הערה: עודכן ב- 13/08/2024; ראה אופן הפעולה של 13 באוגוסט 2024
סיכום
עדכוני Windows שהופצו ב- 11 באוקטובר 2022 ולאחר מכן מכילים הגנות נוספות שהוצגו על-ידי CVE-2022-38042. הגנות אלה מונעות במכוון מפעולות צירוף תחום לעשות שימוש חוזר בחשבון מחשב קיים בתחום היעד, אלא אם:
-
המשתמש שינסה לבצע את הפעולה הוא היוצר של החשבון הקיים.
או
-
המחשב נוצר על-ידי חבר של מנהלי תחום.
או
-
הבעלים של חשבון המחשב שבו נעשה שימוש חוזר הוא חבר ב"בקר תחום: אפשר שימוש חוזר בחשבון מחשב במהלך הצטרפות לתחום". הגדרת מדיניות קבוצתית. הגדרה זו מחייבת התקנה של עדכוני Windows שהופצו ב- 14 במרץ 2023 או לאחר מכן, בכל המחשבים החברים ובבקרי התחום.
עדכונים שהופצו ב- 14 במרץ 2023 וב- 12 בספטמבר 2023, יספקו אפשרויות נוספות עבור לקוחות מושפעים ב- Windows Server 2012 R2 ואילך וכל הלקוחות הנתמכים. לקבלת מידע נוסף, עיין בסעיפים אופן הפעולה של 11 באוקטובר 2022ופעולה .
הערה מאמר זה הפנה בעבר למפתח רישום של NetJoinLegacyAccountReuse . החל מ- 13 באוגוסט 2024, מפתח רישום זה וההפניות שלו במאמר זה הוסרו.
אופן פעולה לפני 11 באוקטובר 2022
לפני שתתקין את העדכונים המצטברים של 11 באוקטובר, 2022 או מאוחר יותר, מחשב הלקוח ישאילתת Active Directory עבור חשבון קיים בעל שם זהה. שאילתה זו מתרחשת במהלך הצטרפות לתחום והקצאת חשבון מחשב. אם קיים חשבון כזה, הלקוח ינסה לעשות בו שימוש חוזר באופן אוטומטי.
הערה הניסיון לעשות שימוש חוזר ייכשל אם למשתמש שינסה לבצע את פעולת ההצטרפות לתחום אין הרשאות כתיבה מתאימות. עם זאת, אם למשתמש יש מספיק הרשאות, ההצטרפות לתחום תצליח.
קיימים שני תרחישים עבור הצטרפות לתחום עם אופני פעולה ודגגלים המוגדרים כברירת מחדל באופן הבא:
-
הצטרפות לתחום (NetJoinDomain)
-
ברירות מחדל לעשות שימוש חוזר בחשבון ( אלא NETSETUP_NO_ACCT_REUSE צוין דגל)
-
-
הקצאת חשבונות (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
ברירות מחדל ללא שימוש חוזר ( אלא NETSETUP_PROVISION_REUSE_ACCOUNT צוין).
-
אופן פעולה של 11 באוקטובר 2022
לאחר התקנת העדכונים המצטברים של Windows ב- 11 באוקטובר 2022 או מאוחר יותר במחשב לקוח, במהלך הצטרפות לתחום, הלקוח יבצע בדיקות אבטחה נוספות לפני שתנסה לעשות שימוש חוזר בחשבון מחשב קיים. אלגוריתם:
-
ניסיון שימוש חוזר בחשבון יורשה אם המשתמש שינסה לבצע את הפעולה הוא היוצר של החשבון הקיים.
-
ניסיון שימוש חוזר בחשבון יורשה אם החשבון נוצר על-ידי חבר בקבוצת מנהלי תחום.
פעולות אלה של בדיקת אבטחה נוספות מתבצעות לפני שתנסה להצטרף למחשב. אם ההבדקות מצליחות, שאר פעולת הצירוף כפופה להרשאות Active Directory כפי שצוין קודם לכן.
שינוי זה אינו משפיע על חשבונות חדשים.
הערה לאחר התקנת העדכונים המצטברים של Windows ב- 11 באוקטובר 2022 או מאוחר יותר, הצטרפות לתחום עם חשבון מחשב עשויה להיכשל במכוון עם השגיאה הבאה:
שגיאה 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "חשבון בעל שם זהה קיים ב- Active Directory. שימוש מחדש בחשבון נחסם על-ידי מדיניות האבטחה."
אם כן, החשבון מוגן במכוון על-ידי אופן הפעולה החדש.
מזהה האירוע 4101 יופעל לאחר שהשגיאה לעיל תתרחש והבעיה תירשם ב- c:\windows\debug\netsetup.log. בצע את השלבים שלהלן בסעיף הפעולה כדי להבין את הכשל ולפתור את הבעיה.
אופן פעולה של 14 במרץ 2023
בעדכונים של Windows שהופצו ב- 14 במרץ 2023 או לאחר מכן, ביצענו כמה שינויים בהת הקשיחות של האבטחה. שינויים אלה כוללים את כל השינויים שביצענו ב- 11 באוקטובר 2022.
תחילה, הרחבנו את טווח הקבוצות הפטורות מההתרחבות. בנוסף למנהלי תחום, מנהלי ארגון וקבוצות מנהלי מערכת מוכללים פטורים כעת מבדיקת הבעלות.
שנית, יישמנו הגדרת מדיניות קבוצתית חדשה. מנהלי מערכת יכולים להשתמש בו כדי לציין רשימת אישורים של בעלי חשבונות מחשב מהימנים. חשבון המחשב יעקוף את בדיקת האבטחה אם מתקיים אחד מהתנאים הבאים:
-
החשבון נמצא בבעלות משתמש שצוין כבעלים מהימן במדיניות הקבוצתית "בקר תחום: אפשר שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום".
-
החשבון נמצא בבעלות משתמש שהוא חבר בקבוצה שצוינה כבעלים מהימן במדיניות הקבוצתית "בקר תחום: אפשר שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום".
כדי להשתמש במדיניות קבוצתית חדשה זו, בקר התחום והמחשב החבר חייבים להיות מותקנים באופן עקבי ב- 14 במרץ, 2023 או בעדכון מאוחר יותר. ייתכן של חלקכם יש חשבונות מסוימים שבהם אתה משתמש ביצירת חשבון מחשב אוטומטי. אם חשבונות אלה בטוחים מפני שימוש לרעה ואתה נותן בהם אמון ליצור חשבונות מחשב, באפשרותך לפטור אותם. עדיין תהיה מאובטח מפני הפגיעות המקורית שנ להפחית עד 11 באוקטובר 2022, עדכוני Windows.
אופן הפעולה של 12 בספטמבר 2023
בעדכוני Windows שהופצו ב- 12 בספטמבר 2023 או לאחר מכן, ביצענו כמה שינויים נוספים בחומרת האבטחה. שינויים אלה כוללים את כל השינויים שביצענו ב- 11 באוקטובר 2022 ואת השינויים החל מ- 14 במרץ 2023.
טופלה בעיה שבה הצטרפות לתחום באמצעות אימות כרטיס חכם נכשלה ללא קשר להגדרת המדיניות. כדי לפתור בעיה זו, העברנו את יתר בדיקת האבטחה בחזרה לבקר התחום. לכן, לאחר עדכון האבטחה של ספטמבר 2023, מחשבי לקוח מבצעים שיחות SAMRPC מאומתות לבקר התחום כדי לבצע בדיקות אימות אבטחה הקשורות לשימוש חוזר בחשבונות מחשב.
עם זאת, הדבר עלול לגרום להצטרפות לתחום להיכשל בסביבות שבהן מוגדרת המדיניות הבאה: גישה לרשת: הגבלת לקוחות המורשים לבצע שיחות מרוחקות ל- SAM. עיין בסעיף 'בעיות ידועות' לקבלת מידע על האופן שבו ניתן לפתור בעיה זו.
אופן פעולה של 13 באוגוסט 2024
בעדכוני Windows שהופצו ב- 13 באוגוסט 2024 או לאחר מכן, תיקנו את כל בעיות התאימות הידועות במדיניות Allowlist. הסרנו גם את התמיכה עבור מפתח NetJoinLegacyAccountReuse . אופן הפעולה של ההקשדה יישאר ללא קשר להגדרת המפתח. השיטות המתאימות להוספת פטורים מפורטות בסעיף 'בצע פעולה' להלן.
בצע פעולה
קבע את תצורת המדיניות החדשה של רשימת התרה באמצעות המדיניות הקבוצתית בבקר תחום והסר את כל הפתרונות בצד הלקוח מדור קודם. לאחר מכן, בצע את הפעולות הבאות:
-
עליך להתקין את העדכונים של 12 בספטמבר 2023 או מאוחרים יותר בכל המחשבים החברים ובקרי התחום.
-
במדיניות קבוצתית חדשה או קיימת שחלה על כל בקרי התחום, קבע את תצורת ההגדרות בשלבים הבאים.
-
תחת תצורת מחשב\מדיניות\הגדרות Windows\הגדרות אבטחה\פריטי מדיניות מקומיים\אפשרויות אבטחה, לחץ פעמיים על בקר תחום : אפשר שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום.
-
בחר הגדר הגדרת מדיניות זו <ערוך אבטחה...>.
-
השתמש ב'בורר האובייקטים' כדי להוסיף משתמשים או קבוצות של יוצרים ובעלים של חשבונות מחשב מהימנים להרשאות 'אפשר '. (כשם העבודה המומלצת, אנו ממליצים מאוד להשתמש בקבוצות לקבלת הרשאות.) אל תוסיף את חשבון המשתמש שמבצע את הצטרפות התחום.
אזהרה: הגבל את החברות למדיניות למשתמשים מהימנים ולחשבונות שירות. אל תוסיף משתמשים מאומתים, כל אחד או קבוצות גדולות אחרות למדיניות זו. במקום זאת, הוסף לקבוצות משתמשים וחשבונות שירות מהימנים ספציפיים והוסף קבוצות אלה למדיניות.
-
המתן למרווח הזמן לרענון המדיניות הקבוצתית או הפעל את gpupdate /force בכל בקרי התחום.
-
ודא שמפתח הרישום HKLM\System\CCS\Control\SAM – מפתח הרישום "ComputerAccountReuseAllowList" מאוכלס ב- SDDL הרצוי. אל תערוך את הרישום באופן ידני.
-
נסה להצטרף למחשב שבו מותקנים העדכונים של 12 בספטמבר 2023 ואילך. ודא כי אחד החשבונות המפורטים במדיניות הוא הבעלים של חשבון המחשב. אם הצטרפות התחום נכשלת, בדוק את כתובת c:\windows\debug\netsetup.log.
אם אתה עדיין זקוק לעקיפת הבעיה החלופית, סקור את זרימות העבודה להקצאת חשבונות מחשב ובדוק אם נדרשים שינויים.
-
בצע את פעולת ההצטרפות באמצעות אותו חשבון שיצר את חשבון המחשב בתחום היעד.
-
אם החשבון הקיים מיושמע (לא בשימוש), מחק אותו לפני שתנסה שוב להצטרף לתחום.
-
שנה את שם המחשב והצטרף באמצעות חשבון אחר שאינו קיים כבר.
-
אם החשבון הקיים נמצא בבעלות מנהל אבטחה מהימן ומנהל מערכת מעוניין לעשות שימוש חוזר בחשבון, בצע את ההנחיות בסעיף 'בצע פעולה' כדי להתקין את עדכוני Windows בספטמבר 2023 ואילך וקבע תצורה של רשימת התרה.
Nonsolutions
-
אל תוסיף חשבונות שירות או תקצה חשבונות לקבוצת האבטחה Domain Admins.
-
אל תערוך באופן ידני את מתאר האבטחה בחשבונות מחשב בניסיון להגדיר מחדש את הבעלות על חשבונות אלה, אלא אם חשבון הבעלים הקודם נמחק. על אף שעריכת הבעלים תאפשר לבדיקה החדשה להצליח, חשבון המחשב עשוי לשמור על אותן הרשאות שעלולות להיות מסתכן ולא רצויות עבור הבעלים המקורי, אלא אם כן נבדק והוסר במפורש.
יומני אירועים חדשים
|
יומן אירועים |
מערכת |
|
מקור האירוע |
תשובת תשובות |
|
מזהה האירוע |
4100 |
|
סוג אירוע |
אינפורמטיבי |
|
טקסט אירוע |
"במהלך הצטרפות לתחום, בקר התחום פנה מצא חשבון מחשב קיים ב- Active Directory בשם זהה. הותר ניסיון להשתמש מחדש בחשבון זה. בקר תחום שבו חפשו: <שם בקר התחום>DN של חשבון מחשב קיים: <DN של חשבון>. ראה https://go.microsoft.com/fwlink/?linkid=2202145 לקבלת מידע נוסף. |
|
יומן אירועים |
מערכת |
|
מקור האירוע |
תשובת תשובות |
|
מזהה האירוע |
4101 |
|
סוג אירוע |
שגיאה |
|
טקסט אירוע |
במהלך הצטרפות לתחום, בקר התחום פנה מצא חשבון מחשב קיים ב- Active Directory בשם זהה. הניסיון להשתמש מחדש בחשבון זה נמנע מסיבות אבטחה. בקר תחום שבו התבצע חיפוש: DN של חשבון מחשב קיים: קוד השגיאה <קוד>. ראה https://go.microsoft.com/fwlink/?linkid=2202145 לקבלת מידע נוסף. |
רישום באגים זמין כברירת מחדל (אין צורך להפוך רישום מילולי לזמין) ב- C:\Windows\איתור באגים\netsetup.log כל מחשבי הלקוח.
דוגמה לרישום איתור באגים שנוצר כאשר השימוש מחדש בחשבון נמנע מסיבות אבטחה:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
אירועים חדשים שנוספו במרץ 2023
עדכון זה מוסיף ארבעה (4) אירועים חדשים ביומן המערכת בבקר התחום באופן הבא:
|
רמת אירוע |
אינפורמטיבי |
|
מזהה אירוע |
16995 |
|
יומן רישום |
מערכת |
|
מקור האירוע |
Directory-Services-SAM |
|
טקסט אירוע |
מנהל חשבון האבטחה משתמש במת מתאר האבטחה שצוין לאימות ניסיונות שימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום. ערך SDDL: <מחרוזת SDDL> רשימת התרות זו מוגדרת באמצעות מדיניות קבוצתית ב- Active Directory. לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
רמת אירוע |
שגיאה |
|
מזהה אירוע |
16996 |
|
יומן רישום |
מערכת |
|
מקור האירוע |
Directory-Services-SAM |
|
טקסט אירוע |
מתאר האבטחה המכיל את רשימת התראות לשימוש מחדש בחשבון המחשב המשמש לאימות הצטרפות לתחום של בקשות לקוח פגום. ערך SDDL: <מחרוזת SDDL> רשימת התרות זו מוגדרת באמצעות מדיניות קבוצתית ב- Active Directory. כדי לפתור בעיה זו, מנהל מערכת יצטרכו לעדכן את המדיניות כדי להגדיר ערך זה מתאר אבטחה חוקי או להפוך אותו ללא זמין. לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
רמת אירוע |
שגיאה |
|
מזהה אירוע |
16997 |
|
יומן רישום |
מערכת |
|
מקור האירוע |
Directory-Services-SAM |
|
טקסט אירוע |
מנהל חשבון האבטחה מצא חשבון מחשב שרשום כי הוא מיותם, ללא בעלים קיים. חשבון מחשב: S-1-5-xxx בעלי חשבון מחשב: S-1-5-xxx לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
רמת אירוע |
שלט אזהרה |
|
מזהה אירוע |
16998 |
|
יומן רישום |
מערכת |
|
מקור האירוע |
Directory-Services-SAM |
|
טקסט אירוע |
מנהל חשבון האבטחה דחה בקשת לקוח לשימוש מחדש בחשבון מחשב במהלך הצטרפות לתחום. חשבון המחשב וזהות הלקוח לא עומדים בבדיקת אימות האבטחה. חשבון לקוח: S-1-5-xxx חשבון מחשב: S-1-5-xxx בעלי חשבון מחשב: S-1-5-xxx בדוק את נתוני הרשומה של אירוע זה עבור קוד שגיאת NT. לקבלת מידע נוסף, ראה http://go.microsoft.com/fwlink/?LinkId=2202145. |
במידת הצורך, netsetup.log יכול לתת מידע נוסף.
בעיות ידועות
|
בעיה 1 |
לאחר התקנת העדכונים של 12 בספטמבר 2023 ואילך, הצטרפות לתחום עלולה להיכשל בסביבות שבהן מוגדרת המדיניות הבאה: גישה לרשת - הגבלת לקוחות המותרים לבצע שיחות מרוחקות ל- SAM - אבטחת Windows | Microsoft Learn. זאת משום שמחשבי לקוח מבצעים כעת שיחות SAMRPC מאומתות לבקר התחום כדי לבצע בדיקות אימות אבטחה הקשורות לשימוש חוזר בחשבונות מחשב. פעולה זו צפויה. כדי להתאים לשינוי זה, מנהלי מערכת צריכים לשמור את מדיניות SAMRPC של בקר התחום בהגדרות ברירת המחדל או לכלול במפורש את קבוצת המשתמשים שמבצעת את הצטרפות התחום בהגדרות SDDL כדי להעניק להם הרשאה. דוגמה מקובץ netsetup.log שבו אירעה בעיה זו: |
|
בעיה 2 |
אם חשבון בעלי המחשב נמחק וניסיון לעשות שימוש חוזר בחשבון המחשב מתרחש, האירוע 16997 יירשם ביומן האירועים של המערכת. במקרה כזה, זה בסדר להקצות מחדש בעלות לחשבון או לקבוצה אחרים. |
|
בעיה 3 |
אם רק ללקוח יש את העדכון מ- 14 במרץ 2023 ואילך, בדיקת המדיניות של Active Directory תחזיר 0x32 STATUS_NOT_SUPPORTED. ההבדקות הקודמות שהושמו בתיקונים חמים של נובמבר יחולו כפי שמוצג להלן: |
