Tip: Als u de nieuwe of herziene inhoud van januari 2024 wilt bekijken, raadpleegt u de tags [januari 2024 - Begin] en [Einde - januari 2024] in het artikel.
Samenvatting
Windows-updates die zijn uitgebracht op en na 11 oktober 2022, bevatten aanvullende beveiligingen die zijn geïntroduceerd door CVE-2022-38042. Deze beveiligingen voorkomen opzettelijk dat domeindeelnamebewerkingen een bestaand computeraccount in het doeldomein opnieuw gebruiken, tenzij:
-
De gebruiker die de bewerking probeert uit te voeren, is de maker van het bestaande account.
Of
-
De computer is gemaakt door een lid van domeinbeheerders.
Of
-
De eigenaar van het computeraccount dat opnieuw wordt gebruikt, is lid van de 'Domeincontroller: sta opnieuw gebruik van computeraccounts toe tijdens domeindeelname'. groepsbeleid instelling. Deze instelling vereist de installatie van Windows-updates die zijn uitgebracht op of na 14 maart 2023, op ALLE lidcomputers en domeincontrollers.
Updates uitgebracht op en na 14 maart 2023 en 12 september 2023, biedt extra opties voor betrokken klanten op Windows Server 2012 R2 en hoger en alle ondersteunde clients. Zie de secties Gedrag van 11 oktober 2022 en Actie ondernemen voor meer informatie.
Gedrag vóór 11 oktober 2022
Voordat u de cumulatieve updates van 11 oktober 2022 of latere updates installeert, voert de clientcomputer een query uit op Active Directory voor een bestaand account met dezelfde naam. Deze query wordt uitgevoerd tijdens het inrichten van domein- en computeraccounts. Als een dergelijk account bestaat, probeert de client het automatisch opnieuw te gebruiken.
Opmerking De poging tot opnieuw gebruiken mislukt als de gebruiker die de domeindeelnamebewerking probeert, niet over de juiste schrijfmachtigingen beschikt. Als de gebruiker echter voldoende machtigingen heeft, slaagt de domeindeelname.
Er zijn twee scenario's voor domeindeelname met respectievelijk standaardgedrag en vlaggen als volgt:
-
Domeindeelname (NetJoinDomain)
-
Standaard wordt het account opnieuw gebruikt (tenzij NETSETUP_NO_ACCT_REUSE vlag is opgegeven)
-
-
Accountinrichting (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
De standaardinstelling is NIET opnieuw gebruiken (tenzij NETSETUP_PROVISION_REUSE_ACCOUNT is opgegeven.)
-
Gedrag van 11 oktober 2022
Zodra u de cumulatieve updates van Windows van 11 oktober 2022 of hoger op een clientcomputer hebt geïnstalleerd, voert de client tijdens domeindeelname extra beveiligingscontroles uit voordat een bestaand computeraccount opnieuw wordt gebruikt. Algoritme:
-
Poging om het account opnieuw te gebruiken, is toegestaan als de gebruiker die de bewerking probeert te maken, de maker van het bestaande account is.
-
Poging om het account opnieuw te gebruiken is toegestaan als het account is gemaakt door een lid van domeinbeheerders.
Deze aanvullende beveiligingscontroles worden uitgevoerd voordat u de computer probeert te koppelen. Als de controles zijn geslaagd, is de rest van de join-bewerking net als voorheen onderworpen aan Active Directory-machtigingen.
Deze wijziging is niet van invloed op nieuwe accounts.
Opmerking Na de installatie van de cumulatieve updates voor Windows van 11 oktober 2022 of hoger, kan domeindeelname met hergebruik van computeraccounts opzettelijk mislukken met de volgende fout:
Fout 0xaac (2732): NERR_AccountReuseBlockedByPolicy: 'Er bestaat een account met dezelfde naam in Active Directory. Het opnieuw gebruiken van het account is geblokkeerd door beveiligingsbeleid.
Als dat het zo is, wordt het account opzettelijk beveiligd door het nieuwe gedrag.
Gebeurtenis-id 4101 wordt geactiveerd zodra de bovenstaande fout optreedt en het probleem wordt vastgelegd in c:\windows\debug\netsetup.log. Volg de onderstaande stappen in Actie ondernemen om de fout te begrijpen en het probleem op te lossen.
Gedrag van 14 maart 2023
In de Windows-updates die zijn uitgebracht op of na 14 maart 2023, hebben we een paar wijzigingen aangebracht in de beveiligingsbeveiliging. Deze wijzigingen omvatten alle wijzigingen die we op 11 oktober 2022 hebben aangebracht.
Eerst hebben we het bereik van groepen die zijn vrijgesteld van deze beveiliging uitgebreid. Naast domeinbeheerders zijn de groepen Ondernemingsadministrators en Ingebouwde beheerders nu vrijgesteld van de eigendomscontrole.
Ten tweede hebben we een nieuwe groepsbeleid-instelling geïmplementeerd. Beheerders kunnen het gebruiken om een acceptatielijst met vertrouwde computeraccounteigenaren op te geven. Het computeraccount overtreedt de beveiligingscontrole als een van de volgende zaken waar is:
-
Het account is eigendom van een gebruiker die is opgegeven als een vertrouwde eigenaar in de groepsbeleid 'Domeincontroller: opnieuw gebruik van computeraccount toestaan tijdens domeindeelname'.
-
Het account is eigendom van een gebruiker die lid is van een groep die is opgegeven als een vertrouwde eigenaar in de groepsbeleid 'Domeincontroller: toestaan dat computeraccount opnieuw wordt gebruikt tijdens domeindeelname'.
Als u deze nieuwe groepsbeleid wilt gebruiken, moet de update van 14 maart 2023 of hoger op de domeincontroller en de lidcomputer consistent zijn geïnstalleerd. Sommigen van u hebben mogelijk specifieke accounts die u gebruikt bij het automatisch maken van computeraccounts. Als deze accounts veilig zijn voor misbruik en u erop vertrouwt dat ze computeraccounts maken, kunt u ze uitsluiten. U bent nog steeds beveiligd tegen het oorspronkelijke beveiligingsprobleem dat is opgelost door de Windows-updates van 11 oktober 2022.
Gedrag van 12 september 2023
In de Windows-updates die zijn uitgebracht op of na 12 september 2023, hebben we een aantal extra wijzigingen aangebracht in de beveiligingsbeveiliging. Deze wijzigingen omvatten alle wijzigingen die we hebben aangebracht op 11 oktober 2022 en de wijzigingen vanaf 14 maart 2023.
Er is een probleem opgelost waarbij domeindeelname met smartcardverificatie mislukte, ongeacht de beleidsinstelling. Om dit probleem op te lossen, hebben we de resterende beveiligingscontroles teruggezet naar de domeincontroller. Daarom maken clientcomputers na de beveiligingsupdate van september 2023 geverifieerde SAMRPC-aanroepen naar de domeincontroller om beveiligingsvalidatiecontroles uit te voeren met betrekking tot het opnieuw gebruiken van computeraccounts.
Dit kan er echter toe leiden dat domeindeelname mislukt in omgevingen waarin het volgende beleid is ingesteld: Netwerktoegang: Clients beperken die externe aanroepen naar SAM mogen uitvoeren. Raadpleeg de sectie Bekende problemen voor informatie over het oplossen van dit probleem.
We zijn ook van plan om de oorspronkelijke registerinstelling NetJoinLegacyAccountReuse te verwijderen in een toekomstige Windows-update. [januari 2024 - Begin]Deze verwijdering is voorlopig gepland voor de update van 13 augustus 2024. Releasedatums kunnen worden gewijzigd. [Einde - januari 2024]
Opmerking Als u de sleutel NetJoinLegacyAccountReuse op uw clients hebt geïmplementeerd en deze instelt op waarde 1, moet u deze sleutel nu verwijderen (of instellen op 0) om te profiteren van de meest recente wijzigingen.
Actie ondernemen
Configureer het nieuwe beleid voor acceptatielijsten met behulp van de groepsbeleid op een domeincontroller en verwijder eventuele verouderde tijdelijke oplossingen aan de clientzijde. Ga vervolgens als volgt te werk:
-
U moet de updates van 12 september 2023 of hoger installeren op alle lidcomputers en domeincontrollers.
-
Configureer in een nieuw of bestaand groepsbeleid dat van toepassing is op alle domeincontrollers de instellingen in de onderstaande stappen.
-
Dubbelklik onder Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties op Domeincontroller: Opnieuw gebruik van computeraccount toestaan tijdens domeindeelname.
-
Selecteer Deze beleidsinstelling definiëren en <Beveiliging bewerken...>.
-
Gebruik de objectkiezer om gebruikers of groepen vertrouwde computeraccountmakers en -eigenaren toe te voegen aan de machtiging Toestaan . (Als aanbevolen procedure raden we u ten zeerste aan groepen te gebruiken voor machtigingen.) Voeg niet het gebruikersaccount toe dat de domeindeelname uitvoert.
Waarschuwing: Beperk het lidmaatschap van het beleid tot vertrouwde gebruikers en serviceaccounts. Voeg geen geverifieerde gebruikers, iedereen of andere grote groepen toe aan dit beleid. Voeg in plaats daarvan specifieke vertrouwde gebruikers en serviceaccounts toe aan groepen en voeg deze groepen toe aan het beleid.
-
Wacht op het groepsbeleid vernieuwingsinterval of voer gpupdate /force uit op alle domeincontrollers.
-
Controleer of de registersleutel HKLM\System\CCS\Control\SAM – 'ComputerAccountReuseAllowList' is gevuld met de gewenste SDDL. Bewerk het register niet handmatig.
-
Probeer lid te worden van een computer waarop de updates van 12 september 2023 of hoger zijn geïnstalleerd. Zorg ervoor dat een van de accounts in het beleid eigenaar is van het computeraccount. Zorg er ook voor dat de sleutel NetJoinLegacyAccountReuse niet is ingeschakeld (ingesteld op 1). Als de domeindeelname mislukt, controleert u de c:\windows\debug\netsetup.log.
Als u nog steeds een alternatieve tijdelijke oplossing nodig hebt, bekijkt u werkstromen voor het inrichten van computeraccounts en begrijpt u of er wijzigingen nodig zijn.
-
Voer de joinbewerking uit met hetzelfde account dat het computeraccount in het doeldomein heeft gemaakt.
-
Als het bestaande account verouderd (ongebruikt) is, verwijdert u het voordat u opnieuw probeert deel te nemen aan het domein.
-
Wijzig de naam van de computer en voeg toe met een ander account dat nog niet bestaat.
-
Als het bestaande account eigendom is van een vertrouwde beveiligingsprincipal en een beheerder het account opnieuw wil gebruiken, volgt u de richtlijnen in de sectie Actie ondernemen om de Windows-updates van september 2023 of hoger te installeren en een acceptatielijst te configureren.
Belangrijke richtlijnen voor het gebruik van de registersleutel NetJoinLegacyAccountReuse
Let op: Als u ervoor kiest deze sleutel in te stellen om deze beveiligingen te omzeilen, blijft uw omgeving kwetsbaar voor CVE-2022-38042, tenzij hieronder naar uw scenario wordt verwezen, indien van toepassing. Gebruik deze methode niet zonder bevestiging dat de maker/eigenaar van het bestaande computerobject een veilige en vertrouwde beveiligingsprincipal is.
Vanwege de nieuwe groepsbeleid moet u de registersleutel NetJoinLegacyAccountReuse niet meer gebruiken. [januari 2024 - Begin]De sleutel wordt de komende maanden bewaard voor het geval u tijdelijke oplossingen nodig hebt. [Einde - januari 2024]Als u het nieuwe groepsbeleidsobject niet kunt configureren in uw scenario, wordt u aangeraden contact op te maken met Microsoft Ondersteuning.
|
Pad |
HKLM\System\CurrentControlSet\Control\LSA |
|
Type |
REG_DWORD |
|
Naam |
NetJoinLegacyAccountReuse |
|
Waarde |
1 Andere waarden worden genegeerd. |
OpmerkingMicrosoft verwijdert de ondersteuning voor de registerinstelling NetJoinLegacyAccountReuse in een toekomstige Windows-update. [januari 2024 - Begin]Deze verwijdering is voorlopig gepland voor de update van 13 augustus 2024. Releasedatums kunnen worden gewijzigd. [Einde - januari 2024]
Niet-oplossingsoplossingen
-
Nadat u 12 september 2023 of latere updates op DC's en clients in de omgeving hebt geïnstalleerd, gebruikt u het register NetJoinLegacyAccountReuse niet. Volg in plaats daarvan de stappen in Actie ondernemen om het nieuwe groepsbeleidsobject te configureren.
-
Voeg geen serviceaccounts of inrichtingsaccounts toe aan de beveiligingsgroep Domeinadministrators.
-
Bewerk de beveiligingsdescriptor op computeraccounts niet handmatig in een poging om het eigendom van dergelijke accounts opnieuw te definiëren, tenzij het vorige eigenaarsaccount is verwijderd. Tijdens het bewerken van de eigenaar kunnen de nieuwe controles slagen, maar het computeraccount behoudt mogelijk dezelfde potentieel riskante, ongewenste machtigingen voor de oorspronkelijke eigenaar, tenzij expliciet gecontroleerd en verwijderd.
-
Voeg de registersleutel NetJoinLegacyAccountReuse niet toe aan basisinstallatiekopieën van het besturingssysteem, omdat de sleutel alleen tijdelijk moet worden toegevoegd en vervolgens direct nadat de domeindeelname is voltooid.
Nieuwe gebeurtenislogboeken
|
Gebeurtenislogboek |
SYSTEEM |
|
Bron van gebeurtenis |
Netjoin |
|
Gebeurtenis-id |
4100 |
|
Gebeurtenistype |
Informatieve |
|
Gebeurtenistekst |
"Tijdens domeindeelname heeft de domeincontroller die contact heeft opgenomen een bestaand computeraccount in Active Directory gevonden met dezelfde naam. Een poging om dit account opnieuw te gebruiken is toegestaan. Domeincontroller gezocht: <naam van de domeincontroller>Bestaande computeraccount DN: <DN-pad van computeraccount>. Zie https://go.microsoft.com/fwlink/?linkid=2202145 voor meer informatie. |
|
Gebeurtenislogboek |
SYSTEEM |
|
Bron van gebeurtenis |
Netjoin |
|
Gebeurtenis-id |
4101 |
|
Gebeurtenistype |
Fout |
|
Gebeurtenistekst |
Tijdens het toevoegen van een domein heeft de domeincontroller waarmee contact is opgenomen, een bestaand computeraccount in Active Directory gevonden met dezelfde naam. Een poging om dit account opnieuw te gebruiken is om veiligheidsredenen voorkomen. Domeincontroller doorzocht: Bestaande computeraccount DN: de foutcode is <foutcode>. Zie https://go.microsoft.com/fwlink/?linkid=2202145 voor meer informatie. |
Logboekregistratie voor foutopsporing is standaard beschikbaar (u hoeft geen uitgebreide logboekregistratie in te schakelen) in C:\Windows\Debug\netsetup.log op alle clientcomputers.
Voorbeeld van de foutopsporingslogboeken die worden gegenereerd wanneer het opnieuw gebruiken van het account om veiligheidsredenen wordt voorkomen:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Nieuwe gebeurtenissen toegevoegd in maart 2023
Deze update voegt als volgt vier (4) nieuwe gebeurtenissen toe aan het SYSTEM-logboek op de domeincontroller:
|
Gebeurtenisniveau |
Informatieve |
|
Gebeurtenis-id |
16995 |
|
Log |
SYSTEEM |
|
Bron van gebeurtenis |
Directory-Services-SAM |
|
Gebeurtenistekst |
De beveiligingsaccountmanager gebruikt de opgegeven beveiligingsdescriptor voor validatie van pogingen om het computeraccount opnieuw te gebruiken tijdens domeindeelname. SDDL-waarde: <SDDL-tekenreeks> Deze acceptatielijst wordt geconfigureerd via groepsbeleid in Active Directory. Zie http://go.microsoft.com/fwlink/?LinkId=2202145 voor meer informatie. |
|
Gebeurtenisniveau |
Fout |
|
Gebeurtenis-id |
16996 |
|
Log |
SYSTEEM |
|
Bron van gebeurtenis |
Directory-Services-SAM |
|
Gebeurtenistekst |
De beveiligingsdescriptor die de lijst met toegestane toestemmingen voor opnieuw gebruik van het computeraccount bevat die wordt gebruikt om domeindeelname van clientaanvragen te valideren, is onjuist ingedeeld. SDDL-waarde: <SDDL-tekenreeks> Deze acceptatielijst wordt geconfigureerd via groepsbeleid in Active Directory. Om dit probleem op te lossen, moet een beheerder het beleid bijwerken om deze waarde in te stellen op een geldige beveiligingsdescriptor of deze uit te schakelen. Zie http://go.microsoft.com/fwlink/?LinkId=2202145 voor meer informatie. |
|
Gebeurtenisniveau |
Fout |
|
Gebeurtenis-id |
16997 |
|
Log |
SYSTEEM |
|
Bron van gebeurtenis |
Directory-Services-SAM |
|
Gebeurtenistekst |
De beveiligingsaccountmanager heeft een computeraccount gevonden dat zwevend lijkt te zijn en geen bestaande eigenaar heeft. Computeraccount: S-1-5-xxx Eigenaar van computeraccount: S-1-5-xxx Zie http://go.microsoft.com/fwlink/?LinkId=2202145 voor meer informatie. |
|
Gebeurtenisniveau |
Waarschuwing |
|
Gebeurtenis-id |
16998 |
|
Log |
SYSTEEM |
|
Bron van gebeurtenis |
Directory-Services-SAM |
|
Gebeurtenistekst |
De beveiligingsaccountmanager heeft een clientaanvraag voor het opnieuw gebruiken van een computeraccount tijdens domeindeelname afgewezen. Het computeraccount en de clientidentiteit voldoen niet aan de beveiligingsvalidatiecontroles. Clientaccount: S-1-5-xxx Computeraccount: S-1-5-xxx Eigenaar van computeraccount: S-1-5-xxx Controleer de recordgegevens van deze gebeurtenis op de NT-foutcode. Zie http://go.microsoft.com/fwlink/?LinkId=2202145 voor meer informatie. |
Indien nodig kan netsetup.log meer informatie geven. Zie het onderstaande voorbeeld van een werkende machine.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Bekende problemen
|
Probleem 1 |
Na de installatie van de updates van 12 september 2023 of hoger kan domeindeelname mislukken in omgevingen waarin het volgende beleid is ingesteld: Netwerktoegang - Clients beperken die externe aanroepen naar SAM mogen uitvoeren - Windows-beveiliging | Microsoft Learn. Dit komt doordat clientcomputers nu geverifieerde SAMRPC-aanroepen naar de domeincontroller uitvoeren om beveiligingsvalidatiecontroles uit te voeren met betrekking tot het opnieuw gebruiken van computeraccounts. Voorbeeld van een netsetup.log waarin dit probleem zich voordeed: |
|
Probleem 2 |
Als het account van de eigenaar van de computer is verwijderd en er wordt geprobeerd het computeraccount opnieuw te gebruiken, wordt gebeurtenis 16997 vastgelegd in het systeemgebeurtenislogboek. Als dit gebeurt, is het goed om het eigendom opnieuw toe te wijzen aan een ander account of een andere groep. |
|
Probleem 3 |
Als alleen de client de update van 14 maart 2023 of hoger heeft, retourneert de Active Directory-beleidscontrole 0x32 STATUS_NOT_SUPPORTED. Eerdere controles die zijn geïmplementeerd in de hotfixes van november zijn van toepassing, zoals hieronder wordt weergegeven: |
