Совет: Чтобы просмотреть новое или измененное содержимое за январь 2024 г., ознакомьтесь с тегами [январь 2024 г. — начало] и [конец — январь 2024г.] в этой статье.
Сводка
Обновления Windows, выпущенные 11 октября 2022 г. и позже, содержат дополнительные меры защиты, введенные CVE-2022-38042. Эти меры защиты намеренно запрещают операциям присоединения к домену повторно использовать существующую учетную запись компьютера в целевом домене, если только:
-
Пользователь, пытающийся выполнить операцию, является создателем существующей учетной записи.
Или
-
Компьютер был создан членом администраторов домена.
Или
-
Владелец учетной записи компьютера, которая используется повторно, является членом "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену". групповая политика параметр. Для этого параметра требуется установить обновления Windows, выпущенные 14 марта 2023 г. или позже, на всех компьютерах-членах и контроллерах домена.
Обновления, выпущенные 14 марта 2023 г. и 12 сентября 2023 г., предоставляют дополнительные возможности для затронутых клиентов на Windows Server 2012 R2 и более поздних версий, а также для всех поддерживаемых клиентов. Дополнительные сведения см. в разделах Поведение от 11 октября 2022 г. и Принятие мер .
Поведение до 11 октября 2022 г.
Перед установкой накопительных обновлений от 11 октября 2022 г. или более поздних версий клиентский компьютер запрашивает у Active Directory существующую учетную запись с тем же именем. Этот запрос выполняется во время присоединения к домену и подготовки учетной записи компьютера. Если такая учетная запись существует, клиент автоматически попытается повторно использовать ее.
Примечание Попытка повторного использования завершится ошибкой, если пользователь, который пытается выполнить операцию присоединения к домену, не имеет соответствующих разрешений на запись. Однако если у пользователя достаточно разрешений, присоединение к домену будет выполнено успешно.
Существует два сценария присоединения к домену с соответствующим поведением по умолчанию и флагами следующим образом:
-
Присоединение к домену (NetJoinDomain)
-
По умолчанию используется повторное использование учетной записи (если не указан флаг NETSETUP_NO_ACCT_REUSE )
-
-
Подготовка учетных записей (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
По умолчанию используется значение NO reuse (если не указано NETSETUP_PROVISION_REUSE_ACCOUNT ).
-
Поведение от 11 октября 2022 г.
После установки накопительных обновлений Windows от 11 октября 2022 г. или более поздних версий на клиентском компьютере во время присоединения к домену клиент выполнит дополнительные проверки безопасности, прежде чем пытаться повторно использовать существующую учетную запись компьютера. Алгоритм:
-
Попытка повторного использования учетной записи будет разрешена, если пользователь, пытающийся выполнить операцию, является создателем существующей учетной записи.
-
Попытка повторного использования учетной записи будет разрешена, если учетная запись была создана членом администраторов домена.
Эти дополнительные проверки безопасности выполняются перед попыткой присоединиться к компьютеру. Если проверка прошла успешно, остальная часть операции присоединения зависит от разрешений Active Directory, как и раньше.
Это изменение не влияет на новые учетные записи.
Примечание После установки накопительных обновлений Windows от 11 октября 2022 г. или более поздней версии присоединение к домену с использованием учетной записи компьютера может намеренно завершиться ошибкой со следующей ошибкой:
Ошибка 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Учетная запись с таким же именем существует в Active Directory. Повторное использование учетной записи было заблокировано политикой безопасности".
Если это так, учетная запись намеренно защищена новым поведением.
Событие с идентификатором 4101 будет активировано после возникновения приведенной выше ошибки, и проблема будет зарегистрирована в c:\windows\debug\netsetup.log. Чтобы понять сбой и устранить проблему, выполните приведенные ниже действия.
Поведение от 14 марта 2023 г.
В обновлениях Windows, выпущенных 14 марта 2023 г. или позже, мы внесли несколько изменений в усиление безопасности. Эти изменения включают все изменения, внесенные 11 октября 2022 г.
Во-первых, мы расширили область групп, которые исключены из этой защиты. Помимо администраторов домена, администраторы предприятия и группы встроенных администраторов теперь освобождаются от прав владения проверка.
Во-вторых, мы реализовали новый параметр групповая политика. Администраторы могут использовать его для указания списка разрешенных владельцев доверенных учетных записей компьютеров. Учетная запись компьютера обойдет проверка безопасности, если выполняется одно из следующих действий:
-
Учетная запись принадлежит пользователю, указанному в качестве доверенного владельца в групповая политика "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену".
-
Учетная запись принадлежит пользователю, который является членом группы, указанной в качестве доверенного владельца в групповая политика "Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену".
Чтобы использовать эту новую групповая политика, на контроллере домена и на компьютере-члене должно быть установлено обновление от 14 марта 2023 г. или более поздней версии. Некоторые из вас могут иметь определенные учетные записи, которые используются при автоматическом создании учетной записи компьютера. Если эти учетные записи защищены от злоупотреблений и вы доверяете им создание учетных записей компьютеров, их можно исключить. Вы по-прежнему будете защищены от исходной уязвимости, устраненной обновлениями Windows от 11 октября 2022 г.
Поведение от 12 сентября 2023 г.
В обновлениях Windows, выпущенных 12 сентября 2023 г. или позже, мы внесли несколько дополнительных изменений в усиление безопасности. Эти изменения включают все изменения, внесенные 11 октября 2022 г., и изменения с 14 марта 2023 г.
Устранена проблема, из-за которой не удалось присоединиться к домену с помощью интеллектуальной проверки подлинности карта независимо от параметра политики. Чтобы устранить эту проблему, мы переместили оставшиеся проверки безопасности обратно в контроллер домена. Поэтому после обновления системы безопасности за сентябрь 2023 г. клиентские компьютеры выполняют проверенные вызовы SAMRPC к контроллеру домена для выполнения проверок безопасности, связанных с повторным использованием учетных записей компьютеров.
Однако это может привести к сбою присоединения к домену в средах, где задана следующая политика: Сетевой доступ: Ограничение клиентов, которым разрешено совершать удаленные вызовы к SAM. Сведения о том, как устранить эту проблему, см. в разделе "Известные проблемы".
Мы также планируем удалить исходный параметр реестра NetJoinLegacyAccountReuse в будущем обновлении Windows. [Январь 2024 г. — начало]Это удаление предварительно запланировано для обновления от 13 августа 2024 г. Даты выпуска могут быть изменены. [Конец - январь 2024 г.]
Примечание Если вы развернули ключ NetJoinLegacyAccountReuse на своих клиентах и присвоили ему значение 1, необходимо удалить этот ключ (или задать для него значение 0), чтобы воспользоваться преимуществами последних изменений.
Действие
Настройте новую политику списка разрешений с помощью групповая политика на контроллере домена и удалите все устаревшие обходные решения на стороне клиента. Затем выполните следующие действия.
-
Необходимо установить обновления от 12 сентября 2023 г. или более поздней версии на всех компьютерах-членах и контроллерах домена.
-
В новой или существующей групповой политике, которая применяется ко всем контроллерам домена, настройте параметры, описанные ниже.
-
В разделе Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности дважды щелкните Контроллер домена: разрешить повторное использование учетной записи компьютера во время присоединения к домену.
-
Выберите Определить этот параметр политики и <Изменить безопасность...>.
-
Используйте средство выбора объектов, чтобы добавить пользователей или группы создателей и владельцев доверенных учетных записей компьютеров в разрешение Разрешить . (Рекомендуется использовать группы для разрешений.) Не добавляйте учетную запись пользователя, выполняющего присоединение к домену.
Предупреждение: Ограничьте членство в политике доверенными пользователями и учетными записями служб. Не добавляйте в эту политику пользователей, прошедших проверку подлинности, всех пользователей или другие большие группы. Вместо этого добавьте в группы определенных доверенных пользователей и учетные записи служб и добавьте эти группы в политику.
-
Дождитесь групповая политика интервала обновления или выполните gpupdate /force на всех контроллерах домена.
-
Убедитесь, что раздел реестра HKLM\System\CCS\Control\SAM – ComputerAccountReuseAllowList заполнен требуемым SDDL. Не редактируйте реестр вручную.
-
Попробуйте присоединиться к компьютеру с установленными обновлениями от 12 сентября 2023 г. или более поздних версий. Убедитесь, что одной из учетных записей, перечисленных в политике, принадлежит учетная запись компьютера. Кроме того, убедитесь, что в реестре не включен ключ NetJoinLegacyAccountReuse (задайте значение 1). В случае сбоя присоединения к домену проверка c:\windows\debug\netsetup.log.
Если вам по-прежнему требуется альтернативное решение, ознакомьтесь с рабочими процессами подготовки учетных записей компьютера и поймите, требуются ли изменения.
-
Выполните операцию присоединения, используя ту же учетную запись, которая создала учетную запись компьютера в целевом домене.
-
Если существующая учетная запись устарела (не используется), удалите ее, прежде чем снова присоединиться к домену.
-
Переименуйте компьютер и присоединитесь, используя другую учетную запись, которая еще не существует.
-
Если существующая учетная запись принадлежит доверенному субъекту безопасности и администратор хочет повторно использовать учетную запись, следуйте указаниям в разделе "Принять меры", чтобы установить обновления Windows за сентябрь 2023 г. или более поздней версии и настроить список разрешений.
Важное руководство по использованию раздела реестра NetJoinLegacyAccountReuse
Внимание: Если вы решили настроить этот ключ для обхода этих мер защиты, среда останется уязвимой для CVE-2022-38042, если на ваш сценарий не будет указана ссылка ниже, если это необходимо. Не используйте этот метод без подтверждения того, что создатель или владелец существующего объекта компьютера является безопасным и доверенным субъектом безопасности.
Из-за новой групповая политика больше не следует использовать раздел реестра NetJoinLegacyAccountReuse. [Январь 2024 г. — начало]Мы сохраним ключ в течение следующих нескольких месяцев на случай, если вам потребуются обходные решения. [Конец - январь 2024 г.]Если вы не можете настроить новый объект групповой политики в своем сценарии, настоятельно рекомендуем связаться с служба поддержки Майкрософт.
|
Путь |
HKLM\System\CurrentControlSet\Control\LSA |
|
Тип |
REG_DWORD |
|
Имя |
NetJoinLegacyAccountReuse |
|
Значение |
1 Другие значения игнорируются. |
ПримечаниеКорпорация Майкрософт отменит поддержку параметра реестра NetJoinLegacyAccountReuse в будущем обновлении Windows. [Январь 2024 г. — начало]Это удаление предварительно запланировано для обновления от 13 августа 2024 г. Даты выпуска могут быть изменены. [Конец - январь 2024 г.]
Неразрешаемая
-
После установки 12 сентября 2023 г. или более поздних обновлений на контроллерах домена и клиентах в среде не используйте реестр NetJoinLegacyAccountReuse . Вместо этого выполните действия, описанные в разделе Действие, чтобы настроить новый объект групповой политики.
-
Не добавляйте учетные записи служб или учетные записи подготовки в группу безопасности "Администраторы домена".
-
Не изменяйте дескриптор безопасности в учетных записях компьютеров вручную, пытаясь переопределить владение такими учетными записями, если только предыдущая учетная запись владельца не была удалена. При редактировании владельца новые проверки будут успешно выполнены, учетная запись компьютера может сохранить те же потенциально опасные и нежелательные разрешения для исходного владельца, если они не будут явно проверены и удалены.
-
Не добавляйте раздел реестра NetJoinLegacyAccountReuse в базовые образы ОС, так как этот раздел должен быть временно добавлен, а затем удален непосредственно после присоединения к домену.
Новые журналы событий
|
Журнал событий |
СИСТЕМЫ |
|
Источник события |
Netjoin |
|
Идентификатор события |
4100 |
|
Тип события |
Информационных |
|
Текст события |
"Во время присоединения к домену контроллер домена связался с найденной учетной записью компьютера в Active Directory с тем же именем. Попытка повторного использования этой учетной записи была разрешена. Поиск контроллера домена: <имя контроллера домена>имя существующей учетной записи компьютера DN: <путь DN учетной записи компьютера>. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Журнал событий |
СИСТЕМЫ |
|
Источник события |
Netjoin |
|
Идентификатор события |
4101 |
|
Тип события |
Ошибка |
|
Текст события |
Во время присоединения к домену контроллер домена связался с существующей учетной записью компьютера в Active Directory с тем же именем. Попытка повторного использования этой учетной записи была запрещена по соображениям безопасности. Поиск контроллера домена: DN существующей учетной записи компьютера. Код ошибки был <код ошибки>. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2202145. |
Ведение журнала отладки доступно по умолчанию (нет необходимости включать подробное ведение журнала) в C:\Windows\Debug\netsetup.log на всех клиентских компьютерах.
Пример ведения журнала отладки, созданного при запрете повторного использования учетной записи по соображениям безопасности:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Новые события, добавленные в марте 2023 г.
Это обновление добавляет четыре (4) новых события в журнал SYSTEM на контроллере домена следующим образом:
|
Уровень событий |
Информационных |
|
Идентификатор события |
16995 |
|
Журнала |
СИСТЕМЫ |
|
Источник события |
Directory-Services-SAM |
|
Текст события |
Диспетчер учетных записей безопасности использует указанный дескриптор безопасности для проверки попыток повторного использования учетной записи компьютера во время присоединения к домену. Значение SDDL: <строковое> SDDL Этот список разрешений настраивается с помощью групповой политики в Active Directory. Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Уровень событий |
Ошибка |
|
Идентификатор события |
16996 |
|
Журнала |
СИСТЕМЫ |
|
Источник события |
Directory-Services-SAM |
|
Текст события |
Дескриптор безопасности, содержащий список разрешений повторного использования учетной записи компьютера, используемый для проверки присоединения к домену запросов клиента, имеет неправильный формат. Значение SDDL: <строковое> SDDL Этот список разрешений настраивается с помощью групповой политики в Active Directory. Чтобы устранить эту проблему, администратору потребуется обновить политику, чтобы задать для этого значения допустимый дескриптор безопасности или отключить его. Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Уровень событий |
Ошибка |
|
Идентификатор события |
16997 |
|
Журнала |
СИСТЕМЫ |
|
Источник события |
Directory-Services-SAM |
|
Текст события |
Диспетчер учетных записей безопасности обнаружил учетную запись компьютера, которая, как представляется, потеряна и не имеет существующего владельца. Учетная запись компьютера: S-1-5-xxx Владелец учетной записи компьютера: S-1-5-xxx Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Уровень событий |
Предупреждение |
|
Идентификатор события |
16998 |
|
Журнала |
СИСТЕМЫ |
|
Источник события |
Directory-Services-SAM |
|
Текст события |
Диспетчер учетных записей безопасности отклонил запрос клиента на повторное использование учетной записи компьютера во время присоединения к домену. Учетная запись компьютера и удостоверение клиента не соответствуют проверкам безопасности. Учетная запись клиента: S-1-5-xxx Учетная запись компьютера: S-1-5-xxx Владелец учетной записи компьютера: S-1-5-xxx Проверьте данные записи этого события на наличие кода ошибки NT. Дополнительные сведения см. в разделе http://go.microsoft.com/fwlink/?LinkId=2202145. |
При необходимости netsetup.log может предоставить дополнительные сведения. См. приведенный ниже пример с рабочего компьютера.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Известные проблемы
|
Проблема 1 |
После установки обновлений от 12 сентября 2023 г. или более поздних версий присоединение к домену может завершиться ошибкой в средах, где задана следующая политика: Сетевой доступ — Ограничение удаленных вызовов к SAM клиентам — Безопасность Windows | Microsoft Learn. Это связано с тем, что клиентские компьютеры теперь выполняют проверенные вызовы SAMRPC к контроллеру домена для выполнения проверок безопасности, связанных с повторным использованием учетных записей компьютеров. Пример из netsetup.log, где возникла эта проблема: |
|
Проблема 2 |
Если учетная запись владельца компьютера удалена и предпринята попытка повторного использования учетной записи компьютера, событие 16997 будет зарегистрировано в журнале системных событий. В этом случае можно повторно назначить права владения другой учетной записи или группе. |
|
Проблема 3 |
Если только клиент имеет обновление от 14 марта 2023 г. или более поздней версии, проверка политики Active Directory вернет 0x32 STATUS_NOT_SUPPORTED. Предыдущие проверки, реализованные в ноябрьском исправлении, будут применяться, как показано ниже: |
