Märkus.: Värskendatud 13.08.2024; vt käitumine 13. augustil 2024
Kokkuvõte
Windowsi värskendused, mis on välja antud 11. oktoobril 2022 ja pärast seda, sisaldavad CVE-2022-38042 kasutusele võetud lisakaitset. Need kaitsed tahtlikult takistavad domeeniga liitumise toimingutel sihtdomeenis olemasoleva arvutikonto korduskasutamist, välja arvatud juhul, kui:
-
Toimingut prooviv kasutaja on olemasoleva konto looja.
või
-
Arvuti on loonud domeeniadministraatorite liige.
või
-
Taaskasutatava arvutikonto omanik on domeenikontrolleri "Domeenikontroller: Luba arvutikonto uuesti kasutamine domeeniga liitumise ajal". Rühmapoliitika säte. See säte nõuab Windowsi värskenduste installimist, mis on välja antud 14. märtsil 2023 või hiljem kõigis liikmearvutites ja domeenikontrollerites.
14. märtsil 2023 ja 12. septembril 2023 välja antud värskendused pakuvad mõjutatud klientidele Windows Server 2012 R2 ja uuema versiooni ning kõigi toetatud klientide jaoks lisavõimalusi. Lisateavet leiate jaotistest 11. oktoobri 2022 käitumine ja Toimingu tegemine .
Märkus Selles artiklis on varem viidatud NetJoinLegacyAccountReuse registrivõtmele. Alates 13. augustist 2024 eemaldati see registrivõti ja selle viited selles artiklis.
Käitumine enne 11. oktoobrit 2022
Enne 11. oktoobri 2022 või uuemate koondvärskenduste installimist küsib klientarvuti Active Directorylt sama nimega olemasoleva konto päringuid. See päring toimub domeeniga liitumise ja arvutikonto ettevalmistamise ajal. Kui selline konto on olemas, proovib klient seda automaatselt uuesti kasutada.
Märkus Korduskasutamise katse nurjub, kui domeeniga liitumist proovival kasutajal pole vajalikke kirjutusõigusi. Kui aga kasutajal on piisavalt õigusi, siis domeeniga liitumine õnnestub.
Domeeniga liitumiseks on kaks stsenaariumi, kus vastavad vaikekäitumised ja lipud on järgmised.
-
Domeeniga liitumine (NetJoinDomain)
-
Vaikimisi kasutatakse kontot uuesti (v.a juhul, kui lipu NETSETUP_NO_ACCT_REUSE on määratud)
-
-
Konto ettevalmistamine (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Vaikeväärtus on NO korduskasutus (v.a juhul, kui NETSETUP_PROVISION_REUSE_ACCOUNT on määratud).
-
11. oktoobri 2022 käitumine
Kui installite klientarvutisse 11. oktoobril 2022 või hiljem Windowsi koondvärskendused, teeb klient domeeniga liitumise ajal täiendavaid turbekontrolle enne olemasoleva arvutikonto uuesti kasutamise katset. Algoritm:
-
Konto korduskasutamise katse on lubatud, kui toimingut prooviv kasutaja on olemasoleva konto looja.
-
Konto korduskasutamise katse on lubatud, kui konto on loonud domeeniadministraatorite liige.
Need täiendavad turbekontrollid tehakse enne arvutiga liitumise katset. Kui kontrollid õnnestuvad, kehtivad ülejäänud liitumistoimingule Active Directory õigused nagu varem.
See muudatus ei mõjuta uusi kontosid.
Märkus Pärast 11. oktoobri 2022 või uuemate Windowsi koondvärskenduste installimist võib domeeni ühendamine arvutikonto taaskasutusega tahtlikult nurjuda järgmise tõrketeatega:
Tõrge 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Samanimeline konto on Active Directorys olemas. Turbepoliitika blokeeris konto uuesti kasutamise."
Sel juhul kaitseb kontot tahtlikult uus käitumine.
Sündmuse ID 4101 käivitatakse pärast ülaltoodud tõrke ilmnemist ja probleem logitakse sisse asukohta c:\windows\debug\netsetup.log. Tõrke mõistmiseks ja probleemi lahendamiseks järgige alltoodud juhiseid teemas Toiming.
14. märts 2023 käitumine
14. märtsil 2023 või pärast seda välja antud Windowsi värskendustes tegime turbekõvenemises mõned muudatused. Need muudatused hõlmavad kõiki 11. oktoobril 2022 tehtud muudatusi.
Esiteks laiendasime nende rühmade ulatust, mis on sellest paksenemisest vabastatud. Lisaks domeeniadministraatoritele on omanikukontrollist vabastatud ka ettevõtteadministraatorite ja sisseehitatud administraatorite rühmad.
Teiseks rakendasime uue rühmapoliitika sätte. Administraatorid saavad seda kasutada usaldusväärsete arvutikontode omanike lubatud loendi määramiseks. Arvutikonto eirab turbekontrolli, kui üks järgmistest on tõene.
-
Konto omanik on kasutaja, kes on määratud usaldusväärseks omanikuks rühmapoliitikas "Domeenikontroller: Luba arvutikonto uuesti kasutamine domeeniga liitumise ajal".
-
Konto omanik on kasutaja, kes kuulub rühmapoliitikas "Domeenikontroller: Luba arvutikonto domeeniga liitumise ajal uuesti kasutada".
Uue rühmapoliitika kasutamiseks peavad domeenikontrollerisse ja liikmesarvutisse olema installitud 14. märtsi 2023 või uuem värskendus. Mõnel teist võib olla kindlaid kontosid, mida kasutate arvutikontode automaatseks loomiseks. Kui nende kontode kuritarvitamine on turvaline ja usaldate neid arvutikontode loomiseks, saate need välistada. Windowsi värskenduste 11. oktoobril 2022 leevendatud algse nõrkuse vastu olete endiselt kaitstud.
12. september 2023 käitumine
12. septembril 2023 või hiljem välja antud Windowsi värskendustes tegime mõned täiendavad turbekõvenemise muudatused. Need muudatused hõlmavad kõiki 11. oktoobril 2022 tehtud muudatusi ja muudatusi alates 14. märtsist 2023.
Lahendasime probleemi, mille korral kiipkaardi autentimise abil domeeniga liitumine nurjus olenemata poliitikasättest. Selle probleemi lahendamiseks teisaldasime ülejäänud turbekontrollid tagasi domeenikontrollerisse. Seetõttu pärast 2023. aasta septembri turbevärskendust teevad klientarvutid autenditud SAMRPC kutsed domeenikontrollerile, et teha arvutikontode korduskasutamisega seotud turbekontrollid.
Kuid see võib põhjustada domeeniga liitumise nurjumise keskkondades, kus on määratud järgmine poliitika: Võrgujuurdepääs: piira kliente, kes tohivad TEHA SAM-i kaugkõnesid. Lisateavet selle probleemi lahendamise kohta leiate jaotisest "Teadaolevad probleemid".
13. august 2024 käitumine
13. augustil 2024 või hiljem välja antud Windowsi värskendustes lahendasime kõik teadaolevad ühilduvusprobleemid Allowlisti poliitikaga. Eemaldasime ka NetJoinLegacyAccountReuse võtme toe . Tugevnev käitumine püsib olenemata võtmesättest. Sobivad erandite lisamise meetodid on ära toodud allpool jaotises "Tegutsemine".
Toiming
Konfigureerige uus lubatud loendi poliitika domeenikontrolleri rühmapoliitika abil ja eemaldage kliendipoolsed pärandpõhised lahendused. Seejärel tehke järgmist.
-
Kõigisse liikmearvutitesse ja domeenikontrolleritesse tuleb installida 12. septembri 2023 või uuemad värskendused.
-
Konfigureerige uues või olemasolevas rühmapoliitikas, mis rakendub kõigile domeenikontrolleritele, järgmiste juhiste sätted.
-
Topeltklõpsake jaotises Arvuti konfiguratsioon\Poliitikad\Windowsi sätted\Turbesätted\Kohalikud poliitikad\Turbesuvandid valikut Domeenikontroller: Lubage arvutikonto uuesti kasutamine domeeniga liitumise ajal.
-
Valige Määratle see poliitikasäte ja <Redigeeri turvet...>.
-
Objektivalija abil saate lisada usaldusväärsete arvutikontode loojate ja omanike kasutajad või rühmad õigusesse Luba . (Hea tavana soovitame õiguste saamiseks kasutada rühmi.) Ärge lisage domeeniga liitumist teostavat kasutajakontot.
Hoiatus.: Piirake liikmestaatuse poliitika usaldusväärsete kasutajate ja teenusekontodega. Ärge lisage sellele poliitikale autenditud kasutajaid, kõiki ega muid suuri rühmi. Selle asemel lisage rühmadesse kindlad usaldusväärsed kasutajad ja teenusekontod ning lisage need rühmad poliitikasse.
-
Oodake rühmapoliitika värskendusintervalli või käivitage kõigis domeenikontrollerites gpupdate /force.
-
Veenduge, et registrivõti HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" oleks täidetud soovitud SDDL-iga. Ärge redigeerige registrit käsitsi.
-
Katse liituda arvutiga, kuhu on installitud 12. septembril 2023 või uuem värskendus. Veenduge, et üks poliitikas loetletud kontodest kuulub arvutikontole. Kui domeeniga liitumine nurjub, kontrollige \netsetup.log c:\windows\silumine.
Kui vajate endiselt alternatiivset lahendust, vaadake läbi arvutikonto ettevalmistamise töövood ja vaadake, kas muudatused on vajalikud.
-
Sooritage liitumistoiming sama kontoga, mis lõi arvutikonto sihtdomeenis.
-
Kui olemasolev konto on aegunud (kasutamata), kustutage see enne, kui proovite domeeniga uuesti liituda.
-
Nimetage arvuti ümber ja liituge mõne muu kontoga, mida pole veel olemas.
-
Kui olemasolev konto kuulub usaldusväärsele turbesubjektile ja administraator soovib kontot uuesti kasutada, järgige 2023. aasta septembri või uuemate Windowsi värskenduste installimiseks ja lubade loendi konfigureerimiseks jaotises Toiming toodud juhiseid.
Nonsolutions
-
Ärge lisage domeeniadministraatorite turberühma teenusekontosid ega ettevalmistuskontosid.
-
Ärge redigeerige arvutikontode turbedeskriptorit käsitsi, kui te ei soovi nende kontode omandiõigust ümber määratleda, välja arvatud juhul, kui eelmine omanikukonto on kustutatud. Omaniku redigeerimise ajal lubatakse uute kontrollide õnnestumine, võib arvutikontol olla algsele omanikule samad potentsiaalselt riskantsed ja soovimatud õigused, v.a juhul, kui need on konkreetselt läbi vaadatud ja eemaldatud.
Uued sündmuselogid
Sündmuselogi |
SÜSTEEM |
Sündmuse allikas |
Netjoin |
Sündmuse ID |
4100 |
Sündmuse tüüp |
Informatiivsel |
Sündmuse tekst |
"Domeeniga liitumise ajal võttis domeenikontroller ühendust active Directory olemasoleva samanimelise arvutikontoga. Selle konto uuesti kasutamise katse oli lubatud. Otsitud domeenikontrollerilt: <domeenikontrolleri nimi>Olemasolev arvutikonto DN: <arvutikonto DN-tee>. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2202145. |
Sündmuselogi |
SÜSTEEM |
Sündmuse allikas |
Netjoin |
Sündmuse ID |
4101 |
Sündmuse tüüp |
Tõrge |
Sündmuse tekst |
Domeeniga liitumise ajal võttis domeenikontroller ühendust active Directory olemasoleva samanimelise arvutikontoga. Selle konto uuesti kasutamise katset takistati turvalisusega seotud põhjustel. Otsitud domeenikontrollerist: olemasolev arvutikonto DN: tõrkekood <tõrkekood>. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2202145. |
Silumislogi on kõigis klientarvutites vaikimisi saadaval (paljusõnalist logimist pole vaja lubada) kaustaS:\Windows\Silumine\netsetup.log.
Näide silumise logimisest, mis luuakse siis, kui konto korduskasutust turvalisuse huvides ei lubata.
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Uued sündmused lisati märtsis 2023
See värskendus lisab domeenikontrolleri SÜSTEEMIlogisse neli (4) uut sündmust:
Sündmuse tase |
Informatiivsel |
Sündmuse ID |
16995 |
Logi |
SÜSTEEM |
Sündmuse allikas |
Directory-Services-SAM |
Sündmuse tekst |
Turbekonto haldur kasutab määratud turbedeskriptorit arvutikonto uuesti kasutamise katsete valideerimiseks domeeniga liitumise ajal. SDDL-väärtus: SDDL-stringi> < See lubatud loend on konfigureeritud Active Directory rühmapoliitika kaudu. Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145. |
Sündmuse tase |
Tõrge |
Sündmuse ID |
16996 |
Logi |
SÜSTEEM |
Sündmuse allikas |
Directory-Services-SAM |
Sündmuse tekst |
Turbedeskriptor, mis sisaldab arvutikonto uuestikasutuse lubamise loendit, mida kasutatakse klienditaotluste domeeniga liitumise valideerimiseks, on vigane. SDDL-väärtus: SDDL-stringi> < See lubatud loend on konfigureeritud Active Directory rühmapoliitika kaudu. Selle probleemi lahendamiseks peab administraator poliitika värskendama, et seada see väärtus kehtivale turbedeskriptorile või keelata. Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145. |
Sündmuse tase |
Tõrge |
Sündmuse ID |
16997 |
Logi |
SÜSTEEM |
Sündmuse allikas |
Directory-Services-SAM |
Sündmuse tekst |
Turbekonto haldur leidis arvutikonto, mis näib olevat orb ja millel pole olemasolevat omanikku. Arvutikonto: S-1-5-xxx Arvutikonto omanik: S-1-5-xxx Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145. |
Sündmuse tase |
Hoiatus! |
Sündmuse ID |
16998 |
Logi |
SÜSTEEM |
Sündmuse allikas |
Directory-Services-SAM |
Sündmuse tekst |
Turbekonto haldur lükkas tagasi klienditaotluse arvutikonto uuesti kasutamiseks domeeniga liitumise ajal. Arvutikonto ja kliendi identiteet ei vastanud turvalisuse valideerimise kontrollidele. Kliendikonto: S-1-5-xxx Arvutikonto: S-1-5-xxx Arvutikonto omanik: S-1-5-xxx Kontrollige selle sündmuse kirjeandmeid NT tõrkekoodi kohta. Lisateavet leiate teemast http://go.microsoft.com/fwlink/?LinkId=2202145. |
Vajaduse korral võib netsetup.log anda lisateavet.
Teadaolevad probleemid
Probleem 1 |
Pärast 12. septembri 2023 või uuemate värskenduste installimist võib domeeniga liitumine nurjuda keskkondades, kus on määratud järgmine poliitika: Võrgujuurdepääs - Klientidele SAM-i kaugkõnede tegemise lubamise piiramine - Windowsi turve | Microsoft Learn. Põhjus on selles, et klientarvutid teevad nüüd autenditud SAMRPC kutseid domeenikontrollerile, et teha arvutikontode korduskasutamisega seotud turbekontrollid. See on oodatav. Selle muudatuse mahutamiseks peaksid administraatorid säilitama domeenikontrolleri SAMRPC poliitika vaikesätetes VÕI lisama SDDL-i sätetesse selgesõnaliselt domeeniga liitumist teostava kasutajarühma, et anda neile õigus.Näide netsetup.log, kus see probleem ilmnes:
|
Probleem 2 |
Kui arvuti omaniku konto on kustutatud ja arvutikontot proovitakse uuesti kasutada, logitakse sündmus 16997 süsteemi sündmuselogisse. Sel juhul on võimalik omandiõigus mõnele muule kontole või rühmale uuesti määrata. |
Probleem 3 |
Kui ainult kliendil on 14. märtsi 2023 või uuem värskendus, tagastab Active Directory poliitika kontroll 0x32 STATUS_NOT_SUPPORTED. Varasemad kontrollid, mis viidi läbi novembri kiirparandustes, rakendatakse vastavalt allpool toodud näitele.
|