Tipp: Az új vagy módosított 2024. januári tartalom megtekintéséhez tekintse meg a [2024. január – kezdés] és a [2024. január vége] címkéket a cikkben.
Összefoglalás
A 2022. október 11-én és azt követően kiadott Windows-frissítések a CVE-2022-38042 által bevezetett további védelmet tartalmaznak. Ezek a védelmi műveletek szándékosan megakadályozzák, hogy a tartományhoz való csatlakozáskor a rendszer újrahasználjon egy meglévő számítógépfiókot a céltartományban, kivéve, ha:
-
A műveletet megkísérelő felhasználó a meglévő fiók létrehozója.
Vagy
-
A számítógépet a tartományi rendszergazdák egyik tagja hozta létre.
Vagy
-
Az újrahasznált számítógépfiók tulajdonosa a "Tartományvezérlő: A számítógépfiók újbóli használatának engedélyezése tartományhoz való csatlakozáskor" tagja. Csoportházirend beállítást. Ehhez a beállításhoz telepíteni kell a 2023. március 14-én vagy azt követően kiadott Windows-frissítéseket minden tagszámítógépen és tartományvezérlőn.
Frissítések 2023. március 14-én és azt követően, valamint 2023. szeptember 12-én jelent meg, további lehetőségeket biztosít az érintett ügyfelek számára Windows Server 2012 R2-n és újabb verziókon, valamint az összes támogatott ügyfélen. További információt a 2022. október 11-i viselkedés és a Művelet végrehajtása című szakaszokban talál.
Viselkedés 2022. október 11. előtt
A 2022. október 11-i vagy újabb összegző frissítések telepítése előtt az ügyfélszámítógép lekérdezi az Active Directoryt egy azonos nevű meglévő fiókról. Ez a lekérdezés a tartományhoz való csatlakozás és a számítógépfiók kiépítése során történik. Ha létezik ilyen fiók, az ügyfél automatikusan megpróbálja újra felhasználni.
Megjegyzés Az újbóli próbálkozás sikertelen lesz, ha a tartományhoz való csatlakozást megkísérlő felhasználó nem rendelkezik a megfelelő írási engedélyekkel. Ha azonban a felhasználó rendelkezik elegendő engedéllyel, a tartományhoz való csatlakozás sikeres lesz.
A tartományhoz való csatlakozásnak két forgatókönyve van a megfelelő alapértelmezett viselkedéssel és jelzőkkel az alábbiak szerint:
-
Tartományhoz való csatlakozás (NetJoinDomain)
-
A fiók újrafelhasználásának alapértelmezett értéke (kivéve , ha NETSETUP_NO_ACCT_REUSE jelző van megadva)
-
-
Fiókkiépítés (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Alapértelmezés szerint NINCS újrafelhasználás (kivéve, ha NETSETUP_PROVISION_REUSE_ACCOUNT van megadva).)
-
2022. október 11-i viselkedés
Miután telepítette a Windows 2022. október 11-i vagy újabb összegző frissítéseit egy ügyfélszámítógépre, a tartományhoz való csatlakozás során az ügyfél további biztonsági ellenőrzéseket végez, mielőtt megpróbálna újra felhasználni egy meglévő számítógépfiókot. Algoritmus:
-
A fiók újrafelhasználási kísérlete akkor engedélyezett, ha a műveletet megkísérlő felhasználó a meglévő fiók létrehozója.
-
A fiók újrafelhasználási kísérlete akkor engedélyezett, ha a fiókot a tartományi rendszergazdák egyik tagja hozta létre.
Ezek a további biztonsági ellenőrzések a számítógéphez való csatlakozás előtt végezhetők el. Ha az ellenőrzések sikeresek, az illesztési művelet többi része is Active Directory-engedélyekhez van kapcsolva, mint korábban.
Ez a módosítás nincs hatással az új fiókokra.
Megjegyzés A Windows 2022. október 11-i vagy újabb összegző frissítéseinek telepítése után a tartományhoz való csatlakozás a számítógépfiók újrafelhasználásával szándékosan meghiúsulhat a következő hibával:
Hiba 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Az Active Directoryban létezik egy azonos nevű fiók. A fiók újbóli használatát a biztonsági szabályzat letiltotta."
Ha igen, a fiókot szándékosan védi az új viselkedés.
A 4101-ös eseményazonosító akkor aktiválódik, ha a fenti hiba jelentkezik, és a probléma a c:\windows\debug\netsetup.log mappában lesz naplózva. A hiba megértéséhez és a probléma megoldásához kövesse az alábbi lépéseket a Művelet végrehajtása szakaszban.
2023. március 14-i viselkedés
A 2023. március 14-én vagy azt követően kiadott Windows-frissítésekben módosítottuk a biztonsági korlátozást. Ezek a módosítások tartalmazzák a 2022. október 11-én végrehajtott összes módosítást.
Először kibontottuk azon csoportok körét, amelyek mentesülnek a korlátozás alól. A tartományi rendszergazdák mellett a vállalati rendszergazdák és a beépített rendszergazdák csoportjai is mentesülnek a tulajdonjog-ellenőrzés alól.
Másodszor, implementáltunk egy új Csoportházirend beállítást. A rendszergazdák a megbízható számítógépfiók-tulajdonosok engedélyezési listájának megadására használhatják. A számítógépfiók megkerüli a biztonsági ellenőrzést, ha az alábbiak egyike igaz:
-
A fiók tulajdonosa egy megbízható tulajdonosként megadott felhasználó a "Tartományvezérlő: Számítógépfiók újbóli használatának engedélyezése a tartományhoz való csatlakozás során" Csoportházirend.
-
A fiók tulajdonosa egy olyan felhasználó, aki tagja egy megbízható tulajdonosként megadott csoportnak a "Tartományvezérlő: Számítógépfiók újbóli használatának engedélyezése tartományhoz való csatlakozáskor" Csoportházirend.
Az új Csoportházirend használatához a tartományvezérlőnek és a tagszámítógépnek folyamatosan telepítve kell lennie a 2023. március 14-i vagy újabb frissítésnek. Előfordulhat, hogy néhányuk rendelkezik olyan fiókkal, amelyet az automatikus számítógépfiók-létrehozás során használ. Ha ezek a fiókok biztonságban vannak a visszaélésektől, és megbízik bennük a számítógépfiókok létrehozásában, mentesítheti őket. Továbbra is biztonságban lesz a 2022. október 11-i Windows-frissítések által enyhített eredeti biztonsági rés ellen.
2023. szeptember 12-i viselkedés
A 2023. szeptember 12-én vagy azt követően kiadott Windows-frissítésekben további módosításokat végeztünk a biztonsági korlátozáson. Ezek a módosítások tartalmazzák a 2022. október 11-én végrehajtott összes módosítást, valamint a 2023. március 14-i módosításokat.
Kijavítottunk egy hibát, amely miatt a tartomány intelligens kártyás hitelesítéssel való csatlakoztatása a házirend-beállítástól függetlenül meghiúsult. A probléma megoldásához a fennmaradó biztonsági ellenőrzéseket visszahelyeztük a tartományvezérlőre. Ezért a 2023. szeptemberi biztonsági frissítés után az ügyfélszámítógépek hitelesített SAMRPC-hívásokat intéznek a tartományvezérlőhöz a számítógépfiókok újbóli használatával kapcsolatos biztonsági ellenőrzési ellenőrzések végrehajtásához.
Ez azonban azt eredményezheti, hogy a tartományhoz való csatlakozás meghiúsul azokban a környezetekben, ahol a következő házirend van beállítva: Hálózati hozzáférés: A SAM felé irányuló távoli hívásokra engedélyezett ügyfelek korlátozása. A probléma megoldásáról az "Ismert problémák" című szakaszban talál további információt.
Azt is tervezzük, hogy eltávolítjuk az eredeti NetJoinLegacyAccountReuse beállításjegyzék-beállítást egy későbbi Windows-frissítésben. [2024. január – Kezdés]Az eltávolítás feltételesen a 2024. augusztus 13-i frissítésre van ütemezve. A kiadási dátumok változhatnak. [2024. január vége]
Megjegyzés Ha telepítette a NetJoinLegacyAccountReuse kulcsot az ügyfeleken, és az 1 értéket állította be, el kell távolítania a kulcsot (vagy 0-ra kell állítania), hogy kihasználhassa a legújabb módosításokat.
Művelet végrehajtása
Konfigurálja az új engedélyezési listára vonatkozó szabályzatot a tartományvezérlő Csoportházirend használatával, és távolítsa el az örökölt ügyféloldali kerülő megoldásokat. Ezután tegye a következőket:
-
A 2023. szeptember 12-i vagy újabb frissítéseket minden tagszámítógépen és tartományvezérlőn telepítenie kell.
-
Az összes tartományvezérlőre érvényes új vagy meglévő csoportházirendben konfigurálja a beállításokat az alábbi lépésekben.
-
A Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Helyi házirendek\Biztonsági beállítások területen kattintson duplán a Tartományvezérlő: Számítógépfiók újbóli használatának engedélyezése a tartományhoz való csatlakozás során elemre.
-
Válassza a Házirend-beállítás definiálása lehetőséget, és <a Biztonság szerkesztése... >lehetőséget.
-
Az objektumválasztóval hozzáadhatja a megbízható számítógépfiók-létrehozók és -tulajdonosok felhasználóit vagy csoportjait az Engedélyezés engedélyhez. (Ajánlott eljárásként kifejezetten javasoljuk, hogy használjon csoportokat az engedélyekhez.) Ne adja hozzá a tartományhoz való csatlakozást végző felhasználói fiókot.
Figyelmeztetés: Korlátozza a tagságot a szabályzatra a megbízható felhasználókra és a szolgáltatásfiókra. Ne adjon hozzá hitelesített felhasználókat, mindenkit vagy más nagy csoportot ehhez a szabályzathoz. Ehelyett adjon hozzá konkrét megbízható felhasználókat és szolgáltatásfiókokat a csoportokhoz, és vegye fel ezeket a csoportokat a szabályzatba.
-
Várja meg a Csoportházirend frissítési időközt, vagy futtassa a gpupdate /force parancsot az összes tartományvezérlőn.
-
Ellenőrizze, hogy a HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" beállításkulcs ki van-e töltve a kívánt SDDL-vel. Ne szerkessze manuálisan a beállításjegyzéket.
-
Próbáljon meg csatlakozni egy olyan számítógéphez, amely a 2023. szeptember 12-i vagy újabb frissítéseket telepítette. Győződjön meg arról, hogy a házirendben felsorolt fiókok egyike a számítógépfiók tulajdonosa. Győződjön meg arról is, hogy a beállításjegyzékében nincs engedélyezve a NetJoinLegacyAccountReuse kulcs (1-re van állítva). Ha a tartományhoz való csatlakozás sikertelen, ellenőrizze a c:\windows\debug\netsetup.log fájlt.
Ha továbbra is alternatív áthidaló megoldásra van szüksége, tekintse át a számítógépfiókok létesítési munkafolyamatait, és ismerje meg, hogy szükség van-e módosításokra.
-
Hajtsa végre a csatlakoztatási műveletet ugyanazzal a fiókkal, amely a számítógépfiókot a céltartományban létrehozta.
-
Ha a meglévő fiók elavult (nem használt), törölje, mielőtt újra megpróbálna csatlakozni a tartományhoz.
-
Nevezze át a számítógépet, és csatlakozzon egy másik, még nem létező fiókkal.
-
Ha a meglévő fiók egy megbízható rendszerbiztonsági tag tulajdonában van, és egy rendszergazda újra fel szeretné használni a fiókot, kövesse a Művelet végrehajtása szakaszban található útmutatást a 2023. szeptemberi vagy újabb Windows-frissítések telepítéséhez és egy engedélyezési lista konfigurálásához.
Fontos útmutató a NetJoinLegacyAccountReuse beállításkulcs használatához
Figyelmeztetés: Ha úgy dönt, hogy ezt a kulcsot úgy állítja be, hogy megkerülje ezeket a védelmi megoldásokat, a környezetet sebezhetővé fogja tenni a CVE-2022-38042-ben, kivéve, ha a forgatókönyvre az alábbiakban szükség szerint hivatkozunk. Ne használja ezt a módszert annak megerősítése nélkül, hogy a meglévő számítógép-objektum létrehozója/tulajdonosa biztonságos és megbízható rendszerbiztonsági tag.
Az új Csoportházirend miatt a továbbiakban nem használhatja a NetJoinLegacyAccountReuse beállításkulcsot. [2024. január – Kezdés]A kulcsot a következő néhány hónapra megőrizzük, ha kerülő megoldásokra van szüksége. [2024. január vége]Ha nem tudja konfigurálni az új csoportházirend-objektumot a forgatókönyvében, határozottan javasoljuk, hogy lépjen kapcsolatba Microsoft ügyfélszolgálata.
|
Elérési út |
HKLM\System\CurrentControlSet\Control\LSA |
|
Típus |
REG_DWORD |
|
Név |
NetJoinLegacyAccountReuse |
|
Érték |
1 A többi érték figyelmen kívül lesz hagyva. |
Megjegyzés A Microsoft egy későbbi Windows-frissítésben megszünteti a NetJoinLegacyAccountReuse beállításjegyzék-beállítás támogatását. [2024. január – Kezdés]Az eltávolítás feltételesen a 2024. augusztus 13-i frissítésre van ütemezve. A kiadási dátumok változhatnak. [2024. január vége]
Meg nem oldások
-
Miután telepítette a 2023. szeptember 12-i vagy újabb frissítéseket a környezetben lévő számítógépekre és ügyfelekre, ne használja a NetJoinLegacyAccountReuse beállításjegyzéket. Ehelyett kövesse a Művelet végrehajtása című cikk lépéseit az új csoportházirend-objektum konfigurálásához.
-
Ne adjon hozzá szolgáltatásfiókokat vagy létesítési fiókokat a Tartománygazdák biztonsági csoporthoz.
-
Ne szerkessze manuálisan a számítógépfiókok biztonsági leíróját az ilyen fiókok tulajdonjogának újradefiniálásához, kivéve, ha az előző tulajdonosi fiókot törölték. Miközben a tulajdonos szerkesztése lehetővé teszi az új ellenőrzések sikerességét, a számítógépfiók megtarthatja ugyanazokat a potenciálisan kockázatos, nemkívánatos engedélyeket az eredeti tulajdonos számára, kivéve, ha explicit módon felülvizsgálják és eltávolítják őket.
-
Ne adja hozzá a NetJoinLegacyAccountReuse beállításkulcsot az operációsrendszer-rendszerképek alaprendszerképeihez, mert a kulcsot csak ideiglenesen kell hozzáadni, majd közvetlenül a tartományhoz való csatlakozás befejezése után eltávolítani.
Új eseménynaplók
|
Eseménynapló |
RENDSZER |
|
Eseményforrás |
Netjoin |
|
Eseményazonosító |
4100 |
|
Esemény típusa |
Információs |
|
Esemény szövege |
"A tartományhoz való csatlakozás során a tartományvezérlő felvette a kapcsolatot egy meglévő számítógépfiókot az Active Directoryban ugyanazzal a névvel. A fiók újbóli használatára tett kísérlet engedélyezve volt. Keresett tartományvezérlő: <tartományvezérlő neve>Meglévő számítógépfiók DN:<számítógépfiók DN-elérési útja>. További információért lásd: https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Eseménynapló |
RENDSZER |
|
Eseményforrás |
Netjoin |
|
Eseményazonosító |
4101 |
|
Esemény típusa |
Hiba |
|
Esemény szövege |
A tartományhoz való csatlakozás során a tartományvezérlő felvette a kapcsolatot egy meglévő számítógépfiókot az Active Directoryban ugyanazzal a névvel. Biztonsági okokból a rendszer megakadályozta a fiók újbóli használatára tett kísérletet. A tartományvezérlő a következőt kereste: Meglévő számítógépfiók DN-címe: A hibakód <hibakód>. További információért lásd: https://go.microsoft.com/fwlink/?linkid=2202145. |
A hibakeresési naplózás alapértelmezés szerint elérhető (nincs szükség részletes naplózás engedélyezésére) a C:\Windows\Debug\netsetup.log fájlban az összes ügyfélszámítógépen.
Példa a hibakeresési naplózásra, amely akkor jön létre, amikor biztonsági okokból nem lehet újból felhasználni a fiókot:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Új események hozzáadva 2023 márciusában
Ez a frissítés négy (4) új eseményt ad hozzá a SYSTEM naplóhoz a tartományvezérlőn az alábbiak szerint:
|
Eseményszint |
Információs |
|
Eseményazonosító |
16995 |
|
Napló |
RENDSZER |
|
Eseményforrás |
Directory-Services-SAM |
|
Esemény szövege |
A biztonságifiók-kezelő a megadott biztonsági leírót használja a számítógépfiók tartományhoz való csatlakoztatása során történő újrahasználati kísérletek ellenőrzéséhez. SDDL-érték: SDDL-sztring> < Ez az engedélyezési lista csoportházirenddel van konfigurálva az Active Directoryban. További információ: http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Eseményszint |
Hiba |
|
Eseményazonosító |
16996 |
|
Napló |
RENDSZER |
|
Eseményforrás |
Directory-Services-SAM |
|
Esemény szövege |
Az ügyfélkérések tartományhoz való csatlakoztatásának ellenőrzéséhez használt számítógépfiók újrahasználati engedélyezési listáját tartalmazó biztonsági leíró helytelenül van formázva. SDDL-érték: SDDL-sztring> < Ez az engedélyezési lista csoportházirenddel van konfigurálva az Active Directoryban. A probléma megoldásához a rendszergazdának frissítenie kell a szabályzatot, hogy érvényes biztonsági leíróra állítsa be ezt az értéket, vagy tiltsa le. További információ: http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Eseményszint |
Hiba |
|
Eseményazonosító |
16997 |
|
Napló |
RENDSZER |
|
Eseményforrás |
Directory-Services-SAM |
|
Esemény szövege |
A biztonsági fiókkezelő olyan számítógépfiókot talált, amely árva, és nem rendelkezik meglévő tulajdonossal. Számítógépfiók: S-1-5-xxx Számítógépfiók tulajdonosa: S-1-5-xxx További információ: http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Eseményszint |
Figyelmeztetés |
|
Eseményazonosító |
16998 |
|
Napló |
RENDSZER |
|
Eseményforrás |
Directory-Services-SAM |
|
Esemény szövege |
A biztonságifiók-kezelő elutasította a számítógépfiók újbóli használatára vonatkozó ügyfélkérést a tartományhoz való csatlakozás során. A számítógépfiók és az ügyfélidentitás nem felelt meg a biztonsági ellenőrzési ellenőrzéseknek. Ügyfélfiók: S-1-5-xxx Számítógépfiók: S-1-5-xxx Számítógépfiók tulajdonosa: S-1-5-xxx Ellenőrizze az esemény rekordadatait az NT-hibakódhoz. További információ: http://go.microsoft.com/fwlink/?LinkId=2202145. |
Ha szükséges, a netsetup.log további információkat adhat. Tekintse meg az alábbi példát egy működő gépről.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Ismert problémák
|
1. probléma |
A 2023. szeptember 12-i vagy újabb frissítések telepítése után a tartományhoz való csatlakozás meghiúsulhat azokban a környezetekben, ahol a következő házirend van beállítva: Hálózati hozzáférés – A SAM-hez távoli hívások kezdeményezésére jogosult ügyfelek korlátozása – Windows biztonság | Microsoft Learn. Ennek az az oka, hogy az ügyfélszámítógépek mostantól hitelesített SAMRPC-hívásokat intéznek a tartományvezérlőhöz a számítógépfiókok újbóli használatával kapcsolatos biztonsági ellenőrzési ellenőrzések végrehajtásához. Példa egy netsetup.log naplóból, ahol ez a probléma történt: |
|
2. probléma |
Ha a számítógép tulajdonosi fiókját törölték, és a számítógépfiók újbóli felhasználására tett kísérlet történik, a rendszer az 16997-s eseményt naplózza a rendszer eseménynaplójában. Ha ez történik, akkor nem baj, ha újra hozzárendeli a tulajdonjogot egy másik fiókhoz vagy csoporthoz. |
|
3. probléma |
Ha csak az ügyfél rendelkezik a 2023. március 14-i vagy újabb frissítésével, az Active Directory-szabályzat ellenőrzése 0x32 STATUS_NOT_SUPPORTED fog visszatérni. A novemberi gyorsjavításokban végrehajtott korábbi ellenőrzések az alábbiak szerint lesznek alkalmazva: |
