Lưu ý: Cập nhật vào 13/08/2024; xem hành vi ngày 13 tháng 8 năm 2024
Tóm tắt
Các bản cập nhật Windows được phát hành vào và sau ngày 11 tháng 10 năm 2022, chứa các tùy chọn bảo vệ bổ sung được giới thiệu trong CVE-2022-38042. Những biện pháp bảo vệ này cố ý ngăn các thao tác nối miền sử dụng lại tài khoản máy tính hiện có trong miền đích trừ khi:
-
Người dùng cố gắng thao tác là người tạo ra tài khoản hiện có.
Hoặc
-
Máy tính được tạo ra bởi một thành viên của người quản trị tên miền.
Hoặc
-
Chủ sở hữu của tài khoản máy tính đang được tái sử dụng là một thành viên của "Bộ kiểm soát miền: Cho phép tài khoản máy tính tái sử dụng trong khi tham gia miền." Thiết đặt Chính sách Nhóm. Cài đặt này yêu cầu cài đặt các bản cập nhật Windows được phát hành vào hoặc sau ngày 14 tháng 3 năm 2023 trên TẤT CẢ các máy tính thành viên và bộ kiểm soát miền.
Các bản cập nhật được phát hành vào và sau ngày 14 tháng 3 năm 2023 và ngày 12 tháng 9 năm 2023, sẽ cung cấp các tùy chọn bổ sung cho khách hàng bị ảnh hưởng trên Windows Server 2012 R2 trở lên và tất cả các máy khách được hỗ trợ. Để biết thêm thông tin, hãy xem phần Hành vi ngày 11 tháng 10 năm 2022và Thực hiện Hành động.
Ghi Bài viết này trước đây đã tham chiếu khóa đăng ký NetJoinLegacyAccountReuse . Kể từ ngày 13 tháng 8 năm 2024, khóa đăng ký này và các tài liệu tham khảo trong bài viết này đã bị loại bỏ.
Hành vi trước ngày 11 tháng Mười năm 2022
Trước khi bạn cài đặt bản cập nhật tích lũy ngày 11 tháng 10 năm 2022 trở lên, truy vấn máy tính khách Active Directory cho tài khoản hiện có có cùng tên. Truy vấn này xảy ra trong quá trình cung cấp tài khoản máy tính và tham gia miền. Nếu tài khoản đó tồn tại, khách hàng sẽ tự động tìm cách sử dụng lại tài khoản đó.
Ghi Nỗ lực tái sử dụng sẽ không thành công nếu người dùng cố gắng thực hiện thao tác tham gia miền không có quyền ghi thích hợp. Tuy nhiên, nếu người dùng có đủ quyền tham gia miền sẽ thành công.
Có hai kịch bản cho tham gia miền với các hành vi mặc định tương ứng và cờ như sau:
-
Domain Join (NetJoinDomain)
-
Mặc định để sử dụng lại tài khoản (trừ khi NETSETUP_NO_ACCT_REUSE được chỉ định)
-
-
Cung cấp tài khoản (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Mặc định là KHÔNG sử dụng lại (trừ khi NETSETUP_PROVISION_REUSE_ACCOUNT xác định.)
-
Hành vi ngày 11 tháng 10 năm 2022
Sau khi bạn cài đặt bản cập nhật tích lũy Windows ngày 11 tháng 10 năm 2022 trở lên trên máy tính khách, trong quá trình tham gia miền, máy khách sẽ thực hiện kiểm tra bảo mật bổ sung trước khi tìm cách sử dụng lại tài khoản máy tính hiện có. Thuật toán:
-
Lần thử tái sử dụng tài khoản sẽ được cho phép nếu người dùng cố gắng thực hiện thao tác là người tạo tài khoản hiện có.
-
Cố gắng tái sử dụng tài khoản sẽ được cho phép nếu tài khoản được tạo bởi một thành viên của người quản trị miền.
Những kiểm tra bảo mật bổ sung được thực hiện trước khi cố gắng tham gia vào máy tính. Nếu việc kiểm tra thành công, phần còn lại của thao tác nối sẽ tuân theo quyền Active Directory như trước đây.
Thay đổi này không ảnh hưởng đến tài khoản mới.
Lưu ý Sau khi cài đặt bản cập nhật tích lũy Windows ngày 11 tháng 10 năm 2022 trở lên, việc tham gia miền bằng tài khoản máy tính tái sử dụng có thể không thành công do lỗi sau:
Lỗi 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Đã tồn tại một tài khoản có cùng tên trong Active Directory. Việc tái sử dụng tài khoản đã bị chính sách bảo mật chặn."
Nếu có, tài khoản đang cố tình được bảo vệ bởi hành vi mới.
ID Sự kiện 4101 sẽ được kích hoạt sau khi xảy ra lỗi ở trên và sự cố sẽ được đăng nhập vào c:\windows\debug\netsetup.log. Vui lòng làm theo các bước bên dưới trong Thực hiện Hành động để hiểu rõ sự cố và khắc phục sự cố.
Hành vi ngày 14 tháng 3 năm 2023
Trong các bản cập nhật Windows được phát hành vào hoặc sau ngày 14 tháng 3 năm 2023, chúng tôi đã thực hiện một số thay đổi đối với việc c cố định bảo mật. Những thay đổi này bao gồm tất cả những thay đổi mà chúng tôi đã thực hiện trong ngày 11 tháng 10 năm 2022.
Trước tiên, chúng tôi mở rộng phạm vi của các nhóm được miễn giảm cứng này. Ngoài Người quản trị Miền, người quản trị Doanh nghiệp và nhóm Người quản trị Tích hợp sẵn giờ đây được miễn kiểm tra quyền sở hữu.
Thứ hai, chúng tôi đã triển khai một thiết đặt Chính sách Nhóm mới. Người quản trị có thể sử dụng danh sách này để chỉ định danh sách cho phép các chủ sở hữu tài khoản máy tính đáng tin cậy. Tài khoản máy tính sẽ bỏ qua kiểm tra bảo mật nếu một trong những điều sau là đúng:
-
Tài khoản thuộc sở hữu của người dùng được chỉ định là chủ sở hữu đáng tin cậy trong Chính sách Nhóm "Bộ kiểm soát miền: Cho phép sử dụng lại tài khoản máy tính trong khi tham gia miền".
-
Tài khoản thuộc sở hữu của người dùng là thành viên của một nhóm được chỉ định là chủ sở hữu đáng tin cậy trong Chính sách Nhóm "Bộ kiểm soát miền: Cho phép sử dụng lại tài khoản máy tính trong khi tham gia miền".
Để sử dụng Chính sách Nhóm mới này, bộ điều khiển miền và máy tính thành viên phải nhất quán cài đặt bản cập nhật ngày 14 tháng 3 năm 2023 hoặc mới hơn. Một số bạn có thể có các tài khoản cụ thể mà bạn sử dụng trong việc tạo tài khoản máy tính tự động. Nếu các tài khoản đó an toàn khỏi bị lạm dụng và bạn tin tưởng chúng để tạo tài khoản máy tính, bạn có thể miễn trừ các tài khoản đó. Bạn vẫn sẽ được bảo mật chống lại lỗ hổng ban đầu được giảm thiểu bởi các bản cập nhật Windows ngày 11 tháng 10 năm 2022.
Hành vi ngày 12 tháng 9 năm 2023
Trong các bản cập nhật Windows được phát hành vào hoặc sau ngày 12 tháng 9 năm 2023, chúng tôi đã thực hiện một số thay đổi bổ sung đối với việc cấu trúc bảo mật. Những thay đổi này bao gồm tất cả những thay đổi mà chúng tôi đã thực hiện trong ngày 11 tháng 10 năm 2022 và những thay đổi từ ngày 14 tháng 3 năm 2023.
Chúng tôi đã khắc phục sự cố trong đó việc tham gia miền bằng cách sử dụng xác thực thẻ thông minh không thành công bất kể cài đặt chính sách. Để khắc phục sự cố này, chúng tôi đã di chuyển các kiểm tra bảo mật còn lại về Bộ kiểm soát Miền. Vì vậy, sau bản cập nhật bảo mật tháng 9 năm 2023, máy khách thực hiện cuộc gọi SAMRPC xác thực cho bộ kiểm soát miền để thực hiện kiểm tra xác thực bảo mật liên quan đến tái sử dụng tài khoản máy tính.
Tuy nhiên, điều này có thể khiến không thể tham gia miền trong các môi trường có chính sách sau đây được đặt: Truy nhập mạng: Hạn chế máy khách được phép thực hiện cuộc gọi từ xa với SAM. Vui lòng xem mục "Sự cố Đã biết" để biết thông tin về cách giải quyết sự cố này.
Hành vi ngày 13 tháng 8 năm 2024
Trong các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 8 năm 2024, chúng tôi đã khắc phục tất cả các sự cố đã biết về khả năng tương thích với chính sách Cho phép. Chúng tôi cũng đã loại bỏ hỗ trợ cho khóa NetJoinLegacyAccountReuse . Hành vi cứng sẽ tồn tại bất kể cài đặt chính. Các phương pháp thích hợp để thêm miễn trừ được liệt kê trong phần Thực hiện Hành động dưới đây.
Thực hiện Hành động
Đặt cấu hình chính sách danh sách cho phép mới bằng cách sử dụng Chính sách Nhóm trên bộ kiểm soát miền và loại bỏ mọi giải pháp thay thế phía máy khách kế thừa. Sau đó, hãy làm như sau:
-
Bạn phải cài đặt bản cập nhật ngày 12 tháng 9 năm 2023 hoặc mới hơn trên tất cả các máy tính thành viên và bộ kiểm soát miền.
-
Trong chính sách nhóm mới hoặc hiện có áp dụng cho tất cả các bộ kiểm soát miền, hãy đặt cấu hình thiết đặt theo các bước dưới đây.
-
Trong Cấu hình Máy tính\Chính sách\Cài đặt Windows\ Cài đặt Bảo mật\Chính sách Cục bộ\Tùy chọn Bảo mật, bấm đúp vào Bộ điều khiển miền: Cho phép sử dụng lại tài khoản máy tính trong khi tham gia miền.
-
Chọn Xác định cài đặt chính sách này <Sửa Bảo mật...>.
-
Sử dụng bộ chọn đối tượng để thêm người dùng hoặc nhóm người tạo và chủ sở hữu tài khoản máy tính tin cậy vào quyền Cho phép. (Cách thực hành tốt nhất là chúng tôi khuyên bạn nên sử dụng nhóm cho quyền.) Không thêm tài khoản người dùng thực hiện gia nhập miền.
Cảnh báo: Giới hạn tư cách thành viên trong chính sách chỉ cho người dùng đáng tin cậy và tài khoản dịch vụ. Không thêm người dùng đã xác thực, mọi người hoặc các nhóm lớn khác vào chính sách này. Thay vào đó, hãy thêm người dùng và tài khoản dịch vụ tin cậy cụ thể vào các nhóm và thêm các nhóm đó vào chính sách.
-
Chờ khoảng thời gian làm mới Chính sách Nhóm hoặc chạy gpupdate /force trên tất cả các bộ kiểm soát miền.
-
Xác minh rằng khóa đăng ký HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" được điền với SDDL mong muốn. Không chỉnh sửa thủ công sổ đăng ký.
-
Thử gia nhập máy tính đã cài đặt bản cập nhật ngày 12 tháng 9 năm 2023 hoặc mới hơn. Đảm bảo rằng một trong các tài khoản được liệt kê trong chính sách sở hữu tài khoản máy tính. Nếu kết nối miền không thành công, hãy kiểm tra c:\windows\debug\netsetup.log.
Nếu bạn vẫn cần một giải pháp thay thế, hãy xem lại dòng công việc cung cấp tài khoản máy tính và tìm hiểu xem có cần thay đổi hay không.
-
Thực hiện thao tác kết nối bằng chính tài khoản đã tạo tài khoản máy tính trong miền đích.
-
Nếu tài khoản hiện có là tài khoản đã qua sử dụng (không sử dụng), hãy xóa tài khoản đó trước khi tìm cách gia nhập lại miền.
-
Đổi tên máy tính và gia nhập bằng tài khoản khác chưa tồn tại.
-
Nếu tài khoản hiện có thuộc sở hữu của một tài khoản bảo mật đáng tin cậy và người quản trị muốn sử dụng lại tài khoản, hãy làm theo hướng dẫn trong phần Thực hiện Hành động để cài đặt các bản cập nhật Windows tháng 9 năm 2023 trở lên và đặt cấu hình danh sách cho phép.
Không giải quyết
-
Không thêm tài khoản dịch vụ hoặc cung cấp tài khoản vào nhóm bảo mật Người quản trị Miền.
-
Không chỉnh sửa thủ công bộ mô tả bảo mật trên tài khoản máy tính trong nỗ lực xác định lại quyền sở hữu của những tài khoản đó, trừ khi tài khoản chủ sở hữu trước đó đã bị xóa. Trong khi việc chỉnh sửa chủ sở hữu sẽ cho phép kiểm tra mới thành công, tài khoản máy tính có thể vẫn giữ lại các quyền tiềm ẩn rủi ro, không mong muốn cho chủ sở hữu ban đầu trừ khi được xem xét và loại bỏ một cách rõ ràng.
Nhật ký sự kiện mới
Nhật ký sự kiện |
HỆ THỐNG |
Nguồn Sự kiện |
Gia nhập Netjoin |
ID Sự kiện |
4100 |
Loại Sự kiện |
Thông tin |
Văn bản Sự kiện |
"Trong khi tham gia miền, bộ kiểm soát miền đã liên hệ với bạn đã tìm thấy tài khoản máy tính hiện có trong Active Directory có cùng tên. Đã cho phép thử sử dụng lại tài khoản này. Bộ kiểm soát miền đã tìm kiếm: <tên bộ kiểm soát miền>DN tài khoản máy tính hiện có: DN <dẫn DN của tài khoản máy tính>. Hãy xem https://go.microsoft.com/fwlink/?linkid=2202145 để biết thêm thông tin. |
Nhật ký sự kiện |
HỆ THỐNG |
Nguồn Sự kiện |
Gia nhập Netjoin |
ID Sự kiện |
4101 |
Loại Sự kiện |
Lỗi |
Văn bản Sự kiện |
Trong khi tham gia miền, bộ kiểm soát miền đã liên hệ với bạn đã tìm thấy tài khoản máy tính hiện có trong Active Directory có cùng tên. Đã không thể sử dụng lại tài khoản này vì lý do bảo mật. Bộ kiểm soát miền đã tìm kiếm: DN tài khoản máy tính hiện có: Mã lỗi đã <mã lỗi>. Hãy xem https://go.microsoft.com/fwlink/?linkid=2202145 để biết thêm thông tin. |
Ghi nhật ký gỡ lỗi có sẵn theo mặc định (không cần phải bật bất kỳ ghi nhật ký chi tiết nào) trong C:\Windows\Debug\netsetup.log tất cả các máy tính khách.
Ví dụ về việc gỡ lỗi đăng nhập được tạo ra khi tái sử dụng tài khoản bị ngăn chặn vì lý do bảo mật:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Các sự kiện mới được thêm vào tháng 3 năm 2023
Bản cập nhật này thêm bốn (4) sự kiện mới trong nhật ký HỆ THỐNG trên bộ kiểm soát miền như sau:
Mức Sự kiện |
Thông tin |
Id Sự kiện |
16995 |
Nhật trình |
HỆ THỐNG |
Nguồn Sự kiện |
Dịch vụ Thư mục-SAM |
Văn bản Sự kiện |
Người quản lý tài khoản bảo mật đang sử dụng bộ mô tả bảo mật được chỉ định để xác thực các lần thử tái sử dụng tài khoản máy tính trong khi tham gia miền. Giá trị SDDL: <chuỗi SDDL> Danh sách cho phép này được cấu hình thông qua chính sách nhóm trong Active Directory. Để biết thêm thông tin, vui lòng xem http://go.microsoft.com/fwlink/?LinkId=2202145. |
Mức Sự kiện |
Lỗi |
Id Sự kiện |
16996 |
Nhật trình |
HỆ THỐNG |
Nguồn Sự kiện |
Dịch vụ Thư mục-SAM |
Văn bản Sự kiện |
Bộ mô tả bảo mật có chứa danh sách cho phép sử dụng lại tài khoản máy tính đang được sử dụng để xác thực tham gia miền yêu cầu máy khách không đúng định dạng. Giá trị SDDL: <chuỗi SDDL> Danh sách cho phép này được cấu hình thông qua chính sách nhóm trong Active Directory. Để khắc phục sự cố này, người quản trị sẽ cần cập nhật chính sách để đặt giá trị này thành một bộ mô tả bảo mật hợp lệ hoặc tắt nó. Để biết thêm thông tin, vui lòng xem http://go.microsoft.com/fwlink/?LinkId=2202145. |
Mức Sự kiện |
Lỗi |
Id Sự kiện |
16997 |
Nhật trình |
HỆ THỐNG |
Nguồn Sự kiện |
Dịch vụ Thư mục-SAM |
Văn bản Sự kiện |
Người quản lý tài khoản bảo mật đã tìm thấy tài khoản máy tính có vẻ như đang mồ côi và không có chủ sở hữu hiện có. Tài khoản máy tính: S-1-5-xxx Chủ sở hữu tài khoản máy tính: S-1-5-xxx Để biết thêm thông tin, vui lòng xem http://go.microsoft.com/fwlink/?LinkId=2202145. |
Mức Sự kiện |
Cảnh báo |
Id Sự kiện |
16998 |
Nhật trình |
HỆ THỐNG |
Nguồn Sự kiện |
Dịch vụ Thư mục-SAM |
Văn bản Sự kiện |
Người quản lý tài khoản bảo mật đã từ chối yêu cầu máy khách sử dụng lại tài khoản máy tính trong khi tham gia miền. Tài khoản máy tính và danh tính khách hàng không đáp ứng kiểm tra xác thực bảo mật. Tài khoản khách hàng: S-1-5-xxx Tài khoản máy tính: S-1-5-xxx Chủ sở hữu tài khoản máy tính: S-1-5-xxx Kiểm tra dữ liệu bản ghi của sự kiện này cho mã lỗi NT. Để biết thêm thông tin, vui lòng xem http://go.microsoft.com/fwlink/?LinkId=2202145. |
Nếu cần, người quản lý netsetup.log thể cung cấp thêm thông tin.
Sự cố đã biết
Sự cố 1 |
Sau khi cài đặt các bản cập nhật ngày 12 tháng 9 năm 2023 hoặc mới hơn, việc tham gia miền có thể không thành công trong các môi trường mà chính sách sau đây được đặt: Truy nhập mạng - Hạn chế máy khách được phép thực hiện cuộc gọi từ xa với SAM - Bảo mật Windows | Microsoft Learn. Điều này là do máy khách bây giờ thực hiện cuộc gọi SAMRPC xác thực để bộ kiểm soát miền để thực hiện kiểm tra xác thực bảo mật liên quan đến tái sử dụng tài khoản máy tính. Điều này là dự kiến. Để thích ứng với thay đổi này, người quản trị nên giữ chính sách SAMRPC của bộ kiểm soát miền tại thiết đặt mặc định HOẶC một cách rõ ràng bao gồm nhóm người dùng thực hiện tham gia miền trong thiết đặt SDDL để cấp cho họ quyền.Ví dụ từ một netsetup.log đã xảy ra sự cố này:
|
Sự cố 2 |
Nếu tài khoản chủ sở hữu máy tính đã bị xóa và nỗ lực sử dụng lại tài khoản máy tính xảy ra, Sự kiện 16997 sẽ được ghi nhật ký trong nhật ký sự kiện Hệ thống. Nếu điều này xảy ra, bạn có thể gán lại quyền sở hữu cho một tài khoản hoặc nhóm khác. |
Sự cố 3 |
Nếu chỉ máy khách có bản cập nhật ngày 14 tháng 3 năm 2023 trở lên, việc kiểm tra chính sách Active Directory sẽ trả về sau 0x32 STATUS_NOT_SUPPORTED. Các kiểm tra trước đó đã được thực hiện trong hotfixes tháng 11 sẽ áp dụng như sau:
|