KB5020276—Netjoin: Miền tham gia các thay đổi cứng

Tóm tắt

Các bản cập nhật Windows được phát hành vào và sau ngày 11 tháng 10 năm 2022, chứa các tùy chọn bảo vệ bổ sung được giới thiệu trong CVE-2022-38042. Những biện pháp bảo vệ này cố ý ngăn các thao tác nối miền sử dụng lại tài khoản máy tính hiện có trong miền đích trừ khi:

• Người dùng cố gắng thao tác là người tạo ra tài khoản hiện có.

  Hoặc

• Máy tính được tạo ra bởi một thành viên của người quản trị tên miền.

  Hoặc

• Chủ sở hữu của tài khoản máy tính đang được tái sử dụng là một thành viên của "Bộ kiểm soát miền: Cho phép tài khoản máy tính tái sử dụng trong khi tham gia miền." Thiết đặt Chính sách Nhóm. Cài đặt này yêu cầu cài đặt các bản cập nhật Windows được phát hành vào hoặc sau ngày 14 tháng 3 năm 2023 trên TẤT CẢ các máy tính thành viên và bộ kiểm soát miền.

Các bản cập nhật được phát hành vào và sau ngày 14 tháng 3 năm 2023 và ngày 12 tháng 9 năm 2023, sẽ cung cấp các tùy chọn bổ sung cho khách hàng bị ảnh hưởng trên Windows Server 2012 R2 trở lên và tất cả các máy khách được hỗ trợ. Để biết thêm thông tin, hãy xem phần Hành vi ngày 11 tháng 10 năm 2022và Thực hiện Hành động.

Ghi Bài viết này trước đây đã tham chiếu khóa đăng ký NetJoinLegacyAccountReuse . Kể từ ngày 13 tháng 8 năm 2024, khóa đăng ký này và các tài liệu tham khảo trong bài viết này đã bị loại bỏ. 

Hành vi trước ngày 11 tháng Mười năm 2022

Trước khi bạn cài đặt bản cập nhật tích lũy ngày 11 tháng 10 năm 2022 trở lên, truy vấn máy tính khách Active Directory cho tài khoản hiện có có cùng tên. Truy vấn này xảy ra trong quá trình cung cấp tài khoản máy tính và tham gia miền. Nếu tài khoản đó tồn tại, khách hàng sẽ tự động tìm cách sử dụng lại tài khoản đó.

Ghi Nỗ lực tái sử dụng sẽ không thành công nếu người dùng cố gắng thực hiện thao tác tham gia miền không có quyền ghi thích hợp. Tuy nhiên, nếu người dùng có đủ quyền tham gia miền sẽ thành công.

Có hai kịch bản cho tham gia miền với các hành vi mặc định tương ứng và cờ như sau:

• Domain Join (NetJoinDomain)

  • Mặc định để sử dụng lại tài khoản (trừ khi NETSETUP_NO_ACCT_REUSE được chỉ định)

• Cung cấp tài khoản (NetProvisionComputerAccountNetCreateProvisioningPackage).

  • Mặc định là KHÔNG sử dụng lại (trừ khi NETSETUP_PROVISION_REUSE_ACCOUNT xác định.)

Hành vi ngày 11 tháng 10 năm 2022 

Sau khi bạn cài đặt bản cập nhật tích lũy Windows ngày 11 tháng 10 năm 2022 trở lên trên máy tính khách, trong quá trình tham gia miền, máy khách sẽ thực hiện kiểm tra bảo mật bổ sung trước khi tìm cách sử dụng lại tài khoản máy tính hiện có. Thuật toán:

1. Lần thử tái sử dụng tài khoản sẽ được cho phép nếu người dùng cố gắng thực hiện thao tác là người tạo tài khoản hiện có.

2. Cố gắng tái sử dụng tài khoản sẽ được cho phép nếu tài khoản được tạo bởi một thành viên của người quản trị miền.

Những kiểm tra bảo mật bổ sung được thực hiện trước khi cố gắng tham gia vào máy tính. Nếu việc kiểm tra thành công, phần còn lại của thao tác nối sẽ tuân theo quyền Active Directory như trước đây.

Thay đổi này không ảnh hưởng đến tài khoản mới.

Lưu ý Sau khi cài đặt bản cập nhật tích lũy Windows ngày 11 tháng 10 năm 2022 trở lên, việc tham gia miền bằng tài khoản máy tính tái sử dụng có thể không thành công do lỗi sau:

Lỗi 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Đã tồn tại một tài khoản có cùng tên trong Active Directory. Việc tái sử dụng tài khoản đã bị chính sách bảo mật chặn."

Nếu có, tài khoản đang cố tình được bảo vệ bởi hành vi mới.

ID Sự kiện 4101 sẽ được kích hoạt sau khi xảy ra lỗi ở trên và sự cố sẽ được đăng nhập vào c:\windows\debug\netsetup.log. Vui lòng làm theo các bước bên dưới trong Thực hiện Hành động để hiểu rõ sự cố và khắc phục sự cố.

Hành vi ngày 14 tháng 3 năm 2023

Trong các bản cập nhật Windows được phát hành vào hoặc sau ngày 14 tháng 3 năm 2023, chúng tôi đã thực hiện một số thay đổi đối với việc c cố định bảo mật. Những thay đổi này bao gồm tất cả những thay đổi mà chúng tôi đã thực hiện trong ngày 11 tháng 10 năm 2022.

Trước tiên, chúng tôi mở rộng phạm vi của các nhóm được miễn giảm cứng này. Ngoài Người quản trị Miền, người quản trị Doanh nghiệp và nhóm Người quản trị Tích hợp sẵn giờ đây được miễn kiểm tra quyền sở hữu.

Thứ hai, chúng tôi đã triển khai một thiết đặt Chính sách Nhóm mới. Người quản trị có thể sử dụng danh sách này để chỉ định danh sách cho phép các chủ sở hữu tài khoản máy tính đáng tin cậy. Tài khoản máy tính sẽ bỏ qua kiểm tra bảo mật nếu một trong những điều sau là đúng:

• Tài khoản thuộc sở hữu của người dùng được chỉ định là chủ sở hữu đáng tin cậy trong Chính sách Nhóm "Bộ kiểm soát miền: Cho phép sử dụng lại tài khoản máy tính trong khi tham gia miền".

• Tài khoản thuộc sở hữu của người dùng là thành viên của một nhóm được chỉ định là chủ sở hữu đáng tin cậy trong Chính sách Nhóm "Bộ kiểm soát miền: Cho phép sử dụng lại tài khoản máy tính trong khi tham gia miền".

Để sử dụng Chính sách Nhóm mới này, bộ điều khiển miền và máy tính thành viên phải nhất quán cài đặt bản cập nhật ngày 14 tháng 3 năm 2023 hoặc mới hơn. Một số bạn có thể có các tài khoản cụ thể mà bạn sử dụng trong việc tạo tài khoản máy tính tự động. Nếu các tài khoản đó an toàn khỏi bị lạm dụng và bạn tin tưởng chúng để tạo tài khoản máy tính, bạn có thể miễn trừ các tài khoản đó. Bạn vẫn sẽ được bảo mật chống lại lỗ hổng ban đầu được giảm thiểu bởi các bản cập nhật Windows ngày 11 tháng 10 năm 2022.

^{Hành vi ngày 12 tháng 9 năm 2023}

Trong các bản cập nhật Windows được phát hành vào hoặc sau ngày 12 tháng 9 năm 2023, chúng tôi đã thực hiện một số thay đổi bổ sung đối với việc cấu trúc bảo mật. Những thay đổi này bao gồm tất cả những thay đổi mà chúng tôi đã thực hiện trong ngày 11 tháng 10 năm 2022 và những thay đổi từ ngày 14 tháng 3 năm 2023.

Chúng tôi đã khắc phục sự cố trong đó việc tham gia miền bằng cách sử dụng xác thực thẻ thông minh không thành công bất kể cài đặt chính sách. Để khắc phục sự cố này, chúng tôi đã di chuyển các kiểm tra bảo mật còn lại về Bộ kiểm soát Miền. Vì vậy, sau bản cập nhật bảo mật tháng 9 năm 2023, máy khách thực hiện cuộc gọi SAMRPC xác thực cho bộ kiểm soát miền để thực hiện kiểm tra xác thực bảo mật liên quan đến tái sử dụng tài khoản máy tính.

Tuy nhiên, điều này có thể khiến không thể tham gia miền trong các môi trường có chính sách sau đây được đặt: Truy nhập mạng: Hạn chế máy khách được phép thực hiện cuộc gọi từ xa với SAM.  Vui lòng xem mục "Sự cố Đã biết" để biết thông tin về cách giải quyết sự cố này.

Hành vi ngày 13 tháng 8 năm 2024

Trong các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 8 năm 2024, chúng tôi đã khắc phục tất cả các sự cố đã biết về khả năng tương thích với chính sách Cho phép. Chúng tôi cũng đã loại bỏ hỗ trợ cho khóa NetJoinLegacyAccountReuse . Hành vi cứng sẽ tồn tại bất kể cài đặt chính. Các phương pháp thích hợp để thêm miễn trừ được liệt kê trong phần Thực hiện Hành động dưới đây. 

Thực hiện Hành động

Đặt cấu hình chính sách danh sách cho phép mới bằng cách sử dụng Chính sách Nhóm trên bộ kiểm soát miền và loại bỏ mọi giải pháp thay thế phía máy khách kế thừa. Sau đó, hãy làm như sau:

1. Bạn phải cài đặt bản cập nhật ngày 12 tháng 9 năm 2023 hoặc mới hơn trên tất cả các máy tính thành viên và bộ kiểm soát miền. 

2. Trong chính sách nhóm mới hoặc hiện có áp dụng cho tất cả các bộ kiểm soát miền, hãy đặt cấu hình thiết đặt theo các bước dưới đây.

3. Trong Cấu hình Máy tính\Chính sách\Cài đặt Windows\ Cài đặt Bảo mật\Chính sách Cục bộ\Tùy chọn Bảo mật, bấm đúp vào Bộ điều khiển miền: Cho phép sử dụng lại tài khoản máy tính trong khi tham gia miền.

4. Chọn Xác định cài đặt chính sách này <Sửa Bảo mật...>.

5. Sử dụng bộ chọn đối tượng để thêm người dùng hoặc nhóm người tạo và chủ sở hữu tài khoản máy tính tin cậy vào quyền Cho phép. (Cách thực hành tốt nhất là chúng tôi khuyên bạn nên sử dụng nhóm cho quyền.) Không thêm tài khoản người dùng thực hiện gia nhập miền.

   Cảnh báo: Giới hạn tư cách thành viên trong chính sách chỉ cho người dùng đáng tin cậy và tài khoản dịch vụ. Không thêm người dùng đã xác thực, mọi người hoặc các nhóm lớn khác vào chính sách này. Thay vào đó, hãy thêm người dùng và tài khoản dịch vụ tin cậy cụ thể vào các nhóm và thêm các nhóm đó vào chính sách.

6. Chờ khoảng thời gian làm mới Chính sách Nhóm hoặc chạy gpupdate /force trên tất cả các bộ kiểm soát miền.

7. Xác minh rằng khóa đăng ký HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" được điền với SDDL mong muốn. Không chỉnh sửa thủ công sổ đăng ký.

8. Thử gia nhập máy tính đã cài đặt bản cập nhật ngày 12 tháng 9 năm 2023 hoặc mới hơn. Đảm bảo rằng một trong các tài khoản được liệt kê trong chính sách sở hữu tài khoản máy tính. Nếu kết nối miền không thành công, hãy kiểm tra c:\windows\debug\netsetup.log.

Nếu bạn vẫn cần một giải pháp thay thế, hãy xem lại dòng công việc cung cấp tài khoản máy tính và tìm hiểu xem có cần thay đổi hay không. 

1. Thực hiện thao tác kết nối bằng chính tài khoản đã tạo tài khoản máy tính trong miền đích.

2. Nếu tài khoản hiện có là tài khoản đã qua sử dụng (không sử dụng), hãy xóa tài khoản đó trước khi tìm cách gia nhập lại miền.

3. Đổi tên máy tính và gia nhập bằng tài khoản khác chưa tồn tại.

4. Nếu tài khoản hiện có thuộc sở hữu của một tài khoản bảo mật đáng tin cậy và người quản trị muốn sử dụng lại tài khoản, hãy làm theo hướng dẫn trong phần Thực hiện Hành động để cài đặt các bản cập nhật Windows tháng 9 năm 2023 trở lên và đặt cấu hình danh sách cho phép.

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Sự cố đã biết

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac