Poznámka: Aktualizované 13.8.2024; pozrite si správanie z 13. augusta 2024
Zhrnutie
Aktualizácie Windowsu vydané 11. októbra 2022 a po ich vydaní obsahujú ďalšie ochrany, ktoré zaviedla verzia CVE-2022-38042. Tieto ochrany zámerne zabraňujú operáciám pripojenia domény opätovne použiť existujúce konto počítača v cieľovej doméne, pokiaľ:
-
Používateľ, ktorý sa pokúša o operáciu, je tvorcom existujúceho konta.
Alebo
-
Počítač vytvoril člen správcov domény.
Alebo
-
Vlastník konta počítača, ktoré sa opätovne používa, je členom radiča domény: Povolenie opätovného použitia konta počítača počas pripojenia k doméne. Nastavenie skupinovej politiky. Toto nastavenie vyžaduje inštaláciu aktualizácií Windowsu vydaných 14. marca 2023 alebo po ich vydaní v počítačoch všetkých členov a radičoch domény.
Aktualizácie vydané 14. marca 2023 a 12. septembra 2023 a po ich vydaní poskytnú ďalším možnosti pre dotknutých zákazníkov v systéme Windows Server 2012 R2 a novších verziách a pre všetkých podporovaných klientov. Ďalšie informácie nájdete v častiach Správanie a Akcia z 11. októbra 2022.
Nota Tento článok predtým odkazoval na kľúč databázy Registry NetJoinLegacyAccountReuse . Od 13. augusta 2024 bol tento kľúč databázy Registry a jeho odkazy v tomto článku odstránené.
Správanie pred 11. októbrom 2022
Pred inštaláciou kumulatívnych aktualizácií z 11. októbra 2022 alebo novšej verzie klientsky počítač dotazuje službu Active Directory na existujúce konto s rovnakým názvom. Tento dotaz sa vyskytuje počas pripájania domény a poskytovania konta počítača. Ak takéto konto existuje, klient sa ho automaticky pokúsi znova použiť.
Nota Pokus o opätovné použitie zlyhá, ak používateľ, ktorý sa pokúsi o operáciu pripojenia k doméne, nemá príslušné povolenia na zápis. Ak má však používateľ dostatočné povolenia, pripojenie k doméne bude úspešné.
Existujú dva scenáre pre pripojenie k doméne s príslušnými predvolenými správaniami a príznakmi takto:
-
Pripojenie k doméne (NetJoinDomain)
-
Predvolené nastavenie opätovného použitia konta (pokiaľ nie je zadaný príznak NETSETUP_NO_ACCT_REUSE )
-
-
Poskytovanie konta (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Predvolene sa použije možnosť ŽIADNE opätovné použitie (pokiaľ nie je zadaná NETSETUP_PROVISION_REUSE_ACCOUNT .)
-
Správanie z 11. októbra 2022
Po inštalácii kumulatívnych aktualizácií Windowsu z 11. októbra 2022 alebo novšej verzie v klientskom počítači vykoná klient počas pripojenia k doméne ďalšie kontroly zabezpečenia pred pokusom o opätovné použitie existujúceho konta počítača. Algoritmus:
-
Pokus o opätovné použitie konta bude povolený, ak používateľ, ktorý sa pokúša o operáciu, je tvorcom existujúceho konta.
-
Pokus o opätovné použitie konta bude povolený, ak konto vytvoril člen správcu domény.
Tieto dodatočné kontroly zabezpečenia sa vykonávajú pred pokusom o pripojenie k počítaču. Ak sú kontroly úspešné, zvyšok operácie pripojenia podlieha povoleniam služby Active Directory ako predtým.
Táto zmena nemá vplyv na nové kontá.
Poznámka Po inštalácii kumulatívnych aktualizácií Windowsu 11. októbra 2022 alebo novšej verzie môže opätovné použitie pripojenia domény s kontom počítača úmyselne zlyhať s nasledujúcou chybou:
Chyba 0xaac (2732): NERR_AccountReuseBlockedByPolicy: V službe Active Directory existuje konto s rovnakým názvom. Opätovné použitie konta bolo zablokované politikou zabezpečenia."
Ak áno, konto je zámerne chránené novým správaním.
Identifikácia udalosti 4101 sa spustí po výskyte vyššie uvedenej chyby a problém sa zapíše do denníka c:\windows\debug\netsetup.log. Ak chcete porozumieť zlyhaniu a vyriešiť problém, postupujte podľa krokov uvedených nižšie v časti Vykonať akciu.
Správanie zo 14. marca 2023
V aktualizáciách Windowsu vydaných 14. marca 2023 alebo po ňom sme vykonali niekoľko zmien v spevnení zabezpečenia. Tieto zmeny zahŕňajú všetky zmeny, ktoré sme vykonali 11. októbra 2022.
Po prvé, rozšírili sme rozsah skupín, ktoré sú oslobodené od tohto stvrdnutia. Okrem správcov domén sú teraz skupiny podnikových správcov a vstavaných správcov vyňaté z kontroly vlastníctva.
Po druhé, implementovali sme nové nastavenie skupinovej politiky. Správcovia ho môžu použiť na zadanie zoznamu povolených dôveryhodných vlastníkov kont počítača. Konto počítača obíde kontrolu zabezpečenia, ak je pravdivá niektorá z nasledujúcich možností:
-
Konto vlastní používateľ zadaný ako dôveryhodný vlastník v skupinovej politike Radič domény: Povoliť opätovné použitie konta počítača počas pripojenia k doméne.
-
Konto vlastní používateľ, ktorý je členom skupiny určenej ako dôveryhodný vlastník v skupinovej politike Radič domény: Povoliť opätovné použitie konta počítača počas pripojenia k doméne.
Ak chcete používať túto novú skupinovú politiku, radič domény a členský počítač musia mať neustále nainštalovanú aktualizáciu zo 14. marca 2023 alebo novšiu. Niektorí z vás môžu mať konkrétne kontá, ktoré používate pri automatickom vytváraní kont v počítači. Ak sú tieto kontá v bezpečí pred zneužitím a dôverujete im pri vytváraní počítačových kont, môžete ich vyňať. Naďalej budete v bezpečí proti pôvodnému nedostatočnému zabezpečeniu zmierneným aktualizáciami Windowsu z 11. októbra 2022.
Správanie z 12. septembra 2023
V aktualizáciách Windowsu vydaných 12. septembra 2023 alebo po ňom sme urobili niekoľko ďalších zmien v spevnení zabezpečenia. Tieto zmeny zahŕňajú všetky zmeny, ktoré sme vykonali 11. októbra 2022, a zmeny vykonané od 14. marca 2023.
Vyriešili sme problém, pri ktorom pripojenie domény pomocou overovania kartou Smart Card zlyhalo bez ohľadu na nastavenie politiky. Na vyriešenie tohto problému sme presunuli zostávajúce kontroly zabezpečenia späť do radiča domény. Preto po aktualizácii zabezpečenia zo septembra 2023 klientske počítače vykonávajú overené volania SAMRPC radiču domény na vykonávanie kontrol overenia zabezpečenia súvisiacich s opätovným pripojením kont počítačov.
Môže to však spôsobiť zlyhanie pripojenia k doméne v prostrediach, v ktorých je nastavená nasledujúca politika: Prístup k sieti: Obmedzte klientov povolených na uskutočňovanie vzdialených volaní do systému SAM. Informácie o riešení tohto problému nájdete v časti Známe problémy.
Správanie z 13. augusta 2024
V aktualizáciách Windowsu vydaných 13. augusta 2024 alebo po ich skončení sme sa zaoberali všetkými známymi problémami kompatibility s politikou Allowlist. Odstránili sme aj podporu pre kľúč NetJoinLegacyAccountReuse . Správanie stvrdnutia bude pretrvávať bez ohľadu na nastavenie kľúča. Vhodné metódy na pridanie výnimiek sú uvedené v časti Prijať akciu nižšie.
Vykonať akciu
Nakonfigurujte novú politiku zoznamu povolených položiek pomocou skupinovej politiky na radiči domény a odstráňte všetky alternatívne riešenia na strane staršieho klienta. Potom postupujte takto:
-
Aktualizácie z 12. septembra 2023 alebo novšej musíte nainštalovať do všetkých počítačov členov a radičov domény.
-
V novej alebo existujúcej skupinovej politike, ktorá sa vzťahuje na všetky radiče domény, nakonfigurujte nastavenia v nasledujúcich krokoch.
-
V časti Konfigurácia počítača\Politiky\Nastavenia systému Windows\Nastavenia zabezpečenia\Lokálne politiky\Možnosti zabezpečenia dvakrát kliknite na radič domény: Povoľte opätovné použitie konta počítača počas pripojenia k doméne.
-
Vyberte položku Definovať toto nastavenie politiky a <Upraviť zabezpečenie...>.
-
Pomocou výberu objektu môžete do povolenia Povoliť pridať používateľov alebo skupiny dôveryhodných tvorcov a vlastníkov počítačových kont. (Ako najvhodnejší postup dôrazne odporúčame, aby ste na povolenia používali skupiny.) Nepridávajte používateľské konto, ktoré vykonáva pripojenie k doméne.
Upozornenie: Obmedzte členstvo na politiku na dôveryhodných používateľov a kontá služieb. Do tejto politiky nepridávajte overených používateľov, všetkých ani iné veľké skupiny. Namiesto toho pridajte konkrétnych dôveryhodných používateľov a kontá služieb do skupín a pridajte tieto skupiny do politiky.
-
Počkajte na interval obnovenia skupinovej politiky alebo spustite gpupdate /force na všetkých radičoch domény.
-
Overte, či je kľúč databázy Registry HKLM\System\CCS\Control\SAM – kľúč databázy Registry ComputerAccountReuseAllowList vyplnený požadovaným kľúčom SDDL. Databázu Registry neupravujte manuálne.
-
Pokúste sa pripojiť k počítaču s nainštalovanou aktualizáciou z 12. septembra 2023 alebo novšou verziou. Skontrolujte, či niektoré z kont uvedených v politike vlastní konto počítača. Ak pripojenie k doméne zlyhá, skontrolujte \netsetup.log c:\windows\debug.
Ak stále potrebujete alternatívne riešenie, skontrolujte pracovné postupy poskytovania konta počítača a zistite, či sú potrebné zmeny.
-
Vykonajte operáciu pripojenia pomocou rovnakého konta, ktoré vytvorilo konto počítača v cieľovej doméne.
-
Ak je existujúce konto zastarané (nepoužíva sa), pred opätovným pokusom o pripojenie k doméne ho odstráňte.
-
Premenujte počítač a pripojte sa pomocou iného konta, ktoré ešte neexistuje.
-
Ak je existujúce konto vo vlastníctve dôveryhodného subjektu zabezpečenia a správca chce konto opätovne použiť, podľa pokynov v časti Prijať akciu nainštalujte aktualizácie Windowsu zo septembra 2023 alebo novšej verzie a nakonfigurujte zoznam povolených položiek.
Nerozpustné
-
Nepridávajte kontá služieb ani kontá poskytovania do skupiny zabezpečenia Správcovia domény.
-
Neupravujte manuálne popisovač zabezpečenia v počítačových kontách v snahe predefinovať vlastníctvo takýchto kont, pokiaľ predchádzajúce konto vlastníka nebolo odstránené. Pri úprave vlastníka sa nové kontroly povolia úspešne, konto počítača si môže ponechať rovnaké potenciálne riskantné a nechcené povolenia pre pôvodného vlastníka, pokiaľ ich explicitne neskontroluje a neodstráni.
Nové denníky udalostí
|
Denník udalostí |
SÚSTAVA |
|
Zdroj udalosti |
Netjoin |
|
Identifikačné číslo udalosti |
4100 |
|
Typ udalosti |
Informačné |
|
Text udalosti |
"Počas pripojenia k doméne kontaktovaný radič domény našiel existujúce konto počítača v službe Active Directory s rovnakým názvom. Pokus o opätovné použitie tohto konta bol povolený. Prehľadávaný radič domény: <názov radiča domény>DN existujúceho konta počítača: <cesta DN konta počítača>. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Denník udalostí |
SÚSTAVA |
|
Zdroj udalosti |
Netjoin |
|
Identifikačné číslo udalosti |
4101 |
|
Typ udalosti |
Chyba |
|
Text udalosti |
Počas pripojenia k doméne kontaktovaný radič domény našiel existujúce konto počítača v službe Active Directory s rovnakým názvom. Pokus o opätovné použitie tohto konta bol z bezpečnostných dôvodov zablokovaný. Prehľadávaný radič domény: DN existujúceho konta počítača: Kód chyby bol <kód chyby>. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2202145. |
Zapisovanie do denníka ladenia je predvolene k dispozícii (nie je potrebné povoliť podrobné zapisovanie do denníka) v C:\Windows\Debug\netsetup.log vo všetkých klientskych počítačoch.
Príklad zapisovania do denníka ladenia vygenerovaného pri zakázaní opätovného použitia konta z bezpečnostných dôvodov:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nové udalosti pridané v marci 2023
Táto aktualizácia pridá štyri (4) nové udalosti v denníku SYSTEM na radiči domény takto:
|
Úroveň udalosti |
Informačné |
|
Identifikácia |
16995 |
|
Klada |
SÚSTAVA |
|
Zdroj udalosti |
Directory-Services-SAM |
|
Text udalosti |
Správca konta zabezpečenia používa zadaný popisovač zabezpečenia na overenie pokusov o opätovné použitie konta počítača počas pripojenia k doméne. Hodnota SDDL: <reťazec SDDL> Tento zoznam povolených položiek je nakonfigurovaný prostredníctvom skupinovej politiky v službe Active Directory. Ďalšie informácie nájdete v http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Úroveň udalosti |
Chyba |
|
Identifikácia |
16996 |
|
Klada |
SÚSTAVA |
|
Zdroj udalosti |
Directory-Services-SAM |
|
Text udalosti |
Popisovač zabezpečenia, ktorý obsahuje konto počítača, opätovne používa zoznam povolených položiek, ktorý sa používa na overovanie klientskych požiadaviek na pripojenie domény, je poškodený. Hodnota SDDL: <reťazec SDDL> Tento zoznam povolených položiek je nakonfigurovaný prostredníctvom skupinovej politiky v službe Active Directory. Ak chcete odstrániť tento problém, správca bude musieť aktualizovať politiku tak, aby nastavil túto hodnotu na platný popisovač zabezpečenia alebo ho zakázal. Ďalšie informácie nájdete v http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Úroveň udalosti |
Chyba |
|
Identifikácia |
16997 |
|
Klada |
SÚSTAVA |
|
Zdroj udalosti |
Directory-Services-SAM |
|
Text udalosti |
Správca konta zabezpečenia našiel konto počítača, ktoré je pravdepodobne osamotené a nemá existujúceho vlastníka. Konto počítača: S-1-5-xxx Vlastník konta počítača: S-1-5-xxx Ďalšie informácie nájdete v http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Úroveň udalosti |
Upozornenie |
|
Identifikácia |
16998 |
|
Klada |
SÚSTAVA |
|
Zdroj udalosti |
Directory-Services-SAM |
|
Text udalosti |
Správca konta zabezpečenia odmietol požiadavku klienta na opätovné použitie konta počítača počas pripojenia k doméne. Konto počítača a identita klienta nespĺňali kontroly overenia zabezpečenia. Klientske konto: S-1-5-xxx Konto počítača: S-1-5-xxx Vlastník konta počítača: S-1-5-xxx Skontrolujte údaje záznamu tejto udalosti pre kód chyby NT. Ďalšie informácie nájdete v http://go.microsoft.com/fwlink/?LinkId=2202145. |
V prípade potreby môže netsetup.log poskytnúť ďalšie informácie.
Známe problémy
|
Problém 1 |
Po inštalácii aktualizácií z 12. septembra 2023 alebo novšej verzie môže pripojenie k doméne zlyhať v prostrediach, v ktorých je nastavená nasledujúca politika: Prístup k sieti – Obmedzenie prístupu klientov povolených na uskutočňovanie vzdialených volaní do sam – Zabezpečenie systému Windows | Microsoft Learn. Dôvodom je, že klientske počítače teraz vykonávajú overené volania SAMRPC radiču domény na vykonávanie kontrol overenia zabezpečenia súvisiacich s opätovným používaním kont počítačov. Toto sa očakáva. Aby sa táto zmena prispôsobila, správcovia by mali buď ponechať politiku SAMRPC radiča domény v predvolených nastaveniach, alebo explicitne zahrnúť skupinu používateľov, ktorá vykonáva pripojenie k doméne v nastaveniach SDDL, aby im udelili povolenie. Príklad z netsetup.log, v ktorom sa vyskytol tento problém: |
|
Problém 2 |
Ak bolo konto vlastníka počítača odstránené a vyskytne sa pokus o opätovné použitie konta počítača, udalosť 16997 sa zapíše do denníka udalostí systému. Ak k tomu dôjde, je v poriadku znova priradiť vlastníctvo k inému kontu alebo skupine. |
|
Problém 3 |
Ak má klient aktualizáciu z 14. marca 2023 alebo novšiu, kontrola politiky služby Active Directory vráti 0x32 STATUS_NOT_SUPPORTED. Predchádzajúce kontroly, ktoré boli implementované v novembrových rýchlych opravách, sa použijú, ako je to znázornené nižšie: |
