Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022

Забележка: Актуализирано на 13.08.2024 г.; вижте Поведение от 13 август 2024 г.

Резюме

Актуализациите на Windows, издадени на и след 11 октомври 2022 г., съдържат допълнителни защити, въведени от CVE-2022-38042. Тези защити умишлено не позволяват на операциите за присъединяване към домейн да използват повторно съществуващ акаунт на компютър в целевия домейн, освен ако:

  • Потребителят, опитващ операцията, е създателят на съществуващия акаунт.

    Или

  • Компютърът е създаден от член на администраторите на домейна.

    Или

  • Собственикът на акаунта на компютъра, който се използва повторно, е член на "Домейнов контролер: Позволяване на повторно използване на акаунт на компютър по време на присъединяване към домейн". Настройка на групови правила. Тази настройка изисква инсталирането на актуализации на Windows, издадени на или след 14 март 2023 г., на ВСИЧКИ компютри членове и домейнови контролери.

Актуализациите, издадени на и след 14 март 2023 г. и 12 септември 2023 г., ще предоставят допълнителни опции за засегнатите клиенти на Windows Server 2012 R2 и по-нови версии и за всички поддържани клиенти. За повече информация вижте разделите Поведение на 11 октомври 2022 г. и Предприемане на действие .

Бележка В тази статия преди се препращаше към ключ от системния регистър NetJoinLegacyAccountReuse . От 13 август 2024 г. този ключ от системния регистър и препратките към него в тази статия са премахнати. 

Поведение преди 11 октомври 2022 г.

Преди да инсталирате 11 октомври 2022 г. или по-нови кумулативни актуализации, клиентски компютър заявки Active Directory за съществуващ акаунт със същото име. Тази заявка възниква по време на присъединяване към домейн и осигуряване на акаунт на компютър. Ако такъв акаунт съществува, клиентът автоматично ще се опита да го използва повторно.

Бележка Опитът за повторно използване ще е неуспешен, ако потребителят, който опитва операцията за присъединяване към домейна, няма подходящите разрешения за записване. Ако обаче потребителят има достатъчно разрешения, присъединяване към домейн ще успее.

Има два сценария за присъединяване към домейн със съответните поведения и флагове по подразбиране, както следва:

Поведение от 11 октомври 2022 г. 

След като инсталирате кумулативните актуализации на Windows от 11 октомври 2022 г. или по-късно на клиентски компютър, по време на присъединяване към домейн клиентът ще извърши допълнителни проверки за защита, преди да се опита да използва повторно съществуващ акаунт на компютъра. Алгоритъм:

  1. Опитът за повторно използване на акаунта ще бъде разрешен, ако потребителят, който се опитва да извърши операцията, е създателят на съществуващия акаунт.

  2. Опитът за повторно използване на акаунта ще бъде разрешен, ако акаунтът е създаден от член на администраторите на домейни.

Тези допълнителни проверки за защита се извършват, преди да се опитате да се присъедините към компютъра. Ако проверките са успешни, останалата част от операцията за присъединяване подлежи на разрешения на Active Directory както преди.

Тази промяна не засяга новите акаунти.

Забележка След инсталирането на кумулативните актуализации на Windows от 11 октомври 2022 г. или по-нова, присъединяване към домейн с повторно използване на акаунт на компютър може нарочно да е неуспешно със следната грешка:

Грешка 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Акаунт със същото име съществува в Active Directory. Повторното използване на акаунта е блокирано от правилата за защита."

Ако е така, акаунтът е преднамерено защитен от новото поведение.

ИД на събитие 4101 ще бъде задействан, след като възникне грешката по-горе и проблемът ще бъде регистриран в c:\windows\debug\netsetup.log. Следвайте стъпките по-долу в Предприемане на действие, за да разберете неуспеха и да отстраните проблема.

Поведение от 14 март 2023 г.

В актуализациите на Windows, издадени на или след 14 март 2023 г., направихме няколко промени в подсилването на защитата. Тези промени включват всички промени, които извършихме през 11 октомври 2022 г.

Първо, разширихме обхвата на групите, които са освободени от това втвърдяване. В допълнение към администраторите на домейни, корпоративните администратори и вградените групи на администраторите сега са освободени от проверката за собственост.

Второ, внедрихме нова настройка за групови правила. Администраторите могат да го използват, за да зададете списък с разрешени акаунти на надеждните собственици на компютърни акаунти. Акаунтът на компютъра ще заобиколи проверката за защита, ако е вярно едно от следните неща:

  • Акаунтът е собственост на потребител, зададен като надежден собственик в груповите правила "Домейнов контролер: Позволяване на повторно използване на акаунт на компютър по време на присъединяване към домейн".

  • Акаунтът е собственост на потребител, който е член на група, зададена като надежден собственик в груповите правила "Домейнов контролер: Разрешаване на повторно използване на акаунт на компютър по време на присъединяване към домейн".

За да използвате тези нови групови правила, домейн контролерът и компютърът член трябва постоянно да имат инсталирана актуализация от 14 март 2023 г. или по-нова. Някои от вас може да имат определени акаунти, които използвате при автоматично създаване на акаунти на компютъра. Ако тези акаунти не могат да бъдат злоупотребявани и имате доверие при създаването на компютърни акаунти, можете да ги освободите. Все още ще бъдете защитени срещу първоначалната уязвимост, смекчена от актуализациите на Windows от 11 октомври 2022 г.

Поведение от 12 септември 2023 г.

В актуализациите на Windows, издадени на или след 12 септември 2023 г., направихме няколко допълнителни промени в подсилването на защитата. Тези промени включват всички промени, които извършихме през 11 октомври 2022 г., и промените от 14 март 2023 г.

Обърнато е внимание на проблем, при който присъединяването към домейн чрез удостоверяване със смарт карта е неуспешно, независимо от настройката на правилата. За да коригираме този проблем, преместихме останалите проверки за защита обратно в домейновия контролер. Затова след актуализацията на защитата от септември 2023 г. клиентските машини правят удостоверени SAMRPC повиквания към домейновия контролер за извършване на проверки за проверка на защитата, свързани с повторно използване на акаунти на компютъра.

Това обаче може да доведе до неуспешно присъединяване към домейн в среди, в които са зададени следните правила: Мрежов достъп: Ограничаване на клиентите, на които е разрешено да правят отдалечени повиквания към SAM.  Вижте раздела "Известни проблеми" за информация как да отстраните този проблем.

Поведение от 13 август 2024 г.

В актуализациите на Windows, издадени на или след 13 август 2024 г., разгледахме всички известни проблеми със съвместимостта с правилата Allowlist. Също така премахнахме поддръжката за ключа NetJoinLegacyAccountReuse . Поведението на втвърдяване ще продължи да съществува независимо от настройката на ключа. Подходящите методи за добавяне на изключения са изброени в раздела Предприемане на действие по-долу. 

Предприемане на действие

Конфигурирайте новите правила за списъци с разрешени чрез групови правила на домейнов контролер и премахнете всички наследени заобиколни решения от страна на клиента. След това направете следното:

  1. Трябва да инсталирате актуализациите от 12 септември 2023 г. или по-нови на всички компютри членове и домейнови контролери. 

  2. В нови или съществуващи групови правила, които се отнасят за всички домейнови контролери, конфигурирайте настройките в стъпките по-долу.

  3. Под Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options щракнете двукратно върху Домейнов контролер: Разрешаване на повторно използване на акаунт на компютър по време на присъединяване към домейн.

  4. Изберете Дефиниране на тази настройка на правила и <Редактиране на защита...>.

  5. Използвайте избирача на обекти, за да добавите потребители или групи от надеждни създатели и собственици на акаунти за компютър към разрешаването на разрешение. (Като най-добра практика силно ви препоръчваме да използвате групи за разрешения.) Не добавяйте потребителския акаунт, който изпълнява присъединяване към домейн.

    Предупреждение: Ограничете членството до правилата до надеждни потребители и акаунти на услуги. Не добавяйте удостоверени потребители, всички или други големи групи към това правило. Вместо това добавете конкретни надеждни потребители и акаунти на услуги към групите и добавете тези групи към правилата.

  6. Изчакайте интервала на обновяване на груповите правила или изпълнете gpupdate /force на всички домейнови контролери.

  7. Уверете се, че ключът от системния регистър HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" е попълнен с желания SDDL. Не редактирайте ръчно системния регистър.

  8. Опит за присъединяване към компютър с инсталирани актуализации от 12 септември 2023 г. или по-нови. Уверете се, че един от акаунтите, изброени в правилата, притежава акаунта на компютъра. Ако съединението на домейна е неуспешно, проверете \netsetup.log c:\windows\debug.

Ако все още имате нужда от алтернативно заобиколно решение, прегледайте работните потоци за осигуряване на акаунт на компютъра и разберете дали са необходими промени. 

  1. Изпълнете операцията за присъединяване, като използвате същия акаунт, който е създал акаунта на компютъра в целевия домейн.

  2. Ако съществуващият акаунт е остарял (неизползван), изтрийте го, преди да се опитате отново да се присъедините към домейна.

  3. Преименувайте компютъра и се присъединете с друг акаунт, който все още не съществува.

  4. Ако съществуващият акаунт е собственост на надежден субект на защитата и администратор иска да използва повторно акаунта, следвайте указанията в секцията Предприемане на действие, за да инсталирате актуализациите на Windows от септември 2023 г. или по-нова версия и да конфигурирате списък с разрешени адреси.

Нерешавания

  • Не добавяйте акаунти за услуги или не осигурявайте акаунти към групата за защита на администраторите на домейни.

  • Не редактирайте ръчно дескриптора на защитата на акаунтите на компютъра при опит за предефиниране на собствеността на тези акаунти, освен ако предишният акаунт на собственик не е изтрит. Докато редактирането на собственика ще позволи новите проверки да са успешни, акаунтът на компютъра може да запази същите потенциално рискови, нежелани разрешения за първоначалния собственик, освен ако не е изрично прегледан и премахнат.

Нови регистри на събитията

Регистър на събитията

СИСТЕМА  

Източник на събитие

Netjoin

ИД на събитие

4100

Тип събитие

Информационна

Текст на събитие

"По време на присъединяване към домейн контролерът на домейна намери съществуващ акаунт на компютър в Active Directory със същото име.

Разрешен е опит за повторно използване на този акаунт.

Претърсено е домейнов контролер: <име на домейнов контролер>DN на съществуващ компютърен акаунт: <DN път до> на акаунт на компютър. Вижте https://go.microsoft.com/fwlink/?linkid=2202145 за повече информация.

Регистър на събитията

СИСТЕМА

Източник на събитие

Netjoin

ИД на събитие

4101

Тип събитие

Грешка

Текст на събитие

По време на присъединяване към домейн контролерът на домейна намери съществуващ акаунт на компютър в Active Directory със същото име. Опитът за повторно използване на този акаунт е предотвратен от съображения за сигурност. Претърсен е домейнов контролер: Съществуващ акаунт на компютър DN: Кодът на грешката е <код на грешка>. Вижте https://go.microsoft.com/fwlink/?linkid=2202145 за повече информация.

Регистрирането на грешки е налично по подразбиране (няма нужда да разрешавате многословно регистриране) в C:\Windows\Debug\netsetup.log на всички клиентски компютри.

Пример за регистриране на грешки, генерирано, когато повторното използване на акаунта е възпрепятствано от съображения за сигурност:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Добавени са нови събития през март 2023 г. 

Тази актуализация добавя четири (4) нови събития в регистрационния файл на СИСТЕМАТА на домейновия контролер по следния начин:

Ниво на събитие

Информационна

ИД на събитие

16995

Влезете

СИСТЕМА

Източник на събитие

Справочен указател – SAM

Текст на събитие

Диспечерът на акаунти за защита използва указания дескриптор на защитата за проверка на опитите за повторно използване на акаунт на компютър по време на присъединяване към домейн.

Стойност на SDDL: <> на SDDL низ

Този списък с разрешени адреси е конфигуриран чрез групови правила в Active Directory.

За повече информация вижте http://go.microsoft.com/fwlink/?LinkId=2202145.

Ниво на събитие

Грешка

ИД на събитие

16996

Влезете

СИСТЕМА

Източник на събитие

Справочен указател – SAM

Текст на събитие

Дескрипторът на защитата, който съдържа компютъра акаунт повторно използване позволява списък, който се използва за проверка на клиентски заявки присъединяване към домейн е неправилно.

Стойност на SDDL: <> на SDDL низ

Този списък с разрешени адреси е конфигуриран чрез групови правила в Active Directory.

За да коригира този проблем, администраторът ще трябва да актуализира правилата, за да зададе тази стойност на валиден дескриптор на защитата или да я забрани.

За повече информация вижте http://go.microsoft.com/fwlink/?LinkId=2202145.

Ниво на събитие

Грешка

ИД на събитие

16997

Влезете

СИСТЕМА

Източник на събитие

Справочен указател – SAM

Текст на събитие

Диспечерът на акаунти за защита откри акаунт на компютър, който изглежда е осиротял и няма съществуващ собственик.

Компютърен акаунт: S-1-5-xxx

Собственик на акаунт на компютър: S-1-5-xxx

За повече информация вижте http://go.microsoft.com/fwlink/?LinkId=2202145.

Ниво на събитие

Предупреждение

ИД на събитие

16998

Влезете

СИСТЕМА

Източник на събитие

Справочен указател – SAM

Текст на събитие

Мениджърът на акаунти за защита отхвърли искане на клиент за повторно използване на акаунт на компютър по време на присъединяване към домейн.

Акаунтът на компютъра и самоличността на клиента не отговарят на проверките за проверка на защитата.

Клиентски акаунт: S-1-5-xxx

Компютърен акаунт: S-1-5-xxx

Собственик на акаунт на компютър: S-1-5-xxx

Проверете данните от записа на това събитие за кода на грешка на NT.

За повече информация вижте http://go.microsoft.com/fwlink/?LinkId=2202145.

Ако е необходимо, netsetup.log може да даде повече информация.

Известни проблеми

Брой 1

След инсталирането на актуализациите от 12 септември 2023 г. или по-нови, присъединяване към домейн може да е неуспешно в среда, в която са зададени следните правила: Мрежов достъп – ограничаване на клиентите, които имат разрешение да извършват отдалечени повиквания към SAM – Защита в Windows | Microsoft Learn. Това е така, защото клиентските машини сега правят удостоверени SAMRPC повиквания към домейновия контролер, за да изпълняват проверки за проверка на защитата, свързани с повторно използване на акаунти на компютъра.     Това се очаква. За да се приеме тази промяна, администраторите трябва или да запазят SAMRPC правилата на домейновия контролер в настройките по подразбиране, ИЛИ изрично да включат потребителската група, която извършва присъединяване към домейна, в настройките на SDDL, за да им предоставят разрешение. 

Пример от netsetup.log, където е възникнал този проблем:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Брой 2

Ако акаунтът на собственика на компютъра е изтрит и възникне опит за повторно използване на акаунта на компютъра, събитие 16997 ще бъде регистрирано в регистъра на системните събития. Ако това се случи, няма проблем да преназначете собствеността на друг акаунт или група.

Брой 3

Ако само клиентът има актуализация от 14 март 2023 г. или по-нова, проверката на правилата на Active Directory ще върне 0x32 STATUS_NOT_SUPPORTED. Предишните проверки, които са изпълнени в горещите корекции от ноември ще се прилагат, както е показано по-долу:

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider