Patarimas: Norėdami peržiūrėti naują arba pataisytą 2024 m. sausio mėn. turinį, žr. straipsnio žymes [2024 m. sausio mėn. – pradžia] ir [Pabaiga – 2024 m. sausio mėn.].
Suvestinė
2022 m. spalio 11 d. ir vėliau išleisti "Windows" naujinimai apima papildomas cve-2022-38042 įdiegtas apsaugos priemones. Šios apsaugos specialiai neleidžia prisijungimo prie domeno operacijoms pakartotinai naudotis esama kompiuterio paskyra tiksliniame domene, nebent:
-
Operaciją bandantis atlikti vartotojas yra esamos paskyros kūrėjas.
arba
-
Kompiuterį sukūrė domeno administratorių narys.
arba
-
Pakartotinai naudojamos kompiuterio paskyros savininkas yra domeno valdiklio: leisti pakartotinai naudoti kompiuterio paskyrą prisijungiant prie domeno narys. Grupės strategija parametrą. Šiam parametrui reikia įdiegti "Windows" naujinimus, išleistus 2023 m. kovo 14 d. arba vėliau VISUOSE kompiuteriuose-narių ir domeno valdikliuose.
Naujinimai, išleista 2023 m. kovo 14 d. ir vėliau, ir 2023 m. rugsėjo 12 d., pateiks papildomų parinkčių paveiktiems klientams "Windows Server 2012 R2" ir naujesnėse versijose bei visiems palaikomiems klientams. Daugiau informacijos žr . skyriuose 2022 m. spalio 11 d. veikimas ir Veiksmų atlikimas .
Veikimas iki 2022 m. spalio 11 d.
Prieš diegdami 2022 m. spalio 11 d. arba naujesnius kaupiamuosius naujinimus, kliento kompiuteris pateikia esamos paskyros tokiu pačiu pavadinimu "Active Directory" užklausas. Ši užklausa pateikiama domeno prisijungimo ir kompiuterio paskyros parengimo metu. Jei tokia paskyra yra, klientas automatiškai bandys ją pakartotinai naudoti.
Pastaba Pakartotinio naudojimo bandymas nepavyks, jei vartotojas, bandantis prisijungti prie domeno, neturi reikiamų rašymo teisių. Tačiau, jei vartotojas turi pakankamai teisių, prisijungti prie domeno pavyks.
Yra du domeno prisijungimo scenarijai su atitinkamais numatytaisiais veiksmais ir vėliavėlėmis, kaip nurodyta toliau.
-
Prisijungimas prie domeno (NetJoinDomain)
-
Numatytosios paskyros pakartotinio naudojimo reikšmės (nebent nurodyta NETSETUP_NO_ACCT_REUSE žymė)
-
-
Paskyros parengimas (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Numatytoji no pakartotinio naudojimo reikšmė (nebent nurodyta NETSETUP_PROVISION_REUSE_ACCOUNT .)
-
2022 m. spalio 11 d. veikimas
Kai kliento kompiuteryje įdiegsite 2022 m. spalio 11 d. arba naujesnius "Windows" kaupiamuosius naujinimus, klientas atliks papildomas saugos patikras prieš bandydamas pakartotinai naudoti esamą kompiuterio paskyrą. Algoritmas:
-
Bandymas pakartotinai naudoti abonementą bus leidžiamas, jei vartotojas, bandantis atlikti operaciją, yra esamos paskyros kūrėjas.
-
Bandymas pakartotinai naudoti abonementą bus leidžiamas, jei paskyrą sukūrė domeno administratorių narys.
Šios papildomos saugos patikros atliekamos prieš bandant prisijungti prie kompiuterio. Jei patikrinimas sėkmingas, likusiai sujungimo operacijai taikomos "Active Directory" teisės, kaip ir anksčiau.
Šis pakeitimas neturi įtakos naujoms paskyroms.
Pastaba Įdiegus 2022 m. spalio 11 d. arba naujesnius "Windows" kaupiamuosius naujinimus, domeno prisijungimas naudojant kompiuterio paskyrą gali specialiai nepavykti dėl šios klaidos:
Klaida 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Active Directory yra taip pavadinta paskyra. Paskyros pakartotinis naudojimas užblokuotas pagal saugos strategiją."
Jei taip, paskyra sąmoningai apsaugota naudojant naują veikimą.
Įvykio ID 4101 bus paleistas, kai įvyks aukščiau pateikta klaida ir problema bus užregistruota c:\windows\debug\netsetup.log. Norėdami suprasti triktį ir išspręsti problemą, atlikite toliau nurodytus veiksmus.
2023 m. kovo 14 d. veikimas
2023 m. kovo 14 d. arba vėliau išleistuose "Windows" naujinimuose atlikome kelis saugos sustijimo pakeitimus. Šie pakeitimai apima visus pakeitimus, kuriuos atlikome 2022 m. spalio 11 d.
Pirma, išplėtėme grupių, kurioms šis kietėjimas netaikomas, aprėptį. Be domenų administratorių, nuo šiol įmonių administratoriams ir įtaisytųjų administratorių grupėms nuosavybės patikra netaikoma.
Antra, įdiegėme naują Grupės strategija parametrą. Administratoriai gali jį naudoti norėdami nurodyti leistinų patikimų kompiuterio paskyrų savininkų sąrašą. Kompiuterio paskyra apeis saugos patikrą, jei teisingas vienas iš šių sąlygų:
-
Paskyra priklauso vartotojui, kuris nurodytas kaip patikimas savininkas Grupės strategija "Domeno valdiklis: leisti kompiuterio paskyrą pakartotinai naudoti prisijungiant prie domeno".
-
Paskyra priklauso vartotojui, kuris yra grupės, nurodytos kaip patikimas savininkas, narys Grupės strategija dalyje "Domeno valdiklis: leisti pakartotinai naudoti kompiuterio paskyrą domeno prisijungimo metu".
Norint naudoti šią naują Grupės strategija, domeno valdiklis ir nario kompiuteris turi nuolat turėti įdiegtą 2023 m. kovo 14 d. arba vėlesnį naujinimą. Kai kurie iš jūsų gali turėti tam tikrų paskyrų, kurias naudojate kurdami automatinį kompiuterio abonementą. Jei šios paskyros yra saugios nuo piktnaudžiavimo ir jomis pasitikite kurdami kompiuterio paskyras, galite jas pašalinti. Jūs vis tiek būsite apsaugoti nuo pradinio pažeidžiamumo, kurį galima sumažinti iki 2022 m. spalio 11 d. "Windows" naujinimų.
2023 m. rugsėjo 12 d. veikimas
2023 m. rugsėjo 12 d. arba vėliau išleistuose "Windows" naujinimuose atlikome keletą papildomų saugos sustiprinimo pakeitimų. Šie pakeitimai apima visus 2022 m. spalio 11 d. atliktus pakeitimus ir 2023 m. kovo 14 d. pakeitimus.
Išsprendėme problemą, kai, neatsižvelgiant į strategijos parametrą, nepavyko prisijungti prie domeno naudojant intelektualiosios kortelės autentifikavimą. Norėdami išspręsti šią problemą, perkėlėme likusias saugos patikras atgal į domeno valdiklį. Todėl po 2023 m. rugsėjo saugos naujinimo kliento kompiuteriai autentifikavo SAMRPC iškvietimus domeno valdikliui atlikti saugos tikrinimo patikrinimus, susijusius su pakartotiniu kompiuterio paskyrų naudojimą.
Tačiau dėl to gali nepavykti prisijungti prie domeno aplinkose, kuriose nustatyta ši strategija: tinklo prieiga: apriboti klientus, kuriems leidžiama skambinti nuotoliniu būdu SAM. Informacijos, kaip išspręsti šią problemą, ieškokite skyriuje "Žinomos problemos".
Taip pat planuojame pašalinti pradinį NetJoinLegacyAccountReuse registro parametrą būsimame "Windows" naujinime. [2024 m. sausio mėn. – pradžia]Šį pašalinimą preliminariai planuojama atnaujinti 2024 m. rugpjūčio 13 d. Leidimo datos gali būti keičiamos. [Pabaiga – 2024 m. sausio mėn.]
Pastaba Jei įdiegėte raktą NetJoinLegacyAccountReuse savo klientuose ir nustatėte jo reikšmę 1, dabar turite pašalinti tą raktą (arba nustatyti jį į 0), kad galėtumėte pasinaudoti naujausiais pakeitimais.
Imtis veiksmų
Konfigūruokite naują leidžiamųjų sąrašo strategiją naudodami Grupės strategija domeno valdiklyje ir pašalinkite visus senstelėjusius kliento sprendimo būdus. Tada atlikite šiuos veiksmus:
-
Turite įdiegti 2023 m. rugsėjo 12 d. arba naujesnius naujinimus visuose narių kompiuteriuose ir domeno valdikliuose.
-
Naujoje arba esamoje grupės strategijoje, kuri taikoma visiems domeno valdikliams, konfigūruokite parametrus atlikdami toliau nurodytus veiksmus.
-
Dalyje Kompiuterio konfigūracija\Strategijos\"Windows" parametrai\Saugos parametrai\Vietinės strategijos\Saugos parinktys dukart spustelėkite Domeno valdiklis: leisti pakartotinai naudoti kompiuterio paskyrą prisijungiant prie domeno.
-
Pasirinkite Apibrėžti šį strategijos parametrą ir <Redaguoti saugą...>.
-
Naudokite objektų parinkiklį, kad įtrauktumėte patikimų kompiuterio abonementų kūrėjų ir savininkų vartotojus arba grupes į leisti teises. (Geriausia praktika – teisių tikslais primygtinai rekomenduojame naudoti grupes.) Neįtraukite vartotojo paskyros, kuri atlieka prisijungimą prie domeno.
Įspėjimas: Riboti narystę strategijoje iki patikimų vartotojų ir tarnybos paskyrų. Į šią strategiją neįtraukite autentifikuotų vartotojų, visų ar kitų didelių grupių. Vietoj to įtraukite konkrečius patikimus vartotojus ir tarnybos paskyras į grupes ir įtraukite tas grupes į strategiją.
-
Palaukite Grupės strategija atnaujinimo intervalo arba paleiskite gpupdate /force visuose domeno valdikliuose.
-
Patikrinkite, ar HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" registro raktas užpildytas norimu SDDL. Neautomatiškai neredaguokite registro.
-
Pabandykite prisijungti prie kompiuterio, kuriame įdiegti 2023 m. rugsėjo 12 d. arba naujesni naujinimai. Įsitikinkite, kad vienai iš paskyrų, išvardytų strategijoje, priklauso kompiuterio paskyra. Taip pat įsitikinkite, kad jo registre neįgalintas NetJoinLegacyAccountReuse raktas (nustatyta į 1). Jei prisijungti prie domeno nepavyksta, patikrinkite c:\windows\debug\netsetup.log.
Jei vis dar reikia alternatyvaus sprendimo būdo, peržiūrėkite kompiuterio paskyros parengimo darbo eigas ir supraskite, ar reikia atlikti keitimus.
-
Sujungimo operaciją atlikite naudodami tą pačią paskyrą, kuri sukūrė kompiuterio paskyrą paskirties domene.
-
Jei esama paskyra pasenusi (nenaudojama), panaikinkite ją prieš bandydami prisijungti prie domeno dar kartą.
-
Pervardykite kompiuterį ir prisijunkite naudodami kitą paskyrą, kurios dar nėra.
-
Jei esama paskyra priklauso patikimam saugos nariui ir administratorius nori pakartotinai naudoti paskyrą, vykdykite skyriuje Veiksmai pateiktus nurodymus, kad įdiegtumėte 2023 m. rugsėjo arba vėlesnį "Windows" naujinimą ir sukonfigūruotumėte leidžiamų sąrašą.
Svarbios rekomendacijos, kaip naudoti "NetJoinLegacyAccountReuse" registro raktą
Dėmesio: Jei pasirinksite nustatyti šį raktą, kad apsisaugotumėte nuo šių apsaugos priemonių, paliksite savo aplinką pažeidžiamą CVE-2022-38042, nebent jūsų scenarijus bus atitinkamai nurodytas toliau. Nenaudokite šio metodo be patvirtinimo, kad esamo kompiuterio objekto kūrėjas/savininkas yra saugus ir patikimas saugos narys.
Dėl naujos Grupės strategija nebeturite naudoti NetJoinLegacyAccountReuse registro rakto. [2024 m. sausio mėn. – pradžia]Mes išsaugosime raktą per ateinančius kelis mėnesius, jei reikės sprendimo būdų. [Pabaiga – 2024 m. sausio mėn.]Jei negalite sukonfigūruoti naujo GPO savo scenarijuje, primygtinai rekomenduojame susisiekti su "Microsoft" palaikymo tarnyba.
|
Kelias |
HKLM\System\CurrentControlSet\Control\LSA |
|
Tipas |
REG_DWORD |
|
Pavadinimas |
NetJoinLegacyAccountReuse |
|
Reikšmė |
1 Kitų reikšmių nepaisoma. |
Pastaba Būsimame "Windows" naujinime "Microsoft" pašalins NetJoinLegacyAccountReuse registro parametro palaikymą. [2024 m. sausio mėn. – pradžia]Šį pašalinimą preliminariai planuojama atnaujinti 2024 m. rugpjūčio 13 d. Leidimo datos gali būti keičiamos. [Pabaiga – 2024 m. sausio mėn.]
Nepriskyrimai
-
Įdiegus 2023 m. rugsėjo 12 d. arba naujesnius naujinimus DC ir klientuose aplinkoje, nenaudojamas NetJoinLegacyAccountReuse registras . Vietoj to atlikite veiksmus, nurodytus veiksmą, kad sukonfigūruotumėte naują GPO.
-
Į domenų administratorių saugos grupę neįtraukite tarnybų paskyrų ar parengimo paskyrų.
-
Neautomatiškai neredaguokite kompiuterio paskyrų saugos aprašo bandydami iš naujo apibrėžti tokių paskyrų nuosavybę, nebent ankstesnė savininko paskyra būtų panaikinta. Redaguojant savininką bus galima sėkmingai atlikti naujas patikras, tačiau kompiuterio paskyra gali išlaikyti tas pačias galimai rizikingas, nepageidaujamas pradinio savininko teises, nebent ji būtų aiškiai peržiūrėta ir pašalinta.
-
Neįtraukite NetJoinLegacyAccountReuse registro rakto OS vaizdams pagrįsti, nes raktą reikia tik laikinai įtraukti ir pašalinti iškart po domeno prisijungimo užbaigimo.
Nauji įvykių žurnalai
|
Įvykių žurnalas |
SISTEMOS |
|
Įvykio šaltinis |
Netjoin |
|
Įvykio ID |
4100 |
|
Įvykio tipas |
Informacinio |
|
Įvykio tekstas |
"Prisijungimo prie domeno metu susisiekęs domeno valdiklis rado esamą kompiuterio paskyrą "Active Directory" tuo pačiu pavadinimu. Buvo leidžiama pakartotinai naudoti šią paskyrą. Ieškota domeno valdiklyje: <domeno valdiklio pavadinimas>Esamas kompiuterio paskyros DN: <kompiuterio paskyros> DN kelias. Daugiau informacijos žr. https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Įvykių žurnalas |
SISTEMOS |
|
Įvykio šaltinis |
Netjoin |
|
Įvykio ID |
4101 |
|
Įvykio tipas |
Klaida |
|
Įvykio tekstas |
Jungiantis prie domeno susisiekęs domeno valdiklis rado esamą kompiuterio paskyrą "Active Directory" tuo pačiu pavadinimu. Bandymas pakartotinai naudoti šią paskyrą buvo uždraustas dėl saugos priežasčių. Ieškota domeno valdiklyje: esamas kompiuterio paskyros DN: klaidos kodas <klaidos kodas>. Daugiau informacijos žr. https://go.microsoft.com/fwlink/?linkid=2202145. |
Derinimo registravimas yra pasiekiamas pagal numatytuosius parametrus (nebūtina įgalinti daugiažodžio registravimo) C:\Windows\Debug\netsetup.log visuose klientų kompiuteriuose.
Derinimo registravimo, sugeneruoto, kai paskyros pakartotinis naudojimas neleidžiamas dėl saugos priežasčių, pavyzdys:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nauji įvykiai įtraukti 2023 m. kovo mėn.
Šis naujinimas įtraukia keturis (4) naujus įvykius SISTEMOS žurnale domeno valdiklyje taip:
|
Įvykio lygis |
Informacinio |
|
Įvykio ID |
16995 |
|
Žurnalo |
SISTEMOS |
|
Įvykio šaltinis |
Katalogų tarnybos – SAM |
|
Įvykio tekstas |
Saugos abonemento tvarkytuvas naudoja nurodytą saugos aprašą kompiuterio paskyros pakartotinio naudojimo bandymams domeno jungimosi metu patikrinti. SDDL reikšmė: <SDDL eilutės> Šis leidžiamų sąrašas sukonfigūruotas naudojant "Active Directory" grupės strategiją. Daugiau informacijos žr. http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Įvykio lygis |
Klaida |
|
Įvykio ID |
16996 |
|
Žurnalo |
SISTEMOS |
|
Įvykio šaltinis |
Katalogų tarnybos – SAM |
|
Įvykio tekstas |
Netinkamai suformuotas saugos aprašas, kuriame yra kompiuterio paskyros pakartotinio naudojimo leidžiamųjų sąrašas, naudojamas patikrinti kliento užklausų domeno sujungimą. SDDL reikšmė: <SDDL eilutės> Šis leidžiamų sąrašas sukonfigūruotas naudojant "Active Directory" grupės strategiją. Norint išspręsti šią problemą, administratoriui reikės atnaujinti strategiją, kad nustatytų šią reikšmę į galiojantį saugos aprašą arba ją išjungtų. Daugiau informacijos žr. http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Įvykio lygis |
Klaida |
|
Įvykio ID |
16997 |
|
Žurnalo |
SISTEMOS |
|
Įvykio šaltinis |
Katalogų tarnybos – SAM |
|
Įvykio tekstas |
Saugos paskyrų tvarkytuvas rado kompiuterio paskyrą, kuri atrodo pavienė ir neturi esamo savininko. Kompiuterio paskyra: S-1-5-xxx Kompiuterio paskyros savininkas: S-1-5-xxx Daugiau informacijos žr. http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Įvykio lygis |
Įspėjimas |
|
Įvykio ID |
16998 |
|
Žurnalo |
SISTEMOS |
|
Įvykio šaltinis |
Katalogų tarnybos – SAM |
|
Įvykio tekstas |
Saugos paskyros tvarkytuvas atmetė kliento užklausą iš naujo naudoti kompiuterio paskyrą prisijungiant prie domeno. Kompiuterio abonementas ir kliento tapatybė neatitiko saugos tikrinimo patikrų. Kliento paskyra: S-1-5-xxx Kompiuterio paskyra: S-1-5-xxx Kompiuterio paskyros savininkas: S-1-5-xxx Patikrinkite šio įvykio įrašo duomenis, ar nėra NT klaidos kodo. Daugiau informacijos žr. http://go.microsoft.com/fwlink/?LinkId=2202145. |
Jei reikia, netsetup.log gali suteikti daugiau informacijos. Žr. toliau pateiktą pavyzdį iš darbinio kompiuterio.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Žinomos problemos
|
1 problema |
Įdiegus 2023 m. rugsėjo 12 d. ar vėlesnius naujinimus, prisijungti prie domeno gali nepavykti aplinkoje, kurioje nustatyta ši strategija: Tinklo prieiga – Apriboti klientus, kuriems leidžiama skambinti nuotoliniu būdu SAM – "Windows" sauga | "Microsoft Learn". Taip yra todėl, kad kliento kompiuteriai dabar atlieka autentifikuotus SAMRPC iškvietimus į domeno valdiklį, kad atliktų saugos tikrinimo patikras, susijusias su kompiuterio paskyrų pakartotiniu naudojimą. Pavyzdys iš netsetup.log, kur įvyko ši problema: |
|
2 problema |
Jei kompiuterio savininko paskyra buvo panaikinta ir bandoma pakartotinai naudoti kompiuterio paskyrą, sistemos įvykių žurnale bus užregistruotas įvykis 16997. Jei taip nutinka, galite iš naujo priskirti nuosavybę kitai paskyrai ar grupei. |
|
3 problema |
Jei tik klientas turi 2023 m. kovo 14 d. arba vėlesnį naujinimą, "Active Directory" strategijos patikra pateiks 0x32 STATUS_NOT_SUPPORTED. Ankstesnių patikrų, kurios buvo įgyvendintos lapkričio karštąsias pataisas, bus taikomos, kaip parodyta toliau: |
