KB5020276 — Netjoin: zmiany w zaostrzaniu sprzężenia domeny

Podsumowanie

Aktualizacje systemu Windows wydane 11 października 2022 r. zawierają dodatkowe zabezpieczenia wprowadzone przez program CVE-2022-38042. Te zabezpieczenia celowo uniemożliwiają operacjom dołączania do domeny ponowne używanie istniejącego konta komputera w domenie docelowej, chyba że:

• Użytkownik próbujący akcji jest twórcą istniejącego konta.

  Lub

• Komputer został utworzony przez członka administratora domeny.

  Lub

• Właściciel konta komputera, którego użyto ponownie, jest członkiem "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny". Ustawienie Zasad grupy. To ustawienie wymaga zainstalowania aktualizacji systemu Windows wydanych 14 marca 2023 r. lub później na wszystkich komputerach członków i kontrolerach domeny.

Aktualizacje wydane 14 marca 2023 r. i 12 września 2023 r. będą zapewniać dodatkowe opcje dla klientów, których dotyczy problem, w systemie Windows Server 2012 R2 i w nowszych wersjach oraz dla wszystkich obsługiwanych klientów. Aby uzyskać więcej informacji, zobacz sekcje Zachowanie z 11 października 2022 r. i Wykonywanie akcji .

Nuta Ten artykuł wcześniej odwoływał się do klucza rejestru NetJoinLegacyAccountReuse . Od 13 sierpnia 2024 r. ten klucz rejestru i jego odwołania w tym artykule zostały usunięte. 

Zachowanie przed 11 października 2022 r.

Przed zainstalowaniem aktualizacji zbiorczych z 11 października 2022 r. lub nowszych klient wysyła zapytanie do usługi Active Directory dla istniejącego konta o tej samej nazwie. To zapytanie występuje podczas dołączania do domeny i inicjowania obsługi konta komputera. Jeśli takie konto istnieje, klient automatycznie podejmie próbę jego ponownego użycia.

Nuta Próba ponownego użycia zakończy się niepowodzeniem, jeśli użytkownik, który podejmie próbę dołączenia do domeny, nie ma odpowiednich uprawnień zapisu. Jeśli jednak użytkownik ma wystarczająco dużo uprawnień, sprzężenie do domeny zakończy się pomyślnie.

Istnieją dwa scenariusze dołączania do domeny z odpowiednimi zachowaniami domyślnymi i flagami w następujący sposób:

• Przyłączanie do domeny (NetJoinDomain)

  • Domyślny sposób ponownego użycia konta (o ile nie określono flagi NETSETUP_NO_ACCT_REUSE )

• Inicjowanie obsługi klienta (NetProvisionComputerAccountNetCreateProvisioningPackage).

  • Domyślnie nie należy ponownie używać (o ile nie określono NETSETUP_PROVISION_REUSE_ACCOUNT).

Zachowanie z 11 października 2022 r. 

Po zainstalowaniu aktualizacji zbiorczych systemu Windows z 11 października 2022 r. lub nowszych na komputerze klienckim podczas dołączania do domeny klient wykona dodatkowe testy zabezpieczeń przed podjęciem próby ponownego użycia istniejącego konta komputera. Algorytm:

1. Próba ponownego użycia konta będzie dozwolona, jeśli użytkownik próbujący podjąć operację jest twórcą istniejącego konta.

2. Próba ponownego użycia konta będzie dozwolona, jeśli konto zostało utworzone przez członka administratora domeny.

Te dodatkowe testy zabezpieczeń są wykonywane przed próbą dołączenia do komputera. Jeśli testy zostaną zakończone pomyślnie, pozostała część operacji sprzężenia będzie podlegać uprawnieniom usługi Active Directory, tak jak wcześniej.

Ta zmiana nie ma wpływu na nowe konta.

Uwaga Po zainstalowaniu aktualizacji zbiorczych systemu Windows z 11 października 2022 r. lub nowszych, dołączanie do domeny przy użyciu ponownego użycia konta komputera może celowo zakończyć się niepowodzeniem z następującym błędem:

0xaac błędu (2732): NERR_AccountReuseBlockedByPolicy: "W usłudze Active Directory istnieje konto o tej samej nazwie. Ponowne użycie konta zostało zablokowane przez zasady zabezpieczeń".

Jeśli tak, konto jest celowo chronione przez nowe zachowanie.

Identyfikator zdarzenia 4101 zostanie wyzwolony po wystąpieniu powyższego błędu, a problem zostanie zarejestrowany w \netsetup.log c:\windows\debugowania. Wykonaj poniższe czynności w sekcji Wykonywanie akcji, aby zrozumieć błąd i rozwiązać problem.

Zachowanie z 14 marca 2023 r.

W aktualizacjach systemu Windows wydanych 14 marca 2023 r. lub później wprowadziliśmy kilka zmian w zaostrzaniu zabezpieczeń. Zmiany te obejmują wszystkie zmiany wprowadzone 11 października 2022 r.

Po pierwsze, rozszerzyliśmy zakres grup, które są zwolnione z tego hartowania. Oprócz administratorów domeny grupy Administratorzy przedsiębiorstwa i Administratorzy wbudowani są teraz zwolnione z kontroli własności.

Następnie wdrożyliśmy nowe ustawienie zasad grupy. Za jego pomocą administratorzy mogą określić listę dozwolonych zaufanych właścicieli kont komputerów. Konto komputera ominie sprawdzanie zabezpieczeń, jeśli jest spełniony jeden z następujących warunków:

• Konto jest własnością użytkownika określonego jako zaufany właściciel w zasadach grupy "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny".

• Konto jest własnością użytkownika, który jest członkiem grupy określonej jako zaufany właściciel w zasadach grupy "Kontroler domeny: zezwalaj na ponowne używanie konta komputera podczas dołączania do domeny".

Aby można było korzystać z nowych zasad grupy, kontroler domeny i komputer członkowski muszą mieć zawsze zainstalowaną aktualizację z 14 marca 2023 r. lub nowszą. Niektóre z Was mogą mieć określone konta, których używasz podczas automatycznego tworzenia konta komputera. Jeśli te konta są bezpieczne przed nadużyciami i ufasz im, że utworzysz konta na komputerze, możesz je wykluczyć. Nadal będziesz zabezpieczać się przed pierwotną luką w zabezpieczeniach, która została ograniczona do aktualizacji systemu Windows z 11 października 2022 r.

^{Zachowanie z 12 września 2023 r.}

W aktualizacjach systemu Windows wydanych 12 września 2023 r. lub później wprowadziliśmy kilka dodatkowych zmian w zaostrzaniu zabezpieczeń. Zmiany te obejmują wszystkie zmiany wprowadzone 11 października 2022 r. oraz zmiany z 14 marca 2023 r.

Rozwiązano problem polegający na tym, że przyłączanie do domeny przy użyciu karty inteligentnej nie powiodło się niezależnie od ustawienia zasad. Aby rozwiązać ten problem, przenieśliśmy pozostałe testy zabezpieczeń z powrotem na kontroler domeny. W związku z tym po aktualizacji zabezpieczeń z września 2023 r. komputery klienckie wykonują uwierzytelnione wywołania SAMRPC do kontrolera domeny w celu przeprowadzenia testów sprawdzania poprawności zabezpieczeń związanych z ponownym używaniem kont komputerów.

Może to jednak spowodować niepowodzenie sprzężenia domeny w środowiskach, w których ustawiono następujące zasady : Dostęp do sieci: Ograniczanie klientów uprawnionych do zdalnego nawiązywania połączeń z usługą SAM.  Aby uzyskać informacje na temat sposobu rozwiązania tego problemu, zobacz sekcję "Znane problemy".

Zachowanie z 13 sierpnia 2024 r.

W aktualizacjach systemu Windows wydanych 13 sierpnia 2024 r. lub później rozwiązaliśmy wszystkie znane problemy ze zgodnością związane z zasadami listy dozwolonych. Usunęliśmy również obsługę klucza NetJoinLegacyAccountReuse . Zachowanie zaostrzania będzie się utrzymywać niezależnie od ustawienia. Odpowiednie metody dodawania zwolnień przedstawiono w poniższej sekcji Wykonywanie działań. 

Podejmij działanie

Skonfiguruj nowe zasady listy dozwolonych przy użyciu zasad grupy na kontrolerze domeny i usuń wszelkie starsze obejścia po stronie klienta. Następnie wykonaj następujące czynności:

1. Musisz zainstalować aktualizacje z 12 września 2023 r. lub nowsze na wszystkich komputerach członków i kontrolerach domeny. 

2. W nowych lub istniejących zasadach grupy, które dotyczą wszystkich kontrolerów domeny, skonfiguruj ustawienia w poniższych krokach.

3. W obszarze Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń kliknij dwukrotnie pozycję Kontroler domeny: Zezwalaj na ponowne używanie konta komputera podczas przyłączania do domeny.

4. Wybierz pozycję Zdefiniuj to ustawienie zasad , a <Edytuj zabezpieczenia...>.

5. Użyj selektora obiektów, aby dodać użytkowników lub grupy zaufanych twórców i właścicieli kont komputerowych do uprawnienia Zezwalaj . (Jako najlepsze rozwiązanie zdecydowanie zalecamy używanie grup na potrzeby uprawnień). Nie dodawaj konta użytkownika wykonującego sprzężenie z domeną.

   Ostrzeżenie: Ogranicz członkostwo do zasad do zaufanych użytkowników i kont usług. Nie dodawaj do tych zasad uwierzytelnionych użytkowników, wszystkich ani innych dużych grup. Zamiast tego dodaj konkretnych zaufanych użytkowników i konta usług do grup i dodaj te grupy do zasad.

6. Poczekaj na interwał odświeżania zasad grupy lub uruchom gpupdate /force na wszystkich kontrolerach domeny.

7. Sprawdź, czy klucz rejestru HKLM\System\CCS\Control\SAM — "ComputerAccountReuseAllowList" jest wypełniony odpowiednim rekordem SDDL. Nie edytuj ręcznie rejestru.

8. Spróbuj dołączyć do komputera z zainstalowanymi aktualizacjami z 12 września 2023 r. lub nowszymi. Upewnij się, że jedno z kont wymienionych w zasadach jest właścicielem konta komputera. Jeśli przyłączanie do domeny nie powiedzie się, sprawdź \netsetup.log c:\windows\debugowania.

Jeśli nadal potrzebujesz alternatywnego obejścia, przejrzyj przepływy pracy inicjowania obsługi konta komputera i dowiedz się, czy są wymagane zmiany. 

1. Wykonaj operację sprzężenia przy użyciu tego samego konta, które utworzyło konto komputera w domenie docelowej.

2. Jeśli istniejące konto jest przestarzałe (nieużywane), usuń je przed ponowną próbą dołączenia do domeny.

3. Zmień nazwę komputera i dołącz przy użyciu innego konta, które jeszcze nie istnieje.

4. Jeśli istniejące konto jest własnością zaufanego podmiotu zabezpieczeń i administrator chce ponownie użyć konta, postępuj zgodnie ze wskazówkami w sekcji Wykonywanie akcji, aby zainstalować aktualizacje systemu Windows z września 2023 r. lub nowsze oraz skonfigurować listę dozwolonych.

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Znane problemy

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac