Piezīme.: Atjaunināts 08/13/2024; skatiet rakstu 2024. gada 13. augusta darbība
Kopsavilkums
Windows atjauninājumi, kas izlaisti 2022. gada 11. oktobrī un kas izlaisti pēc tam, satur CVE-2022-38042 ieviestos papildu aizsardzībus. Šīs aizsardzības apzināti neļauj domēna pievienošanas operācijām atkārtoti izmantot mērķa domēnā esošu datora kontu, ja vien:
-
Lietotājs, kas mēģina veikt operāciju, ir esošā konta izveidotājs.
Vai
-
Datoru izveidoja domēna administratoru dalībnieks.
Vai
-
Atkārtoti izmantotā datora konta īpašnieks ir domēna kontrollera "Domēna kontrollera: atļaut datora konta atkārtotu izmantošanu domēna pievienošanas laikā" dalībnieks. grupas politikas iestatījumu. Šim iestatījumam ir nepieciešama Windows atjauninājumu instalēšana, kas izlaista 2023. gada 14. martā vai pēc tam, VISOS dalībnieku datoros un domēnu kontrolleros.
Atjauninājumi, kas izlaisti 2023. gada 14. martā un 2023. gada 12. septembrī, nodrošinās papildu opcijas ietekmētajiem klientiem sistēmā Windows Server 2012 R2 un visos atbalstītajos klientos. Papildinformāciju skatiet 2022. gada 11 . oktobra darbībā un sadaļā Rīcība .
Piezīme Šajā rakstā iepriekš bija atsauce uz NetJoinLegacyAccountReuse reģistra atslēgu. No 2024. gada 13. augusta šī reģistra atslēga un atsauces šajā rakstā tika noņemtas.
Darbība pirms 2022. gada 11. oktobra
Pirms 2022. gada 11. oktobra vai jaunāku atjauninājumu instalēšanas klienta dators pieprasa Active Directory esošam kontam ar tādu pašu nosaukumu. Šis vaicājums tiek izpildīts domēna pievienošanas un datora konta nodrošināšanas laikā. Ja šāds konts pastāv, klients automātiski mēģinās to izmantot atkārtoti.
Piezīme Atkārtotas izmantošanas mēģinājums neizdosies, ja lietotājam, kurš mēģina veikt domēna savienošanu, nav atbilstošo rakstīšanas atļauju. Tomēr, ja lietotājam ir pietiekami daudz atļauju, domēna pievienošana ir sekmīga.
Pastāv divi scenāriji domēna savienojumam ar attiecīgi noklusējuma darbībām un karodziņiem, kā norādīts tālāk.
-
Domain Join (NetJoinDomain)
-
Noklusējums konta atkārtotai izmantošanai ( ja NETSETUP_NO_ACCT_REUSE norādīts karodziņš)
-
-
Kontu nodrošināšana (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Noklusējums NO atkārtotai izmantošanai ( ja NETSETUP_PROVISION_REUSE_ACCOUNT nav norādīta vērtība.)
-
2022. gada 11. oktobra darbība
Pēc 2022. gada 11. oktobra vai jaunāku Windows kumulatīvo atjauninājumu instalēšanas klienta datorā domēna pievienošanas laikā klients veiks papildu drošības pārbaudes, pirms mēģināsit atkārtoti izmantot esošu datora kontu. Algoritms:
-
Konta atkārtotas izmantošanas mēģinājums tiks atļauts, ja lietotājs mēģinās veikt darbību ar esošā konta veidotāju.
-
Konta atkārtotas izmantošanas mēģinājums tiks atļauts, ja kontu ir izveidojis domēna administratoru dalībnieks.
Šīs papildu drošības pārbaudes tiek veiktas pirms pievienošanās datoram. Ja pārbaudes ir sekmīgas, uz pārējo pievienošanās operāciju attiecas Active Directory atļaujas kā iepriekš.
Šīs izmaiņas neietekmē jaunos kontus.
Piezīme Pēc 2022. gada 11. oktobra vai jaunāku Windows kumulatīvo atjauninājumu instalēšanas domēna savienojums ar datora kontu atkārtoti var būt tīšām neizdoties ar šādu kļūdu:
Kļūdas 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Pakalpojumā Active Directory ir konts ar tādu pašu nosaukumu. Konta atkārtota izmantošana tika bloķēta ar drošības politiku."
Šādā gadījumā kontu ar nolūku aizsargā jaunā darbība.
Pēc iepriekš minētās kļūdas parādīšanās notikuma ID 4101 tiek aktivizēts, un problēma tiks reģistrēta c :\windows\atkļūdošanas\netsetup.log. Veiciet tālāk norādītās darbības rakstā Rīcība, lai izprastu neveiksmi un novērstu problēmu.
2023. gada 14. marta darbība
Windows atjauninājumos, kas izlaisti 2023. gada 14. martā vai pēc tam, mēs veicām dažas izmaiņas drošības drošībai. Šīs izmaiņas ietver visas izmaiņas, ko veicām 2022. gada 11. oktobrī.
Vispirms mēs paplašinājām to grupu tvērumu, kuras ir atbrīvotas no šīs rūcības. Papildus domēnu administratoriem, uzņēmuma administratoriem un iebūvētajām administratoru grupām tagad nav jāpārbauda īpašumtiesības.
Otrkārt, mēs ieviesām jaunu grupas politikas iestatījumu. Administratori to var izmantot, lai norādītu uzticamu datoru kontu īpašnieku atļauto sarakstu. Datora konts apiet drošības pārbaudi, ja ir spēkā viens no šiem nosacījumiem:
-
Konts pieder lietotājam, kas grupas politikā "Domēna kontrolleris: atļaut datora kontu atkārtoti izmantot domēna pievienošanas laikā" kā uzticams īpašnieks.
-
Konts pieder lietotājam, kurš ir grupas dalībnieks, grupas politikā "Domēna kontrolleris: atļaut datora kontu atkārtoti izmantot domēna pievienošanas laikā" kā uzticams īpašnieks.
Lai izmantotu šo jauno grupas politiku, domēna kontrollerim un dalībnieka datoram konsekventi ir jābūt instalētam 2023. gada 14. marta vai jaunākas versijas atjauninājumam. Dažiem no jums var būt konkrēti konti, kurus izmantojat automatizētā datora konta izveidei. Ja šo kontu izmantošana ir droša pret ļaunprātīgu izmantošanu un uzticaties viņiem, lai izveidotu datora kontus, varat tos atbrīvot. Jūs joprojām būsiet aizsargāts pret sākotnējo ievainojamību, ko novērš 2022. gada 11. oktobra Windows atjauninājumi.
2023. gada 12. septembra darbība
Windows atjauninājumos, kas izlaisti 2023. gada 12. septembrī vai pēc tam, mēs veicām dažas papildu izmaiņas drošības drošībai. Šīs izmaiņas ietver visas izmaiņas, ko veicām 2022. gada 11. oktobrī, un izmaiņas no 2023. gada 14. marta.
No tika novērsta problēma, kur domēna pievienošana, izmantojot viedkartes autentifikāciju, neizdevās neatkarīgi no politikas iestatījuma. Lai novērstu šo problēmu, pārējās drošības pārbaudes pārvietojām atpakaļ uz domēna kontrolleri. Tāpēc pēc 2023. gada septembra drošības atjauninājuma klientu datori autentificē SAMRPC izsauc domēna kontrollerim drošības validācijas pārbaudes, kas saistītas ar datoru kontu atkārtotu izmantotāju.
Tomēr tas var izraisīt domēna savienojuma atteici vidē, kurā iestatīta šāda politika: Tīkla piekļuve: Ierobežot klientu piekļuvi attālajiem zvaniem uz SAM. Informāciju par to, kā novērst šo problēmu, skatiet sadaļā "Zināmās problēmas".
2024. gada 13. augusta darbība
Windows atjauninājumos, kas izlaisti 2024. gada 13. augustā vai pēc tam, ir novērstas visas zināmās saderības problēmas ar politiku Allowlist. Noņēmām arī atbalstu atslēgu NetJoinLegacyAccountReuse . Rūdīšanas darbība saglabāsies neatkarīgi no atslēgas iestatījuma. Atbilstošas atbrīvošanas pievienošanas metodes ir uzskaitītas tālāk sadaļā Take Action (Veikt darbību).
Rīcība
Konfigurējiet jauno atļauto sarakstu politiku, izmantojot grupas politiku domēna kontrollerī un noņemiet visus mantotos klienta puses risinājumus. Pēc tam rīkojieties šādi:
-
2023. gada 12. septembris ir jāinstalē vai jaunāks atjauninājums visos dalībnieku datoros un domēnu kontrolleros.
-
Jaunā vai esošā grupas politikā, kas attiecas uz visiem domēna kontrolleriem, konfigurējiet iestatījumus tālāk esošajās darbībās.
-
Sadaļā Datora konfigurācija\Politikas\Windows Iestatījumi\Drošības iestatījumi\Lokālās politikas\Drošības opcijas veiciet dubultklikšķi uz Domēna kontrolleris: atļaut datora konta atkārtotu izmantošanu domēna pievienošanas laikā.
-
Atlasiet Definēt šo politikas iestatījumu un <Rediģēt drošību...>.
-
Izmantojiet objektu atlasītāju, lai atļauju atļautu pievienot uzticamu datoru kontu veidotājus un īpašniekus vai grupu lietotājus vai grupas. (Ieteicams izmantot grupas atļauju apmaiņai.) Ne pievienojiet lietotāja kontu, kas veic domēna pievienošanos.
Brīdinājums.: Ierobežot dalību politikā tikai uzticamiem lietotājiem un pakalpojumu kontiem. Šai politikai ne pievienot autentificētus lietotājus, ne visas, ne citas lielas grupas. Tā vietā pievienojiet grupai konkrētus uzticamus lietotājus un pakalpojumu kontus un pievienojiet šīs grupas politikai.
-
Uzgaidiet, līdz grupas politikas atsvaidzināšanas intervāls tiek izpildīts gpupdate /force uz visiem domēna kontrolleriem.
-
Pārliecinieties, vai HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" reģistra atslēga tiek aizpildīta ar vēlamo SDDL. Nerediģējat reģistru manuāli.
-
Mēģiniet pievienoties datoram, kurā ir instalēti 2023. gada 12. septembra vai jaunākas versijas atjauninājumi. Nodrošiniet, lai vienam no politikā minētajiem kontiem būtu datora konta īpašumtiesības. Ja domēna pievienošana neizdodas, pārbaudiet izvēles rūtiņu c:\windows\atkļūdot\netsetup.log.
Ja jums joprojām ir nepieciešams alternatīvs risinājums, pārskatiet datora konta nodrošināšanas darbplūsmas un saprotiet, vai ir nepieciešamas izmaiņas.
-
Veiciet pievienošanās darbību, izmantojot to pašu kontu, kas mērķa domēnā izveidoja datora kontu.
-
Ja esošais konts ir novecošs (neizmantots), izdzēsiet to, pirms mēģināt pievienoties domēnam vēlreiz.
-
Pārdēvējiet datoru un pievienojieties, izmantojot citu kontu, kurš vēl nepastāv.
-
Ja esošais konts pieder uzticamam drošības pamatsummai un administrators vēlas atkārtoti izmantot kontu, izpildiet sadaļā Darbība norādītās darbības norādījumus, lai instalētu 2023. gada septembra vai jaunāku Windows atjauninājumu un konfigurētu atļauto vienumu sarakstu.
Nesolutions
-
Ne add service accounts or provisioning accounts to the Domain Admins security group.
-
Nerediģējat drošības deskriptoru datora kontos, mēģinot atkārtoti definēt šādu kontu īpašumtiesības, ja vien iepriekšējais īpašnieka konts nav izdzēsts. Rediģējot īpašnieku, jaunās pārbaudes ļaus gūt panākumus, datora konts, iespējams, saglabās to pašu iespējamo risku, nevajadzīgas atļaujas sākotnējam īpašniekam, ja vien nav tieši pārskatītas un noņemtas.
Jauni notikumu žurnāli
|
Notikumu žurnāls |
SISTĒMA |
|
Notikuma avots |
Netjoin |
|
Notikuma ID |
4100 |
|
Notikuma tips |
Informācijas |
|
Notikuma teksts |
"Domēna pievienošanas laikā domēna kontrolleris, ar kuru sazinājās, atrada esošu datora kontu pakalpojumā Active Directory ar tādu pašu nosaukumu. Tika atļauts atkārtoti izmantot šo kontu. Domēna kontrollera meklēšana: <domēna kontrollera nosaukuma>Esošā datora konta DN: <DN ceļš datora kontam>. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2202145 šeit: Citi. |
|
Notikumu žurnāls |
SISTĒMA |
|
Notikuma avots |
Netjoin |
|
Notikuma ID |
4101 |
|
Notikuma tips |
Kļūda |
|
Notikuma teksts |
Domēna pievienošanas laikā domēna kontrolleris, ar kuru sazinājās, atrada esošu datora kontu pakalpojumā Active Directory ar tādu pašu nosaukumu. Drošības apsvērumu dēļ tika novērsts mēģinājums atkārtoti izmantot šo kontu. Domēna kontrollera meklēšana: esošā datora konta DN: Kļūdas kods tika <koda>. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2202145 šeit: Citi. |
Atkļūdošanas reģistrēšana ir pieejama pēc noklusējuma (nav jāiespējo jebkāda izvērstā reģistrēšana) C:\Windows\atkļūdošanas\netsetup.log visos klientu datoros.
Atkļūdošanas reģistrēšanas piemērs, kas ģenerēts, ja konta atkārtota izmantošana ir novērsta drošības apsvērumu dēļ:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
2023. gada martā pievienoti jauni notikumi
Šajā atjauninājumā tiek pievienotas četras (4) jaunas notikumi SYSTEM žurnālā domēna kontrollerī šādi:
|
Notikuma līmenis |
Informācijas |
|
Notikuma ID |
16995 |
|
Žurnāla |
SISTĒMA |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma teksts |
Drošības konta pārvaldnieks izmanto norādīto drošības deskriptoru datora konta atkārtotas izmantošanas mēģinājumu validācijai domēna pievienošanās laikā. SDDL vērtība: <SDDL virknes> Šis atļauto vienumu saraksts tiek konfigurēts, izmantojot grupas politiku pakalpojumā Active Directory. Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Notikuma līmenis |
Kļūda |
|
Notikuma ID |
16996 |
|
Žurnāla |
SISTĒMA |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma teksts |
Drošības vienums, kas satur datora konta atkārtotas lietošanas atļauto vienumu sarakstu, kas tiek izmantots, lai validētu klientu pieprasījumu domēna savienojumu, ir nepareizi formatēts. SDDL vērtība: <SDDL virknes> Šis atļauto vienumu saraksts tiek konfigurēts, izmantojot grupas politiku pakalpojumā Active Directory. Lai novērstu šo problēmu, administratoram ir jāatjaunina politika, lai iestatītu šo vērtību kā derīgu drošības deskriptoru vai to atspējotu. Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Notikuma līmenis |
Kļūda |
|
Notikuma ID |
16997 |
|
Žurnāla |
SISTĒMA |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma teksts |
Drošības konta pārvaldnieks atrada datora kontu, kas šķiet bez īpašnieka un kam nav esoša īpašnieka. Datora konts: S-1-5-xxx Datora konta īpašnieks: S-1-5-xxx Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Notikuma līmenis |
Brīdinājums |
|
Notikuma ID |
16998 |
|
Žurnāla |
SISTĒMA |
|
Notikuma avots |
Directory-Services-SAM |
|
Notikuma teksts |
Drošības kontu pārvaldnieks noraidīja klienta pieprasījumu atkārtoti izmantot datora kontu domēna pievienošanās laikā. Datora konts un klienta identitāte neatbilda drošības validācijas pārbaudēm. Klienta konts: S-1-5-xxx Datora konts: S-1-5-xxx Datora konta īpašnieks: S-1-5-xxx Pārbaudiet šī notikuma ierakstu datus, lai iegūtu NT kļūdas kodu. Papildinformāciju skatiet rakstā http://go.microsoft.com/fwlink/?LinkId=2202145. |
Nepieciešamības gadījumā netsetup.log papildinformāciju.
Zināmās problēmas
|
1. problēma |
Pēc 2023. gada 12. septembra vai jaunākas versijas atjauninājumu instalēšanas domēna savienojums var neizdoties vidē, kur iestatīta šāda politika: Tīkla piekļuve — Ierobežot klientu piekļuvi attāliem zvaniem uz SAM — Windows drošība | Microsoft iemācieties. Tas ir tāpēc, ka klienta datori tagad veic autentificētu SAMRPC zvanus domēna kontrollerim, lai veiktu drošības validācijas pārbaudes saistībā ar datoru kontu atkārtotu pārbaudi. Tā ir paredzama. Lai veiktu šīs izmaiņas, administratoriem vai nu jāsaglabā domēna kontrollera SAMRPC politika noklusējuma iestatījumos, VAI tieši jāiekļauj lietotāju grupa, kas izmanto domēna savienojumu SDDL iestatījumos, lai piešķirtu viņiem atļauju. Piemērs no problēmas netsetup.log kur radās šī problēma: |
|
2. problēma |
Ja datora īpašnieka konts ir izdzēsts un notiek mēģinājums atkārtoti izmantot datora kontu, sistēmas notikumu žurnālā tiek reģistrēts notikums 16997. Ja tā notiek, ir pietiekami atkārtoti piešķirt īpašumtiesības citam kontam vai grupai. |
|
3. problēma |
Ja tikai klientam ir 2023. gada 14. marta vai jaunākas versijas atjauninājums, Active Directory politikas pārbaude atgriezīs 0x32 STATUS_NOT_SUPPORTED. Iepriekšējās pārbaudes, kas tika ieviestas novembra labojumfailos, tiks lietotas, kā parādīts tālāk. |
