KB5020276- Netjoin: 도메인 조인 강화 변경

요약

2022년 10월 11일 이후 릴리스된 Windows 업데이트에는 CVE-2022-38042에서 도입된 추가 보호가 포함되어 있습니다. 이러한 보호는 다음과 같은 경우가 아니면 도메인 조인 작업에서 대상 도메인의 기존 컴퓨터 계정을 다시 사용하지 못하도록 의도적으로 방지합니다.

작업을 시도하는 사용자가 기존 계정의 작성자입니다.

또는
도메인 관리자의 구성원이 컴퓨터를 만들었습니다.

또는

재사용 중인 컴퓨터 계정의 소유자는 "도메인 컨트롤러: 도메인 가입 중에 컴퓨터 계정을 다시 사용할 수 있도록 허용"의 구성원입니다. 그룹 정책 설정입니다. 이 설정을 사용하려면 모든 구성원 컴퓨터 및 도메인 컨트롤러에서 2023년 3월 14일 또는 그 이후에 릴리스된 Windows 업데이트를 설치해야 합니다.

2023년 3월 14일과 2023년 9월 12일 이후에 릴리스된 업데이트 Windows Server 2012 R2 이상 및 지원되는 모든 클라이언트에서 영향을 받는 고객에게 추가 옵션을 제공합니다. 자세한 내용은 2022년 10월 11일 동작 및 작업 수행 섹션을 참조하세요.

2022년 10월 11일 이전의 동작

2022년 10월 11일 이상 누적 업데이트를 설치하기 전에 클라이언트 컴퓨터는 동일한 이름의 기존 계정에 대해 Active Directory를 쿼리합니다. 이 쿼리는 도메인 가입 및 컴퓨터 계정 프로비저닝 중에 발생합니다. 이러한 계정이 있는 경우 클라이언트는 자동으로 다시 사용하려고 시도합니다.

참고 도메인 조인 작업을 시도하는 사용자에게 적절한 쓰기 권한이 없는 경우 다시 사용 시도가 실패합니다. 그러나 사용자에게 충분한 권한이 있는 경우 도메인 가입이 성공합니다.

다음과 같이 각 기본 동작 및 플래그를 사용하는 도메인 조인에 대한 두 가지 시나리오가 있습니다.

도메인 조인(NetJoinDomain)
- 계정 재사용 기본값( NETSETUP_NO_ACCT_REUSE 플래그가 지정되지 않은 경우)
계정 프로비저닝(NetProvisionComputerAccountNetCreateProvisioningPackage).
- 기본값은 NO 재사용( NETSETUP_PROVISION_REUSE_ACCOUNT 지정되지 않은 경우)입니다.

2022년 10월 11일 동작

2022년 10월 11일 이상 Windows 누적 업데이트를 클라이언트 컴퓨터에 설치하면 도메인 가입 중에 클라이언트가 기존 컴퓨터 계정을 다시 사용하려고 시도하기 전에 추가 보안 검사를 수행합니다. 알고리즘:

작업을 시도하는 사용자가 기존 계정의 작성자인 경우 계정 재사용 시도가 허용됩니다.
도메인 관리자의 구성원이 계정을 만든 경우 계정 재사용 시도가 허용됩니다.

이러한 추가 보안 검사는 컴퓨터에 가입하기 전에 수행됩니다. 확인에 성공하면 나머지 조인 작업에는 이전과 같이 Active Directory 권한이 적용됩니다.

이 변경 내용은 새 계정에 영향을 주지 않습니다.

참고 2022년 10월 11일 이상 Windows 누적 업데이트를 설치한 후 컴퓨터 계정 재사용을 사용한 도메인 가입은 다음 오류와 함께 의도적으로 실패할 수 있습니다.

오류 0xaac(2732): NERR_AccountReuseBlockedByPolicy: "이름이 같은 계정이 Active Directory에 있습니다. 계정을 다시 사용하는 것이 보안 정책에 의해 차단되었습니다."

이 경우 계정은 의도적으로 새 동작으로 보호됩니다.

위의 오류가 발생하고 문제가 c:\windows\debug\netsetup.log에 기록되면 이벤트 ID 4101이 트리거됩니다. 작업 수행의 아래 단계에 따라 오류를 이해하고 문제를 resolve.

2023년 3월 14일 동작

2023년 3월 14일 또는 그 이후에 릴리스된 Windows 업데이트에서 보안 강화를 몇 가지 변경했습니다. 이러한 변경 내용에는 2022년 10월 11일에 적용된 모든 변경 내용이 포함되었습니다.

첫째, 이 강화에서 제외되는 그룹의 scope 확장했습니다. 도메인 관리자 외에도 엔터프라이즈 관리자 및 기본 제공 관리자 그룹은 이제 소유권 검사 제외됩니다.

둘째, 새 그룹 정책 설정을 구현했습니다. 관리자는 이를 사용하여 신뢰할 수 있는 컴퓨터 계정 소유자의 허용 목록을 지정할 수 있습니다. 다음 중 하나가 true인 경우 컴퓨터 계정은 보안 검사 무시합니다.

이 계정은 "도메인 컨트롤러: 도메인 가입 중에 컴퓨터 계정을 다시 사용할 수 있도록 허용" 그룹 정책 신뢰할 수 있는 소유자로 지정된 사용자가 소유합니다.
이 계정은 "도메인 컨트롤러: 도메인 가입 중에 컴퓨터 계정 재사용 허용" 그룹 정책 신뢰할 수 있는 소유자로 지정된 그룹의 구성원인 사용자가 소유합니다.

이 새 그룹 정책 사용하려면 도메인 컨트롤러와 구성원 컴퓨터에 2023년 3월 14일 이상 업데이트가 일관되게 설치되어 있어야 합니다. 일부 사용자는 자동화된 컴퓨터 계정 만들기에 사용하는 특정 계정이 있을 수 있습니다. 이러한 계정이 남용으로부터 안전하며 컴퓨터 계정을 만들도록 신뢰하는 경우 해당 계정을 제외할 수 있습니다. 2022년 10월 11일 Windows 업데이트로 완화된 원래 취약성에 대해 여전히 안전합니다.

^{2023년 9월 12일 동작}

2023년 9월 12일 또는 그 이후에 릴리스된 Windows 업데이트에서 보안 강화를 몇 가지 추가 변경했습니다. 이러한 변경 내용에는 2022년 10월 11일에 적용된 모든 변경 내용과 2023년 3월 14일의 변경 내용이 포함되었습니다.

정책 설정에 관계없이 스마트 카드 인증을 사용하여 도메인 조인에 실패한 문제를 해결했습니다. 이 문제를 해결하기 위해 나머지 보안 검사를 도메인 컨트롤러로 다시 이동했습니다. 따라서 2023년 9월 보안 업데이트 이후 클라이언트 컴퓨터는 도메인 컨트롤러에 인증된 SAMRPC 호출을 수행하여 컴퓨터 계정 재사용과 관련된 보안 유효성 검사를 수행합니다.

그러나 이로 인해 네트워크 액세스: SAM에 대한 원격 호출을 수행할 수 있는 클라이언트 제한 정책이 설정된 환경에서 도메인 조인이 실패할 수 있습니다. 이 문제를 resolve 방법에 대한 자세한 내용은 "알려진 문제" 섹션을 참조하세요.

또한 향후 Windows 업데이트에서 원래 NetJoinLegacyAccountReuse 레지스트리 설정을 제거할 계획입니다. [2024년 1월 - 시작]이 제거는 2024년 8월 13일자로 업데이트될 예정입니다. 릴리스 날짜는 변경될 수 있습니다. [End - January 2024]

참고 클라이언트에 NetJoinLegacyAccountReuse 키를 배포하고 값 1로 설정한 경우 이제 최신 변경 내용을 활용하려면 해당 키를 제거하거나 0으로 설정해야 합니다.

조치 취하기

도메인 컨트롤러에서 그룹 정책 사용하여 새 허용 목록 정책을 구성하고 레거시 클라이언트 쪽 해결 방법을 제거합니다. 그런 다음, 다음을 수행합니다.

모든 멤버 컴퓨터 및 도메인 컨트롤러에 2023년 9월 12일 이상 업데이트를 설치해야 합니다.
모든 도메인 컨트롤러에 적용되는 새 그룹 또는 기존 그룹 정책에서 아래 단계에서 설정을 구성합니다.
컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션에서 도메인 컨트롤러: 도메인 가입 중에 컴퓨터 계정을 다시 사용하도록 허용을 두 번 클릭합니다.
이 정책 설정 정의를 선택하고 보안 편집...><.
개체 선택기를 사용하여 신뢰할 수 있는 컴퓨터 계정 작성자 및 소유자의 사용자 또는 그룹을 허용 권한에 추가합니다. (모범 사례로 사용 권한에 그룹을 사용하는 것이 좋습니다.) 도메인 조인을 수행하는 사용자 계정을 추가하지 마세요.

경고: 정책의 멤버 자격을 신뢰할 수 있는 사용자 및 서비스 계정으로 제한합니다. 인증된 사용자, 모든 사용자 또는 기타 큰 그룹을 이 정책에 추가하지 마세요. 대신 그룹에 신뢰할 수 있는 특정 사용자 및 서비스 계정을 추가하고 해당 그룹을 정책에 추가합니다.
그룹 정책 새로 고침 간격을 기다리거나 모든 도메인 컨트롤러에서 gpupdate /force를 실행합니다.
HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" 레지스트리 키가 원하는 SDDL로 채워져 있는지 확인합니다. 레지스트리를 수동으로 편집하지 마세요.
2023년 9월 12일 이상 업데이트가 설치된 컴퓨터에 가입하려고 시도합니다. 정책에 나열된 계정 중 하나가 컴퓨터 계정을 소유하는지 확인합니다. 또한 레지스트리에 NetJoinLegacyAccountReuse 키가 사용하도록 설정되어 있지 않은지 확인합니다(1로 설정). 도메인 조인이 실패하면 c:\windows\debug\netsetup.log를 검사.

대체 해결 방법이 여전히 필요한 경우 컴퓨터 계정 프로비저닝 워크플로를 검토하고 변경이 필요한지 이해합니다.

대상 도메인에서 컴퓨터 계정을 만든 동일한 계정을 사용하여 조인 작업을 수행합니다.
기존 계정이 부실(사용되지 않음)인 경우 도메인 가입을 다시 시도하기 전에 삭제합니다.
컴퓨터 이름을 바꾸고 아직 존재하지 않는 다른 계정을 사용하여 조인합니다.
기존 계정이 신뢰할 수 있는 보안 주체가 소유하고 관리자가 계정을 다시 사용하려는 경우 작업 수행 섹션의 지침에 따라 2023년 9월 이상의 Windows 업데이트를 설치하고 허용 목록을 구성합니다.

NetJoinLegacyAccountReuse 레지스트리 키를 사용하기 위한 중요한 지침

주의: 이러한 보호를 해결하기 위해 이 키를 설정하도록 선택하는 경우 시나리오가 적절하게 참조되지 않는 한 환경을 CVE-2022-38042에 취약하게 만듭니다. 기존 컴퓨터 개체의 작성자/소유자가 안전하고 신뢰할 수 있는 보안 주체라는 확인 없이 이 메서드를 사용하지 마세요.

새 그룹 정책 인해 더 이상 NetJoinLegacyAccountReuse 레지스트리 키를 사용하지 않아야 합니다. [2024년 1월 - 시작]해결 방법이 필요한 경우 향후 몇 개월 동안 키를 유지합니다. [End - January 2024]시나리오에서 새 GPO를 구성할 수 없는 경우 Microsoft 지원 문의하는 것이 좋습니다.

경로	HKLM\System\CurrentControlSet\Control\LSA
유형	REG_DWORD
이름	NetJoinLegacyAccountReuse
값	1 다른 값은 무시됩니다.

참고 Microsoft 는 향후 Windows 업데이트에서 NetJoinLegacyAccountReuse 레지스트리 설정에 대한 지원을 제거합니다. [2024년 1월 - 시작]이 제거는 2024년 8월 13일자로 업데이트될 예정입니다. 릴리스 날짜는 변경될 수 있습니다. [End - January 2024]

비솔루션

2023년 9월 12일 이상 업데이트를 환경의 DC 및 클라이언트에 설치한 후에 는 NetJoinLegacyAccountReuse 레지스트리를 사용하지 마세요. 대신 작업 수행의 단계에 따라 새 GPO를 구성합니다.
도메인 관리자 보안 그룹에 서비스 계정 또는 프로비저닝 계정을 추가하지 마세요.
이전 소유자 계정이 삭제되지 않은 한 이러한 계정의 소유권을 다시 정의하기 위해 컴퓨터 계정의 보안 설명자를 수동으로 편집하지 마세요. 소유자를 편집하면 새 검사가 성공할 수 있지만, 명시적으로 검토하고 제거하지 않는 한 컴퓨터 계정은 원래 소유자에 대해 잠재적으로 위험할 수 있는 동일한 원치 않는 권한을 유지할 수 있습니다.
도메인 가입이 완료된 직후에 키를 일시적으로 추가한 다음 제거해야 하므로 NetJoinLegacyAccountReuse 레지스트리 키를 기본 OS 이미지에 추가하지 마세요.

새 이벤트 로그

이벤트 로그	시스템
이벤트 소스	Netjoin
이벤트 ID	4100
이벤트 형식	정보 제공
이벤트 텍스트	"도메인 조인 중에 연락한 도메인 컨트롤러가 동일한 이름의 Active Directory에서 기존 컴퓨터 계정을 발견했습니다. 이 계정을 다시 사용하려는 시도가 허용되었습니다. 검색된 도메인 컨트롤러: 도메인 컨트롤러 이름>기존 컴퓨터 계정 DN: 컴퓨터 계정> DN 경로 <<. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2202145 참조하세요.

이벤트 로그	SYSTEM
이벤트 소스	Netjoin
이벤트 ID	4101
이벤트 형식	Error
이벤트 텍스트	도메인 조인 중에 연락한 도메인 컨트롤러가 동일한 이름의 Active Directory에서 기존 컴퓨터 계정을 발견했습니다. 보안상의 이유로 이 계정을 다시 사용하려고 시도하지 못했습니다. 도메인 컨트롤러 검색: 기존 컴퓨터 계정 DN: 오류 코드가 오류 코드> <. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2202145 참조하세요.

디버그 로깅은 기본적으로 C:\Windows\Debug\n모든 클라이언트 컴퓨터에서 etsetup.log에서 사용할 수 있습니다(자세한 로깅을 사용하도록 설정할 필요가 없음).

보안상의 이유로 계정 재사용이 차단될 때 생성된 디버그 로깅의 예:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

2023년 3월에 추가된 새 이벤트

이 업데이트는 다음과 같이 도메인 컨트롤러의 SYSTEM 로그에 4개의 새 이벤트를 추가합니다.

이벤트 수준	정보 제공
이벤트 ID	16995
로그	SYSTEM
이벤트 소스	Directory-Services-SAM
이벤트 텍스트	보안 계정 관리자는 지정된 보안 설명자를 사용하여 도메인 가입 중에 컴퓨터 계정 재사용 시도의 유효성을 검사합니다. SDDL 값: SDDL 문자열> < 이 허용 목록은 Active Directory의 그룹 정책을 통해 구성됩니다. 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=2202145 참조하세요.

이벤트 수준	Error
이벤트 ID	16996
로그	SYSTEM
이벤트 소스	Directory-Services-SAM
이벤트 텍스트	클라이언트 요청 도메인 조인의 유효성을 검사하는 데 사용되는 컴퓨터 계정 재사용 허용 목록이 포함된 보안 설명자가 잘못된 형식입니다. SDDL 값: SDDL 문자열> < 이 허용 목록은 Active Directory의 그룹 정책을 통해 구성됩니다. 이 문제를 해결하려면 관리자가 정책을 업데이트하여 이 값을 유효한 보안 설명자로 설정하거나 사용하지 않도록 설정해야 합니다. 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=2202145 참조하세요.

이벤트 수준	Error
이벤트 ID	16997
로그	SYSTEM
이벤트 소스	Directory-Services-SAM
이벤트 텍스트	보안 계정 관리자는 분리된 것으로 보이며 기존 소유자가 없는 컴퓨터 계정을 발견했습니다. 컴퓨터 계정: S-1-5-xxx 컴퓨터 계정 소유자: S-1-5-xxx 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=2202145 참조하세요.

이벤트 수준	경고
이벤트 ID	16998
로그	SYSTEM
이벤트 소스	Directory-Services-SAM
이벤트 텍스트	보안 계정 관리자는 도메인 가입 중에 컴퓨터 계정을 다시 사용하라는 클라이언트 요청을 거부했습니다. 컴퓨터 계정 및 클라이언트 ID가 보안 유효성 검사를 충족하지 못했습니다. 클라이언트 계정: S-1-5-xxx 컴퓨터 계정: S-1-5-xxx 컴퓨터 계정 소유자: S-1-5-xxx 이 이벤트의 레코드 데이터를 확인하여 NT 오류 코드를 확인합니다. 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=2202145 참조하세요.

필요한 경우 netsetup.log에서 자세한 정보를 제공할 수 있습니다. 작업 컴퓨터에서 아래 예제를 참조하세요.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

알려진 문제

문제 1

2023년 9월 12일 이상 업데이트를 설치한 후 네트워크 액세스 - SAM에 대한 원격 호출이 허용되는 클라이언트 제한 - Windows 보안 | 정책이 설정된 환경에서 도메인 가입이 실패할 수 있습니다. Microsoft Learn. 클라이언트 컴퓨터가 이제 도메인 컨트롤러에 인증된 SAMRPC 호출을 수행하여 컴퓨터 계정 재사용과 관련된 보안 유효성 검사를 수행하기 때문입니다.

이는 예상된 것입니다. 이 변경을 수용하기 위해 관리자는 도메인 컨트롤러의 SAMRPC 정책을 기본 설정으로 유지하거나 SDDL 설정에서 도메인 조인을 수행하는 사용자 그룹을 명시적으로 포함하여 권한을 부여해야 합니다.

이 문제가 발생한 netsetup.log의 예:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

문제 2

컴퓨터 소유자 계정이 삭제되고 컴퓨터 계정을 다시 사용하려고 하면 이벤트 16997이 시스템 이벤트 로그에 기록됩니다. 이 경우 소유권을 다른 계정 또는 그룹에 다시 할당해도 됩니다.

문제 3

클라이언트에 2023년 3월 14일 이상 업데이트만 있는 경우 Active Directory 정책 검사 0x32 STATUS_NOT_SUPPORTED 반환합니다. 11월 핫픽스에 구현된 이전 검사는 아래와 같이 적용됩니다.

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac