İpucu: Yeni veya düzeltilmiş Ocak 2024 içeriğini görüntülemek için makalenin [Ocak 2024 - Başlangıç] ve [Bitiş - Ocak 2024] etiketlerine bakın.
Özet
11 Ekim 2022 tarihinde ve sonrasında yayımlanan Windows güncelleştirmeleri CVE-2022-38042 tarafından sunulan ek korumaları içerir. Bu korumalar, aşağıdaki durumlar dışında, etki alanına katılma işlemlerinin hedef etki alanındaki mevcut bir bilgisayar hesabını yeniden kullanmasını kasıtlı olarak engeller:
-
İşlemi deneyen kullanıcı, mevcut hesabı oluşturan kullanıcıdır.
Veya
-
Bilgisayar, etki alanı yöneticilerinin bir üyesi tarafından oluşturulmuştur.
Veya
-
Yeniden kullanılan bilgisayar hesabının sahibi, "Etki alanı denetleyicisi: Etki alanına katılma sırasında bilgisayar hesabının yeniden kullanılmasına izin ver" öğesinin üyesidir. grup ilkesi ayarı. Bu ayar, 14 Mart 2023 tarihinde veya sonrasında yayımlanan Windows güncelleştirmelerinin TÜM üye bilgisayarlara ve etki alanı denetleyicilerine yüklenmesini gerektirir.
14 Mart 2023 ve 12 Eylül 2023 tarihinde ve sonrasında yayımlanan Güncelleştirmeler, Windows Server 2012 R2 ve üzeri ile desteklenen tüm istemcilerde etkilenen müşteriler için ek seçenekler sağlayacaktır. Daha fazla bilgi için 11 Ekim 2022 davranışı ve Eylem Gerçekleştirme bölümlerine bakın.
11 Ekim 2022'ye kadar olan davranış
11 Ekim 2022 veya sonraki toplu güncelleştirmeleri yüklemeden önce, istemci bilgisayar Active Directory'yi aynı ada sahip mevcut bir hesap için sorgular. Bu sorgu, etki alanına katılma ve bilgisayar hesabı sağlama sırasında gerçekleşir. Böyle bir hesap varsa, istemci otomatik olarak yeniden kullanma girişiminde bulunur.
Not Etki alanına katılma işlemini deneyen kullanıcının uygun yazma izinleri yoksa yeniden kullanım girişimi başarısız olur. Ancak, kullanıcı yeterli izne sahipse etki alanına katılma başarılı olur.
Etki alanına katılma için ilgili varsayılan davranışlar ve bayraklarla iki senaryo vardır:
-
Etki Alanına Katılma (NetJoinDomain)
-
Varsayılan olarak hesabı yeniden kullanır ( NETSETUP_NO_ACCT_REUSE bayrağı belirtilmediği sürece)
-
-
Hesap sağlama (NetProvisionComputerAccountNetCreateProvisioningPackage).
-
Varsayılan olarak YENIDEN KULLANIM YOK olur ( NETSETUP_PROVISION_REUSE_ACCOUNT belirtilmediği sürece.)
-
11 Ekim 2022 davranışı
Bir istemci bilgisayara 11 Ekim 2022 veya üzeri Windows toplu güncelleştirmelerini yüklediğinizde, etki alanına katılma sırasında istemci, mevcut bir bilgisayar hesabını yeniden kullanma girişiminde bulunana kadar ek güvenlik denetimleri gerçekleştirir. Algoritması:
-
İşlemi deneyen kullanıcı mevcut hesabın oluşturucusuysa hesabı yeniden kullanma girişimine izin verilir.
-
Hesap, etki alanı yöneticilerinin bir üyesi tarafından oluşturulduysa hesabı yeniden kullanma girişimine izin verilir.
Bu ek güvenlik denetimleri, bilgisayara katılmayı denemeden önce yapılır. Denetimler başarılı olursa, birleştirme işleminin geri kalanı daha önce olduğu gibi Active Directory izinlerine tabidir.
Bu değişiklik yeni hesapları etkilemez.
Not 11 Ekim 2022 veya üzeri Windows toplu güncelleştirmelerini yükledikten sonra, bilgisayar hesabı yeniden kullanımıyla etki alanına katılma kasıtlı olarak aşağıdaki hatayla başarısız olabilir:
Hata 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Active Directory'de aynı ada sahip bir hesap var. Hesabın yeniden kullanılması güvenlik ilkesi tarafından engellendi."
Öyleyse, hesap yeni davranış tarafından kasıtlı olarak korunuyordur.
Olay Kimliği 4101, yukarıdaki hata oluştuğunda tetiklenir ve sorun c:\windows\debug\netsetup.log dizinine kaydedilir. Hatayı anlamak ve sorunu çözmek için lütfen Eyleme Geçme başlığı altında verilen adımları izleyin.
14 Mart 2023 davranışı
14 Mart 2023 tarihinde veya sonrasında yayınlanan Windows güncelleştirmelerinde güvenlik sağlamlaştırmada birkaç değişiklik yaptık. Bu değişiklikler 11 Ekim 2022'de yaptığımız tüm değişiklikleri içerir.
İlk olarak, bu sağlamlaştırmadan muaf tutulan grupların kapsamını genişlettik. Etki Alanı Yöneticilerine ek olarak, Kuruluş Yöneticileri ve Yerleşik Yöneticiler grupları artık sahiplik denetiminden muaf tutulur.
İkincisi, yeni bir grup ilkesi ayarı uyguladık. Yöneticiler bunu kullanarak güvenilen bilgisayar hesabı sahiplerinin izin verme listesini belirtebilir. Aşağıdakilerden birinin doğru olup olmadığını bilgisayar hesabı güvenlik denetimini atlar:
-
Hesap, "Etki alanı denetleyicisi: Etki alanına katılma sırasında bilgisayar hesabının yeniden kullanılmasına izin ver" grup ilkesi güvenilen sahip olarak belirtilen bir kullanıcıya aittir.
-
Hesap, "Etki alanı denetleyicisi: Etki alanına katılma sırasında bilgisayar hesabının yeniden kullanılmasına izin ver" grup ilkesi güvenilen sahip olarak belirtilen bir grubun üyesi olan bir kullanıcıya aittir.
Bu yeni grup ilkesi kullanmak için etki alanı denetleyicisi ve üye bilgisayarda tutarlı olarak 14 Mart 2023 veya sonraki bir güncelleştirme yüklü olmalıdır. Bazılarınız otomatik bilgisayar hesabı oluştururken kullandığınız belirli hesaplara sahip olabilir. Bu hesaplar kötüye kullanımdan güvenliyse ve bilgisayar hesapları oluşturmak için onlara güveniyorsanız, bunları muaf tutabilirsiniz. 11 Ekim 2022, Windows güncelleştirmeleri tarafından azaltılan özgün güvenlik açığına karşı yine güvende olacaksınız.
12 Eylül 2023 davranışı
12 Eylül 2023 veya sonrasında yayınlanan Windows güncelleştirmelerinde, güvenlik sağlamlaştırmada birkaç ek değişiklik yaptık. Bu değişiklikler, 11 Ekim 2022'de yaptığımız tüm değişiklikleri ve 14 Mart 2023'teki değişiklikleri içerir.
İlke ayarından bağımsız olarak akıllı kart kimlik doğrulaması kullanılarak etki alanına katılmanın başarısız olmasına neden olan sorunu düzelttik. Bu sorunu düzeltmek için kalan güvenlik denetimlerini Etki Alanı Denetleyicisi'ne geri taşıdık. Bu nedenle, Eylül 2023 güvenlik güncelleştirmesinin ardından istemci makineleri, bilgisayar hesaplarını yeniden kullanmayla ilgili güvenlik doğrulama denetimleri gerçekleştirmek için etki alanı denetleyicisine kimliği doğrulanmış SAMRPC çağrıları yapar.
Ancak, bu durum etki alanına katılma işleminin şu ilkenin ayarlandığı ortamlarda başarısız olmasına neden olabilir: Ağ erişimi: İSTEMCIlerin SAM'ye uzaktan çağrı yapmasına izin verilen istemcileri kısıtlayın. Bu sorunun nasıl çözüleceğini öğrenmek için lütfen "Bilinen Sorunlar" bölümüne bakın.
Ayrıca, gelecek bir Windows güncelleştirmesinde özgün NetJoinLegacyAccountReuse kayıt defteri ayarını kaldırmayı planlıyoruz. [Ocak 2024 - Başlangıç]Bu kaldırma, 13 Ağustos 2024 tarihli güncelleştirme için kesin olmayan bir şekilde zamanlanmıştır. Sürüm tarihleri değiştirilebilir. [Bitiş - Ocak 2024]
Not NetJoinLegacyAccountReuse anahtarını istemcilerinize dağıttıysanız ve 1 değerine ayarladıysanız, en son değişikliklerden yararlanmak için bu anahtarı kaldırmanız (veya 0 olarak ayarlamanız) gerekir.
Eyleme Geç
Bir etki alanı denetleyicisindeki grup ilkesi kullanarak yeni izin verme listesi ilkesini yapılandırın ve tüm eski istemci tarafı geçici çözümlerini kaldırın. Ardından aşağıdakileri yapın:
-
12 Eylül 2023 veya sonraki güncelleştirmeleri tüm üye bilgisayarlara ve etki alanı denetleyicilerine yüklemeniz gerekir.
-
Tüm etki alanı denetleyicileri için geçerli olan yeni veya mevcut bir grup ilkesinde, aşağıdaki adımlarda ayarları yapılandırın.
-
Bilgisayar Yapılandırması\İlkeler\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri altında Etki alanı denetleyicisi: Etki alanına katılma sırasında bilgisayar hesabının yeniden kullanılmasına izin ver'e çift tıklayın.
-
Bu ilke ayarını tanımla'ya tıklayın ve Güvenliği Düzenle...><.
-
İzin Ver iznine kullanıcı veya güvenilir bilgisayar hesabı oluşturucu ve sahip gruplarını eklemek için nesne seçiciyi kullanın. (En iyi yöntem olarak, izinler için grupları kullanmanızı kesinlikle öneririz.) Etki alanına katılma işlemini gerçekleştiren kullanıcı hesabını eklemeyin.
Uyarı: İlke üyeliğini güvenilen kullanıcılar ve hizmet hesaplarıyla sınırlayın. Kimliği doğrulanmış kullanıcıları, herkesi veya diğer büyük grupları bu ilkeye eklemeyin. Bunun yerine, belirli güvenilen kullanıcıları ve hizmet hesaplarını gruplara ekleyin ve bu grupları ilkeye ekleyin.
-
grup ilkesi yenileme aralığını bekleyin veya tüm etki alanı denetleyicilerinde gpupdate /force komutunu çalıştırın.
-
HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" kayıt defteri anahtarının istenen SDDL ile doldurulduğunu doğrulayın. Kayıt defterini el ile düzenlemeyin.
-
12 Eylül 2023 veya sonraki güncelleştirmelerin yüklü olduğu bir bilgisayara katılmayı deneyin. İlkede listelenen hesaplardan birinin bilgisayar hesabına sahip olduğundan emin olun. Ayrıca kayıt defterinde NetJoinLegacyAccountReuse anahtarının etkinleştirilmediğinden de emin olun (1 olarak ayarlanır). Etki alanına katılma başarısız olursa c:\windows\debug\netsetup.log dosyasını denetleyin.
Yine de alternatif bir geçici çözüme ihtiyacınız varsa bilgisayar hesabı sağlama iş akışlarını gözden geçirin ve değişikliklerin gerekli olup olmadığını anlayın.
-
Hedef etki alanında bilgisayar hesabını oluşturan hesabı kullanarak birleştirme işlemini gerçekleştirin.
-
Mevcut hesap eskiyse (kullanılmayan), etki alanına yeniden katılmayı denemeden önce hesabı silin.
-
Bilgisayarı yeniden adlandırın ve henüz mevcut olmayan farklı bir hesap kullanarak katılın.
-
Mevcut hesap güvenilir bir güvenlik sorumlusuna aitse ve yönetici hesabı yeniden kullanmak istiyorsa, Eylül 2023 veya üzeri Windows güncelleştirmelerini yüklemek ve bir izin listesi yapılandırmak için Eyleme Geç bölümündeki yönergeleri izleyin.
NetJoinLegacyAccountReuse kayıt defteri anahtarını kullanmayla ilgili önemli yönergeler
Dikkat: Bu anahtarı bu korumalara geçici bir çözüm olarak ayarlamayı seçerseniz, senaryonuza uygun şekilde başvurulmadığı sürece ortamınızı CVE-2022-38042'ye karşı savunmasız bırakırsınız. Mevcut bilgisayar nesnesinin Oluşturucusu/Sahibi'nin güvenli ve güvenilir bir güvenlik sorumlusu olduğunu onaylamadan bu yöntemi kullanmayın.
Yeni grup ilkesi nedeniyle artık NetJoinLegacyAccountReuse kayıt defteri anahtarını kullanmamalısınız. [Ocak 2024 - Başlangıç]Geçici çözümlere ihtiyacınız olması durumunda anahtarı önümüzdeki birkaç ay boyunca koruyacağız. [Bitiş - Ocak 2024]Senaryonuzda yeni GPO'yu yapılandıramıyorsanız, Microsoft Desteği başvurmanızı kesinlikle öneririz.
|
Yolu |
HKLM\System\CurrentControlSet\Control\LSA |
|
Tür |
REG_DWORD |
|
Ad |
NetJoinLegacyAccountReuse |
|
Değer |
1 Diğer değerler yoksayılır. |
NotMicrosoft, gelecek bir Windows güncelleştirmesinde NetJoinLegacyAccountReuse kayıt defteri ayarı desteğini kaldıracaktır. [Ocak 2024 - Başlangıç]Bu kaldırma, 13 Ağustos 2024 tarihli güncelleştirme için kesin olmayan bir şekilde zamanlanmıştır. Sürüm tarihleri değiştirilebilir. [Bitiş - Ocak 2024]
Çözünmemeler
-
Ortamdaki DC'lere ve istemcilere 12 Eylül 2023 veya sonraki güncelleştirmeleri yükledikten sonra NetJoinLegacyAccountReuse kayıt defterini kullanmayın. Bunun yerine, yeni GPO'yu yapılandırmak için Eylem Gerçekleştir'deki adımları izleyin.
-
Domain Admins güvenlik grubuna hizmet hesapları veya sağlama hesapları eklemeyin.
-
Önceki sahip hesabı silinmediği sürece, bu hesapların sahipliğini yeniden tanımlama girişiminde bilgisayar hesaplarındaki güvenlik tanımlayıcısını el ile düzenlemeyin. Sahibi düzenlemek yeni denetimlerin başarılı olmasını sağlarken, bilgisayar hesabı açıkça gözden geçirilmediği ve kaldırılmadığı sürece özgün sahip için aynı riskli ve istenmeyen izinleri koruyabilir.
-
NetJoinLegacyAccountReuse kayıt defteri anahtarını temel işletim sistemi görüntülerine eklemeyin çünkü anahtar yalnızca geçici olarak eklenip doğrudan etki alanına katılma tamamlandıktan sonra kaldırılmalıdır.
Yeni olay günlükleri
|
Olay günlüğü |
SİSTEM |
|
Olay Kaynağı |
Netjoin |
|
Olay Kimliği |
4100 |
|
Olay Türü |
Bilgi |
|
Olay Metni |
"Etki alanına katılma sırasında, bağlantı kurulan etki alanı denetleyicisi Active Directory'de aynı ada sahip bir bilgisayar hesabı buldu. Bu hesabı yeniden kullanma girişimine izin verildi. Etki alanı denetleyicisi arandı: Etki alanı denetleyicisi adı <>Var olan bilgisayar hesabı DN'si: <bilgisayar hesabı> DN yolu. Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2202145. |
|
Olay günlüğü |
SİSTEM |
|
Olay Kaynağı |
Netjoin |
|
Olay Kimliği |
4101 |
|
Olay Türü |
Hata |
|
Olay Metni |
Etki alanına katılma sırasında, bağlantı kurulan etki alanı denetleyicisi Active Directory'de aynı ada sahip bir bilgisayar hesabı buldu. Güvenlik nedeniyle bu hesabı yeniden kullanma girişimi engellendi. Etki alanı denetleyicisi arandı: Mevcut bilgisayar hesabı DN' si: Hata kodu> hata kodu <. Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2202145. |
Hata ayıklama günlüğü tüm istemci bilgisayarlarda C:\Windows\Debug\netsetup.log dosyasında varsayılan olarak kullanılabilir (ayrıntılı günlük kaydını etkinleştirmeniz gerekmez).
Güvenlik nedeniyle hesabın yeniden kullanılması engellendiğinde oluşturulan hata ayıklama günlüğü örneği:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac
Mart 2023'te yeni etkinlikler eklendi
Bu güncelleştirme, etki alanı denetleyicisindeki SYSTEM günlüğüne aşağıdaki gibi dört (4) yeni olay ekler:
|
Olay Düzeyi |
Bilgi |
|
Olay Kimliği |
16995 |
|
Günlük |
SİSTEM |
|
Olay Kaynağı |
Directory-Services-SAM |
|
Olay Metni |
Güvenlik hesabı yöneticisi, etki alanına katılma sırasında bilgisayar hesabı yeniden kullanım denemelerini doğrulama amacıyla belirtilen güvenlik tanımlayıcısını kullanıyor. SDDL Değeri: SDDL Dizesi> < Bu izin listesi Active Directory'deki grup ilkesi aracılığıyla yapılandırılır. Daha fazla bilgi için bkz. http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Olay Düzeyi |
Hata |
|
Olay Kimliği |
16996 |
|
Günlük |
SİSTEM |
|
Olay Kaynağı |
Directory-Services-SAM |
|
Olay Metni |
bilgisayar hesabının yeniden kullanılmasını içeren güvenlik tanımlayıcısı, istemci istekleri etki alanına katılımını doğrulamak için kullanılan izin listesinin hatalı biçimlendirilmiş olduğunu gösterir. SDDL Değeri: SDDL Dizesi> < Bu izin listesi Active Directory'deki grup ilkesi aracılığıyla yapılandırılır. Bu sorunu düzeltmek için bir yöneticinin ilkeyi güncelleştirerek bu değeri geçerli bir güvenlik tanımlayıcısına ayarlaması veya devre dışı bırakması gerekir. Daha fazla bilgi için bkz. http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Olay Düzeyi |
Hata |
|
Olay Kimliği |
16997 |
|
Günlük |
SİSTEM |
|
Olay Kaynağı |
Directory-Services-SAM |
|
Olay Metni |
Güvenlik hesabı yöneticisi, yalnız bırakılmış gibi görünen ve var olan bir sahibi olmayan bir bilgisayar hesabı buldu. Bilgisayar Hesabı: S-1-5-xxx Bilgisayar Hesabı Sahibi: S-1-5-xxx Daha fazla bilgi için bkz. http://go.microsoft.com/fwlink/?LinkId=2202145. |
|
Olay Düzeyi |
Uyarı |
|
Olay Kimliği |
16998 |
|
Günlük |
SİSTEM |
|
Olay Kaynağı |
Directory-Services-SAM |
|
Olay Metni |
Güvenlik hesabı yöneticisi, etki alanına katılma sırasında bir bilgisayar hesabını yeniden kullanma istemci isteğini reddetti. Bilgisayar hesabı ve istemci kimliği güvenlik doğrulama denetimlerini karşılamıyor. İstemci Hesabı: S-1-5-xxx Bilgisayar Hesabı: S-1-5-xxx Bilgisayar Hesabı Sahibi: S-1-5-xxx NT Hata kodu için bu olayın kayıt verilerini denetleyin. Daha fazla bilgi için bkz. http://go.microsoft.com/fwlink/?LinkId=2202145. |
Gerekirse, netsetup.log daha fazla bilgi verebilir. Çalışan bir makineden aşağıdaki örniğe bakın.
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2.
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Bilinen sorunlar
|
Sorun 1 |
12 Eylül 2023 veya sonraki güncelleştirmeleri yükledikten sonra, etki alanına katılma şu ilkenin ayarlandığı ortamlarda başarısız olabilir: Ağ erişimi - SAM'ye uzak çağrı yapma izni olan istemcileri kısıtla - Windows Güvenliği | Microsoft Learn. Bunun nedeni, istemci makinelerinin artık bilgisayar hesaplarını yeniden kullanmayla ilgili güvenlik doğrulama denetimleri gerçekleştirmek için etki alanı denetleyicisine kimliği doğrulanmış SAMRPC çağrıları yapmasıdır. Bu sorunun oluştuğu netsetup.log örneği: |
|
Sorun 2 |
Bilgisayar sahibi hesabı silinmişse ve bilgisayar hesabını yeniden kullanma girişimi gerçekleşirse, Olay 16997 Sistem olay günlüğüne kaydedilir. Böyle bir durumda sahipliği başka bir hesaba veya gruba yeniden atayabilirsiniz. |
|
Sorun 3 |
Yalnızca istemcide 14 Mart 2023 veya üzeri bir güncelleştirme varsa, Active Directory ilke denetimi 0x32 STATUS_NOT_SUPPORTED döndürür. Kasım düzeltmelerinde uygulanan önceki denetimler aşağıda gösterildiği gibi uygulanır: |
