докладні відомості див. в статті http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Рівень події |
Попередження |
|
Ідентифікатор події |
16998 |
|
Журнал |
СИСТЕМА |
|
Джерело події |
Служби каталогів–SAM |
|
Текст події |
Диспетчер облікових записів безпеки відхилив запит клієнта на повторне використання облікового запису комп'ютера під час приєднання до домену. Обліковий запис комп'ютера та посвідчення клієнта не відповідають перевіркам безпеки. Обліковий запис клієнта: S-1-5-xxx Обліковий запис комп'ютера: S-1-5-xxx Власник облікового запису комп'ютера: S-1-5-xxx Перевірте дані запису цієї події на наявність коду помилки NT. Докладні відомості див. в статті http://go.microsoft.com/fwlink/?LinkId=2202145. |
За потреби netsetup.log може надати додаткові відомості.
Відомі проблеми
|
Проблема 1 |
Після інсталяції оновлень від 12 вересня 2023 р. або пізнішої версії може не вдатися приєднатися до домену в середовищах, у яких налаштовано таку політику: Доступ до мережі – обмеження доступу клієнтів до віддалених викликів SAM – безпека у Windows | Microsoft Learn. Це пов'язано з тим, що клієнтські комп'ютери тепер роблять автентифіковані SAMRPC виклики контролера домену для виконання перевірки безпеки, пов'язані з повторним використанням облікових записів комп'ютера. Це очікується. Щоб пристосувати цю зміну, адміністратори повинні або зберегти політику SAMRPC контролера домену в настройках за замовчуванням АБО явно включити групу користувачів, що виконує приєднання до домену в параметрах SDDL, щоб надати їм дозвіл. Приклад із netsetup.log, де виникла ця проблема: |
|
Проблема 2 |
Якщо обліковий запис власника комп'ютера видалено та відбувається спроба повторного використання облікового запису комп'ютера, подія 16997 буде внесена до журналу системних подій. У такому разі можна повторно призначити право власності іншому обліковому запису або групі. |
|
Проблема 3 |
Якщо лише клієнт має оновлення від 14 березня 2023 р. або пізнішої версії, перевірка політики Active Directory поверне 0x32 STATUS_NOT_SUPPORTED. Попередні перевірки, які були реалізовані в листопаді виправлення буде застосовуватися, як показано нижче: |
