Vihje: Jos haluat tarkastella uutta tai muokattua tammikuun 2024 sisältöä, tutustu artikkelin [Tammikuu 2024 - Aloitus] ja [End - January 2024] -tunnisteisiin.
Yhteenveto
11. lokakuuta 2022 ja sen jälkeen julkaistut Windows-päivitykset sisältävät lisäsuojauksia, jotka CVE-2022-38042 on ottanut käyttöön. Nämä suojaukset estävät tarkoituksellisesti toimialueeseen liittymistoimintoja käyttämästä uudelleen aiemmin luotua tietokonetiliä kohdetoimialueella, paitsi jos:
-
Käyttäjä, joka yrittää toimintoa, on olemassa olevan tilin luoja.
Tai
-
Tietokoneen on luonut toimialueen järjestelmänvalvojien jäsen.
Tai
-
Uudelleenkäytettävien tietokonetilien omistaja kuuluu toimialueen ohjauskoneeseen: Salli tietokonetilin uudelleenkäyttö toimialueeseen liittymisen aikana. ryhmäkäytäntö asetus. Tämä asetus edellyttää 14. maaliskuuta 2023 tai sen jälkeen julkaistujen Windows-päivitysten asentamista KAIKKIIN jäsentietokoneisiin ja toimialueen ohjauskoneisiin.
Päivitykset julkaistu 14. maaliskuuta 2023 ja 12. syyskuuta 2023 jälkeen, tarjoaa lisävaihtoehtoja asiakkaille, joita ongelma koskee Windows Server 2012 R2:ssa ja sitä ennen, sekä kaikille tuetuille asiakkaille. Lisätietoja on 11.10.2022 julkaistuissa toiminta- ja Toimintatoimet-osioissa .
Toiminta ennen 11. lokakuuta 2022
Ennen kuin asennat 11. lokakuuta 2022 tai uudemmat kumulatiiviset päivitykset, asiakastietokone etsii Active Directorysta samannimistä tiliä. Tämä kysely suoritetaan toimialueeseen liittymisen ja tietokonetilien valmistelun aikana. Jos tällainen tili on olemassa, asiakas yrittää automaattisesti käyttää sitä uudelleen.
Huomautus Uudelleenkäyttöyritys epäonnistuu, jos toimialueen liittymistoimintoa yrittävällä käyttäjällä ei ole asianmukaisia kirjoitusoikeuksia. Jos käyttäjällä on kuitenkin riittävästi käyttöoikeuksia, toimialueeseen liittyminen onnistuu.
Toimialueeseen liittymiselle on kaksi skenaariota, joissa käytetään oletustoimintoja ja -merkintöjä seuraavasti:
-
Domain Join (NetJoinDomain)
-
Tilin uudelleenkäytön oletusarvot (ellei NETSETUP_NO_ACCT_REUSE merkintää ole määritetty)
-
-
Tilin valmistelu (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Oletusarvona EI uudelleenkäyttöä (ellei NETSETUP_PROVISION_REUSE_ACCOUNT ole määritetty.)
-
11. lokakuuta 2022 -toiminta
Kun olet asentanut 11. lokakuuta 2022 tai uudemman Windowsin kumulatiivisen päivityksen asiakastietokoneelle, asiakas suorittaa toimialueeseen liittymisen aikana lisäsuojaustarkistuksia ennen kuin yrittää käyttää aiemmin luotua tietokonetiliä uudelleen. Algoritmi:
-
Tilin uudelleenkäyttöyritys on sallittu, jos toimintoa käyttävä käyttäjä on olemassa olevan tilin luoja.
-
Tilin uudelleenkäyttöyritys on sallittu, jos tilin on luonut toimialueen järjestelmänvalvojien jäsen.
Nämä lisäsuojaustarkistukset tehdään ennen tietokoneeseen liittymistä. Jos tarkistukset onnistuvat, muut liittymistoiminnot ovat Active Directory -käyttöoikeuksien alaisia, kuten ennenkin.
Tämä muutos ei vaikuta uusiin tileihin.
Huomautus Kun olet asentanut 11. lokakuuta 2022 tai uudemmat Windowsin kumulatiiviset päivitykset, toimialueeseen liittyminen tietokonetilin uudelleenkäytöllä saattaa tarkoituksellisesti epäonnistua seuraavalla virheellä:
Virhe 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Active Directoryssa on samanniminen tili. Suojauskäytäntö esti tilin uudelleenkäytön."
Jos näin on, uusi toiminta suojaa tiliä tarkoituksellisesti.
Tapahtumatunnus 4101 käynnistyy, kun yllä oleva virhe ilmenee ja ongelma kirjataan sisään c:\windows\debug\netsetup.log. Noudata alla olevia ohjeita kohdassa Toimi, jotta ymmärrät virheen ja ratkaiset ongelman.
14. maaliskuuta 2023 -toiminta
Windows-päivityksissä, jotka julkaistiin 14. maaliskuuta 2023 tai sen jälkeen, olemme tehneet muutamia muutoksia suojauksen kovettumiseen. Nämä muutokset sisältävät kaikki muutokset, jotka teimme 11. lokakuuta 2022.
Laajensimme ensin niiden ryhmien laajuutta, jotka on vapautettu tästä kovettumisesta. Toimialueen järjestelmänvalvojien lisäksi yrityksen järjestelmänvalvojat ja sisäiset järjestelmänvalvojaryhmät on nyt vapautettu omistajuuden tarkistuksesta.
Toiseksi olemme ottaneet käyttöön uuden ryhmäkäytäntö asetuksen. Järjestelmänvalvojat voivat sen avulla määrittää sallittujen tietokonetilien omistajien luettelon. Tietokonetili ohittaa suojaustarkistuksen, jos jokin seuraavista on tosi:
-
Tilin omistaa käyttäjä, joka on määritetty luotetuksi omistajaksi Toimialueen ohjauskone: Salli tietokonetilin uudelleenkäyttö toimialueeseen liittymisen aikana -ryhmäkäytäntö.
-
Tilin omistaa käyttäjä, joka kuuluu ryhmään, joka on määritetty luotetuksi omistajaksi Toimialueen ohjauskone: Salli tietokonetilin uudelleenkäyttö toimialueeseen liittymisen aikana -ryhmäkäytäntö.
Jotta voit käyttää tätä uutta ryhmäkäytäntö, toimialueen ohjauskoneella ja jäsentietokoneella on oltava 14. maaliskuuta 2023 tai uudempi päivitys asennettuna. Joillakin voi olla tiettyjä tilejä, joita käytät automaattisessa tietokonetilien luonnissa. Jos nämä tilit ovat turvassa väärinkäytöksiltä ja luotat heidän luottavan tietokonetilien luomiseen, voit vapauttaa ne. 11. lokakuuta 2022 julkaistut Windows-päivitykset lieventävät edelleen alkuperäistä haavoittuvuutta.
12. syyskuuta 2023 -toiminta
Windows-päivityksissä, jotka julkaistiin 12. syyskuuta 2023 tai sen jälkeen, olemme tehneet muutamia lisämuutoksia suojauksen kovennukseen. Nämä muutokset sisältävät kaikki muutokset, jotka teimme 11. lokakuuta 2022, ja muutokset 14. maaliskuuta 2023.
Korjattu ongelma, jossa toimialueeseen liittyminen älykorttitodennuksen avulla epäonnistui käytäntöasetuksesta riippumatta. Tämän ongelman korjaamiseksi siirsimme jäljellä olevat suojaustarkistukset takaisin toimialueen ohjauskoneeseen. Tämän vuoksi syyskuun 2023 suojauspäivityksen jälkeen asiakaskoneet soittamalla todennettuja SAMRPC-kutsuja toimialueen ohjauskoneeseen tietokonetilien uudelleenkäyttämiseen liittyvien suojaustarkistusten suorittamiseksi.
Tämä voi kuitenkin aiheuttaa toimialueen liittymisen epäonnistumisen ympäristöissä, joissa on määritetty seuraava käytäntö: Verkon käyttö: Asiakasohjelmien salliminen soittaa etäpuheluita SAM-verkkoon. Katso "Tunnetut ongelmat" -osiosta lisätietoja tämän ongelman ratkaisemisesta.
Aiomme myös poistaa alkuperäisen NetJoinLegacyAccountReuse-rekisteriasetuksen tulevassa Windows-päivityksessä. [Tammikuu 2024 - Aloitus]Tämä poisto on alustavasti ajoitettu 13.8.2024 päivätylle päivitykselle. Julkaisupäivät voivat muuttua. [End - January 2024]
Huomautus Jos olet ottanut NetJoinLegacyAccountReuse-avaimen käyttöön asiakasohjelmissasi ja määrittänyt sen arvoksi 1, sinun on nyt poistettava kyseinen avain (tai määritettävä sen arvoksi 0), jotta voit hyötyä uusimmista muutoksista.
Toimi
Määritä uusi sallittujen luetteloiden käytäntö toimialueen ohjauskoneen ryhmäkäytäntö avulla ja poista vanhat asiakaspuolen vaihtoehtoiset menetelmät. Toimi sitten seuraavasti:
-
Sinun on asennettava 12. syyskuuta 2023 tai sitä uudemmat päivitykset kaikkiin jäsentietokoneisiin ja toimialueen ohjauskoneisiin.
-
Määritä asetukset alla olevissa vaiheissa uudessa tai aiemmin luodussa ryhmäkäytännössä, joka koskee kaikkia toimialueen ohjauskoneita.
-
Kaksoisnapsauta Kohdassa Tietokoneasetukset\Käytännöt\Windows-asetukset\Suojausasetukset\Paikalliset käytännöt\Suojausasetukset Toimialueen ohjauskone: Salli tietokonetilin uudelleenkäyttö toimialueeseen liittymisen aikana.
-
Valitse Määritä tämä käytäntöasetus ja <Muokkaa suojausta...>.
-
Objektinvalitsimen avulla voit lisätä käyttäjät tai luotettujen tietokonetilien luottajien ja omistajien ryhmät Salli-käyttöoikeuksiin. (Parhaana käytäntönä suosittelemme, että käytät käyttöoikeuksissa ryhmiä.) Älä lisää käyttäjätiliä, joka suorittaa toimialueeseen liittymisen.
Varoitus: Rajoita käytännön jäsenyys luotettuihin käyttäjiin ja palvelutileihin. Älä lisää tähän käytäntöön todennettuja käyttäjiä, kaikkia tai muita suuria ryhmiä. Lisää sen sijaan tietyt luotetut käyttäjät ja palvelutilit ryhmiin ja lisää nämä ryhmät käytäntöön.
-
Odota ryhmäkäytäntö päivitysväliä tai suorita gpupdate /force kaikissa toimialueen ohjauskoneissa.
-
Varmista, että HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" -rekisteriavaimeen on täytetty haluttu SDDL. Älä muokkaa rekisteriä manuaalisesti.
-
Yritä liittyä tietokoneeseen, johon on asennettu 12. syyskuuta 2023 tai uudempia päivityksiä. Varmista, että jokin käytännössä luetelluista tileistä omistaa tietokonetilin. Varmista myös, että sen rekisterissä ei ole NetJoinLegacyAccountReuse-näppäintä käytössä (1). Jos toimialueeseen liittyminen epäonnistuu, tarkista c:\windows\debug\netsetup.log.
Jos tarvitset edelleen vaihtoehtoisen menetelmän, tarkista tietokonetilin valmistelutyönkulut ja ymmärrä, tarvitaanko muutoksia.
-
Suorita liittymistoiminto käyttämällä samaa tiliä, joka loi kohdetoimialueeseen tietokonetilin.
-
Jos aiemmin luotu tili on käyttämätön, poista se ennen kuin yrität liittyä toimialueeseen uudelleen.
-
Nimeä tietokone uudelleen ja liity siihen käyttämällä toista tiliä, jota ei vielä ole olemassa.
-
Jos olemassa olevan tilin omistaa luotettu suojauspäämies ja järjestelmänvalvoja haluaa käyttää tiliä uudelleen, asenna syyskuun 2023 tai sitä uudemmat Windows-päivitykset noudattamalla Toimet-osion ohjeita ja määritä sallittujen luettelo.
Tärkeitä ohjeita NetJoinLegacyAccountReuse-rekisteriavaimen käyttämiseen
Varoitus: Jos määrität tämän avaimen näiden suojausten kiertämiseksi, ympäristösi on alttiina CVE-2022-38042:lle, ellei skenaarioon viitata alla kuvatulla tavalla. Älä käytä tätä menetelmää ilman vahvistusta siitä, että olemassa olevan tietokoneobjektin luoja/omistaja on suojattu ja luotettu suojauspäämies.
Uuden ryhmäkäytäntö vuoksi sinun ei pitäisi enää käyttää NetJoinLegacyAccountReuse-rekisteriavainta. [Tammikuu 2024 - Aloitus]Säilytämme avaimen seuraavat kuukaudet siltä varalta, että tarvitset vaihtoehtoisia menetelmiä. [End - January 2024]Jos et voi määrittää uutta ryhmäkäytäntöobjektia skenaariossasi, kehotamme sinua ottamaan yhteyttä Microsoft-tukeen.
Polku |
HKLM\System\CurrentControlSet\Control\LSA |
Tyyppi |
REG_DWORD |
Nimi |
NetJoinLegacyAccountReuse |
Arvo |
1 Muut arvot ohitetaan. |
HuomautusMicrosoft poistaaNetJoinLegacyAccountReuse-rekisteriasetuksen tuen tulevassa Windows-päivityksessä. [Tammikuu 2024 - Aloitus]Tämä poisto on alustavasti ajoitettu 13.8.2024 päivätylle päivitykselle. Julkaisupäivät voivat muuttua. [End - January 2024]
Ei-ratkaisut
-
Kun olet asentanut 12. syyskuuta 2023 tai uudemmat päivitykset tietokoneisiin ja asiakasohjelmiin ympäristössä, älä käytä NetJoinLegacyAccountReuse-rekisteriä . Määritä sen sijaan uusi ryhmäkäytäntöobjekti noudattamalla ohjeita kohdassa Toimi.
-
Älä lisää palvelutilejä tai valmistelutilejä Toimialueen järjestelmänvalvojien käyttöoikeusryhmään.
-
Älä muokkaa tietokonetilien suojauskuvainta manuaalisesti, jos haluat määrittää uudelleen tällaisten tilien omistajuuden, ellei edellistä omistajatiliä ole poistettu. Kun omistajaa muokataan, uudet tarkistukset onnistuvat, mutta tietokonetilillä voi olla samat mahdollisesti riskialttiit ja ei-toivotut käyttöoikeudet alkuperäiselle omistajalle, ellei sitä erikseen tarkisteta ja poisteta.
-
Älä lisää NetJoinLegacyAccountReuse-rekisteriavainta käyttöjärjestelmän näköistiedostojen perustamiseen, koska avain on lisättävä väliaikaisesti ja poistettava heti toimialueeseen liittymisen jälkeen.
Uudet tapahtumalokit
Tapahtumaloki |
JÄRJESTELMÄ |
Tapahtumalähde |
Netjoin |
Tapahtumatunnus |
4100 |
Tapahtumatyyppi |
Tiedottava |
Tapahtuman teksti |
"Toimialueeseen liittymisen aikana toimialueen ohjauskone, johon yhteys on otettu, löysi active directorysta olemassa olevan samannimisen tietokonetilin. Tämän tilin uudelleenkäyttö on sallittu. Toimialueen ohjauskone haettu: <toimialueen ohjauskoneen nimi>Olemassa oleva tietokonetili DN: <DN-polku tietokonetilin>. Lisätietoja on https://go.microsoft.com/fwlink/?linkid=2202145 kohdassa. |
Tapahtumaloki |
JÄRJESTELMÄ |
Tapahtumalähde |
Netjoin |
Tapahtumatunnus |
4101 |
Tapahtumatyyppi |
Virhe |
Tapahtuman teksti |
Toimialueeseen liittymisen aikana toimialueen ohjauskone, johon yhteys on otettu, löysi aiemmin luodun tietokonetilin Active Directorysta samannimisenä. Yritys käyttää tätä tiliä uudelleen estettiin tietoturvasyistä. Toimialueen ohjauskone etsi: Olemassa oleva tietokonetili DN: Virhekoodi oli <virhekoodi>. Lisätietoja on https://go.microsoft.com/fwlink/?linkid=2202145 kohdassa. |
Virheenkorjausloki on oletusarvoisesti käytettävissä (mitään yksityiskohtaista kirjaamista ei tarvitse ottaa käyttöön) kohteessa C:\Windows\Debug\netsetup.log kaikissa asiakastietokoneissa.
Esimerkki virheenkorjauslokista, joka luodaan, kun tilin uudelleenkäyttö estetään tietoturvasyistä:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Maaliskuussa 2023 lisätyt uudet tapahtumat
Tämä päivitys lisää neljä (4) uutta tapahtumaa toimialueen ohjauskoneen JÄRJESTELMÄ-lokiin seuraavasti:
Tapahtumataso |
Tiedottava |
Tapahtumatunnus |
16995 |
Kirjaudu |
JÄRJESTELMÄ |
Tapahtumalähde |
Directory-Services-SAM |
Tapahtuman teksti |
Suojaustilien hallinta käyttää määritettyä suojauskuvainta tietokonetilin uudelleenkäyttöyritysten tarkistamiseen toimialueeseen liittymisen aikana. SDDL-arvo: <SDDL-merkkijonon> Tämä sallittujen luettelo määritetään Active Directoryn ryhmäkäytännön avulla. Lisätietoja on http://go.microsoft.com/fwlink/?LinkId=2202145. |
Tapahtumataso |
Virhe |
Tapahtumatunnus |
16996 |
Kirjaudu |
JÄRJESTELMÄ |
Tapahtumalähde |
Directory-Services-SAM |
Tapahtuman teksti |
Suojauskuvain, joka sisältää tietokonetilin uudelleenkäytön sallitun luettelon, jota käytetään asiakaspyyntöjen toimialueen liittymisen vahvistamiseen, on virheellinen. SDDL-arvo: <SDDL-merkkijonon> Tämä sallittujen luettelo määritetään Active Directoryn ryhmäkäytännön avulla. Tämän ongelman korjaamiseksi järjestelmänvalvojan on päivitettävä käytäntö, jotta hän voi määrittää tämän arvon kelvolliseen suojauskuvaukseen tai poistaa sen käytöstä. Lisätietoja on http://go.microsoft.com/fwlink/?LinkId=2202145. |
Tapahtumataso |
Virhe |
Tapahtumatunnus |
16997 |
Kirjaudu |
JÄRJESTELMÄ |
Tapahtumalähde |
Directory-Services-SAM |
Tapahtuman teksti |
Suojaustilien hallinta löysi tietokonetilin, joka näyttää olevan orpo ja jolla ei ole olemassa olevaa omistajaa. Tietokonetili: S-1-5-xxx Tietokonetilin omistaja: S-1-5-xxx Lisätietoja on http://go.microsoft.com/fwlink/?LinkId=2202145. |
Tapahtumataso |
Varoitus |
Tapahtumatunnus |
16998 |
Kirjaudu |
JÄRJESTELMÄ |
Tapahtumalähde |
Directory-Services-SAM |
Tapahtuman teksti |
Suojaustilien hallinta hylkäsi asiakaspyynnön tietokonetilin uudelleenkäytöstä toimialueeseen liittymisen aikana. Tietokonetili ja asiakkaan tunnistetiedot eivät täyttäneet suojauksen tarkistamisen tarkistuksia. Asiakastili: S-1-5-xxx Tietokonetili: S-1-5-xxx Tietokonetilin omistaja: S-1-5-xxx Tarkista tämän tapahtuman tietuetiedot NT-virhekoodin varalta. Lisätietoja on http://go.microsoft.com/fwlink/?LinkId=2202145. |
Netsetup.log voi tarvittaessa antaa lisätietoja. Katso alla oleva esimerkki työkoneesta.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Tunnetut ongelmat
Ongelma 1 |
Kun olet asentanut 12. syyskuuta 2023 tai uudemmat päivitykset, toimialueeseen liittyminen voi epäonnistua ympäristöissä, joissa on määritetty seuraava käytäntö: Verkkoyhteys - Asiakasohjelmien salliminen soittaa etäpuheluita SAM-verkkoon - Windowsin suojaus | Microsoft Learn. Tämä johtuu siitä, että asiakaskoneet tekevät nyt todennettuja SAMRPC-kutsuja toimialueen ohjauskoneeseen tietokonetilien uudelleenkäyttämiseen liittyvien suojauksen tarkistusten suorittamiseksi. Esimerkki netsetup.log-tiedostosta, jossa tämä ongelma ilmeni:
|
Ongelma 2 |
Jos tietokoneen omistajatili on poistettu ja tietokonetiliä yritetään käyttää uudelleen, tapahtuma 16997 kirjataan järjestelmän tapahtumalokiin. Jos näin käy, voit määrittää omistusoikeuden uudelleen toiselle tilille tai ryhmälle. |
Ongelma 3 |
Jos vain asiakkaalla on 14. maaliskuuta 2023 tai uudempi päivitys, Active Directory -käytännön tarkistus palauttaa 0x32 STATUS_NOT_SUPPORTED. Marraskuun hotfix-korjauksissa tehdyt aiemmat tarkistukset otetaan käyttöön alla esitetyllä tavalla:
|