Microsoft, Windows Es veröffentlicht regelmäßig Sicherheitsupdates und Verbesserungen für das Betriebssystem. KB5020276 Das Update beinhaltet einige Sicherheitsverbesserungen, die während des Netjoin-Prozesses vorgenommen wurden.
KB5020276 Das Update umfasst Sicherheitsverbesserungen, die während des Netjoin-Prozesses für das Windows-Betriebssystem vorgenommen wurden. Netjoin ist der Prozess des Beitritts eines Computers zu einer Domäne, der es Benutzern ermöglicht, auf Netzwerkressourcen zuzugreifen und Domänenrichtlinien zu unterliegen
Inhaltsverzeichnis
Microsoft KB5020276 Netjoin Domain Join-Härtungsänderungen – Cengiz YILMAZ
Dieses Update stellt sicher, dass während des Domänenbeitrittsprozesses strengere Sicherheitsmaßnahmen implementiert werden. Dadurch soll sichergestellt werden, dass Computer sicher und vor unbefugtem Zugriff geschützt bleiben. Mit dem Update KB5020276 werden die folgenden Sicherheitsänderungen für den Domänenbeitritt vorgenommen:
Anforderung an ein sicheres Passwort: Das Update KB5020276 ermöglicht stärkere Hashing-Algorithmen für Passwörter, die beim Domänenbeitritt verwendet werden. Dadurch werden Passwörter sicherer und widerstandsfähiger gegen Angriffe.
Aktualisierte Sicherheitsrichtlinien: Das Update stellt sicher, dass strengere Sicherheitsrichtlinien für den Domänenbeitritt durchgesetzt werden. Dadurch wird sichergestellt, dass Computer beim Beitritt zur Domäne bestimmte Sicherheitsanforderungen erfüllen und das Ausnutzen von Schwachstellen erschwert wird.
Vorsichtsmaßnahmen zur Kontosperrung: Das Update KB5020276 verstärkt die Maßnahmen zur Kontosperrung während des Domänenbeitrittsprozesses. Dies dient dazu, potenzielle Angriffe und Anmeldeversuche zu erkennen und zu blockieren.
Oktober 11 2022
Was ist CVE-2022-38042?
"Active Directory Die als „Domain Services Elevation of Privilege Vulnerability“ definierte Schwachstelle ermöglicht die Erhöhung von Berechtigungen auf AD. Aus diesem Grund hat Microsoft seine Verfahren zum erneuten Beitritt zu Domänen verschärft. Lassen Sie uns diese Informationen beiseite legen und unseren Weg fortsetzen.
Ab dem 11. Oktober 2022 veröffentlichte Windows-Updates enthalten zusätzlichen Schutz für CVE-2022-38042. Diese Schutzmaßnahmen verhindern, dass Domänenbeitritte absichtlich ein vorhandenes Computerkonto in der Zieldomäne wiederverwenden. Mit Ausnahme der folgenden Fälle:
- Der Benutzer, der die Transaktion durchführt, muss der Benutzer sein, der zuerst das bestehende Konto erstellt hat.
- Der Computer muss von Domänenadministratoren erstellt worden sein.
- Der Besitzer des wiederverwendeten Computerkontos ist „Domänencontroller: Wiederverwendung von Computerkonten während des Domänenbeitritts zulassenEs sollte Mitglied einer Gruppenrichtlinieneinstellung mit dem Namen „ sein. Diese Einstellung erfordert, dass ab dem 14. März 2023 veröffentlichte Windows-Updates auf ALLEN Mitgliedscomputern und Domänencontrollern installiert werden.
- Updates werden ab dem 14. März 2023 für betroffene Kunden veröffentlicht Windows Server Es bietet zusätzliche Optionen für alle Clients, die mit 2012 R2 und höher unterstützt werden.
Sie hilft nicht nur:
Nach der Installation der kumulativen Windows-Updates vom 11. Oktober 2022 oder später schlägt der Domänenbeitritt mit der Wiederverwendung von Computerkonten möglicherweise absichtlich mit der folgenden Fehlermeldung fehl und Sie erhalten möglicherweise die folgende Fehlermeldung.
"Fehler 0xaac (2732): NERR_AccountReuseBlockedByPolicy: „In Active Directory ist ein Konto mit demselben Namen vorhanden. „Die Wiederverwendung des Kontos wurde durch Sicherheitsrichtlinien blockiert.“
"Die Ereignis-ID 4101 wird ausgelöst, wenn der obige Fehler auftritt und das Problem in c:windowsdebugnetsetup.log liegt wird protokolliert.“
März 14 2023
- In Windows-Updates, die am oder nach dem 14. März 2023 veröffentlicht wurden, wurden einige Änderungen zur Erhöhung der Sicherheit vorgenommen. Diese Änderungen umfassen alle Änderungen, die wir am 11. Oktober 2022 vorgenommen haben.
- Erstens wurde der Kreis der von dieser Verschärfung ausgenommenen Gruppen erweitert. Domänenadministratoren, Unternehmensadministratoren und integrierte Administratorengruppen sind jetzt ebenfalls von Eigentumsprüfungen ausgenommen.
- Zweitens wurde eine neue Gruppenrichtlinieneinstellung implementiert, mit der Administratoren eine Berechtigungsliste vertrauenswürdiger Computerkontobesitzer festlegen können. Das Computerkonto umgeht die Sicherheitsprüfung, wenn eine der folgenden Bedingungen zutrifft:
- Ein Benutzer sagte: „Domänencontroller: Wiederverwendung von Computerkonten während des Domänenbeitritts zulassen„ ist in der Gruppenrichtlinie als vertrauenswürdiger Besitzer angegeben.
- Ein Benutzer sagte: „Domänencontroller: Wiederverwendung von Computerkonten während des Domänenbeitritts zulassen„ist ein Mitglied einer Gruppe, die in der Gruppenrichtlinie als vertrauenswürdiger Besitzer angegeben ist.
- Um diese neue Gruppenrichtlinie verwenden zu können, müssen der Domänencontroller und der Mitgliedscomputer das Update vom 14. März 2023 oder höher konsequent installiert haben. In einigen Fällen verfügen Sie möglicherweise über bestimmte Konten, mit denen Sie automatische Computerkonten erstellen. Wenn diese Konten vor Missbrauch sicher sind und Sie der Erstellung von Computerkonten vertrauen, können Sie sie ausnehmen.
Nicht: Sie sind weiterhin vor den ursprünglichen Schwachstellen geschützt, die durch Windows-Updates vom 11. Oktober 2022 gemindert wurden.
Microsoft plant außerdem, den NetJoinLegacyAccountReuse-Eintrag in einem zukünftigen Windows-Update zu entfernen. Diese Entfernung ist derzeit vorläufig für das Update vom 9. September 2023 geplant. Veröffentlichungstermine können sich ändern.
Zu ergreifende Schritte
Konfigurieren Sie so schnell wie möglich vor September 2023 die neue Berechtigungslistenrichtlinie in der Gruppenrichtlinie auf dem Domänencontroller und entfernen Sie alle alten clientseitigen Problemumgehungen.
Führen Sie dann die folgenden Schritte aus:
- Sie müssen die Updates vom 14. März 2023 auf allen Mitgliedscomputern und Domänencontrollern installieren.
- Konfigurieren Sie in einer neuen oder vorhandenen Gruppenrichtlinie, die für alle Domänencontroller gilt, die in den folgenden Schritten angegebenen Einstellungen.
- "ComputerkonfigurationsrichtlinienWindows-EinstellungenSicherheitseinstellungenLokale RichtlinienSicherheitsoption„Unter“-Optionen.Domänencontroller: Wiederverwendung von Computerkonten während des Domänenbeitritts zulassen” Doppelklick.
- "Definieren Sie diese Richtlinieneinstellung und" wählen.
- Fügen Sie mithilfe der Objektauswahl den Benutzern und Gruppen, die Sie gewähren möchten, die Berechtigung „Zulassen“ hinzu. (Als Best Practice empfehlen wir dringend die Verwendung von Gruppen für Berechtigungen.) Fügen Sie nicht das Benutzerkonto hinzu, das den Domänenbeitritt durchführt.
- Warnung: Beschränken Sie Abonnements der Richtlinie auf vertrauenswürdige Benutzer und Dienstkonten. Fügen Sie dieser Richtlinie keine authentifizierten Benutzer, alle Benutzer oder andere große Gruppen hinzu. Fügen Sie stattdessen bestimmte vertrauenswürdige Benutzer und Dienstkonten zu Gruppen hinzu und fügen Sie diese Gruppen der Richtlinie hinzu.
- Warten Sie auf das Aktualisierungsintervall der Gruppenrichtlinie oder führen Sie gpupdate /force auf allen Domänencontrollern aus.
- Stellen Sie sicher, dass der Datensatz „ComputerAccountReuseAllowList“ im HKLMSystemCCSControlSAM-Pfad mit der gewünschten SDDL gefüllt ist. Bearbeiten Sie den Datensatz nicht manuell.
- Versuchen Sie, einem Computer beizutreten, auf dem das Update vom 14. März 2023 oder höher in der Domäne installiert ist. Stellen Sie sicher, dass eines der Konten in der relevanten Richtlinie über das Computerkonto verfügt und dass der NetJoinLegacyAccountReuse-Schlüssel der Registrierung nicht aktiviert (auf 1 gesetzt) ist. Wenn der Beitritt zur Domäne fehlschlägt, überprüfen Sie c:windowsdebugnetsetup.log.
Wenn Sie dennoch eine weitere Problemumgehung benötigen, überprüfen Sie alle Schritte sorgfältig und befolgen Sie die folgenden Schritte
- Treten Sie mit demselben Konto bei, mit dem das Computerkonto in der Zieldomäne erstellt wurde.
- Wenn das vorhandene Konto nicht verwendet wird, löschen Sie das Konto, bevor Sie der Domäne erneut beitreten.
- Benennen Sie den Computer um und treten Sie bei, ohne ein vorhandenes Konto zu verwenden.
- Wenn das vorhandene Konto einem vertrauenswürdigen Sicherheitsprinzipal gehört und ein Administratorkonto das Konto wiederverwenden möchte, befolgen Sie die Anweisungen im Abschnitt „Maßnahmen ergreifen“, um das Windows-Update vom März 2023 zu installieren und eine Berechtigungsliste zu konfigurieren.
- Wichtige Hinweise zur Verwendung des NetJoinLegacyAccountReuse-Datensatzes
Achtung: Wenn Sie diesen Schlüssel festlegen, um diese Schutzmaßnahmen zu umgehen, machen Sie sich anfällig für die Schwachstelle CVE-2022-38042.
Aufgrund der neuen Gruppenrichtlinie sollten Sie den NetJoinLegacyAccountReuse-Datensatz nicht mehr verwenden. Wenn Sie das neue Gruppenrichtlinienobjekt in Ihrem Szenario nicht konfigurieren können,
Sie können das untenstehende Register nutzen.
| Path | HKLMSystemCurrentControlSetControlLSA |
| Typ | REG_DWORD |
| Name | NetJoinLegacyAccountReuse |
| Wert | 1 Andere Werte werden ignoriert. |
Microsoft wird die Unterstützung für die NetJoinLegacyAccountReuse-Registrierung in einem zukünftigen Windows-Update entfernen. Diese Entfernung ist derzeit vorläufig für das Update vom 9. September 2023 geplant. Veröffentlichungstermine können sich ändern.
Was sollte nicht getan werden!!
Verwenden Sie den NetJoinLegacyAccountReuse-Eintrag nicht, nachdem Sie Updates vom 14. März 2023 oder später auf Domänencontrollern und Clients in der Umgebung installiert haben. Stattdessen, "Zu ergreifende SchritteBefolgen Sie die Schritte im Abschnitt „.
- Fügen Sie der Gruppe „Domänen-Admins“ keine Dienstkonten oder Bereitstellungskonten hinzu.
- Bearbeiten Sie die Sicherheitsbeschreibung nicht manuell, um den Besitz von Computerkonten neu zu definieren. Durch Bearbeiten des Eigentümers wird möglicherweise sichergestellt, dass neue Prüfungen erfolgreich sind. Das Computerkonto verfügt jedoch möglicherweise über dieselben potenziell riskanten, unerwünschten Berechtigungen wie der ursprüngliche Eigentümer, sofern es nicht ausdrücklich überprüft und entfernt wird.
- Fügen Sie den NetJoinLegacyAccountReuse-Eintrag nicht zu Basisbetriebssystem-Images hinzu, da dieser Eintrag nur vorübergehend hinzugefügt und dann sofort nach Abschluss des Domänenbeitritts direkt entfernt werden sollte.
Neue Ereignis-IDs und Warnungen
| Ereignisprotokoll | SYSTEM |
| Ereignisquelle | netjoin |
| Event ID | 4100 |
| Veranstaltungstyp | Informational |
| Ereignistext | „Während des Domänenbeitritts hat der kontaktierte Domänencontroller ein vorhandenes Computerkonto in Active Directory mit demselben Namen gefunden. Ein Versuch, dieses Konto wiederzuverwenden, wurde zugelassen. Domänencontroller gesucht: Vorhandener Computerkonto-DN: . Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145. |
| Ereignisprotokoll | SYSTEM |
| Ereignisquelle | netjoin |
| Event ID | 4101 |
| Veranstaltungstyp | Fehler |
| Ereignistext | „Während des Domänenbeitritts hat der kontaktierte Domänencontroller ein vorhandenes Computerkonto in Active Directory mit demselben Namen gefunden. Der Versuch, dieses Konto erneut zu verwenden, wurde aus Sicherheitsgründen verhindert. Durchsuchter Domänencontroller: Vorhandener Computerkonto-DN: Der Fehlercode lautete . Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145.“ |
Die Debugprotokollierung ist standardmäßig in C:WindowsDebugnetsetup.log auf allen Clientcomputern verfügbar (keine Notwendigkeit, eine ausführliche Protokollierung zu aktivieren).
Beispiel für die Debug-Protokollierung, die generiert wird, wenn die Wiederverwendung des Kontos aus Sicherheitsgründen verhindert wird:NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account. NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac NetpProvisionComputerAccount: LDAP creation failed: 0xaac ldap_unbind status: 0x0 NetpJoinCreatePackagePart: status:0xaac. NetpJoinDomainOnDs: Function exits with status of: 0xaac NetpJoinDomainOnDs: status of disconnecting from 'DC1.contoso.com': 0x0 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0 NetpDoDomainJoin: status: 0xaac
Dieses Update fügt vier (4) neue Ereignisse im SYSTEM-Protokoll auf dem Domänencontroller hinzu:
| Ereignisebene | Informational |
| Ereignis-ID | 16995 |
| Log | SYSTEM |
| Ereignisquelle | Verzeichnisdienste-SAM |
| Ereignistext | Der Sicherheitskontomanager verwendet die angegebene Sicherheitsbeschreibung zur Validierung von Wiederverwendungsversuchen von Computerkonten während des Domänenbeitritts. SDDL-Wert: Diese Zulassungsliste wird über Gruppenrichtlinien in Active Directory konfiguriert. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
| Ereignisebene | Fehler |
| Ereignis-ID | 16996 |
| Log | SYSTEM |
| Ereignisquelle | Verzeichnisdienste-SAM |
| Ereignistext | Die Sicherheitsbeschreibung, die die Zulassungsliste für die Wiederverwendung von Computerkonten enthält, die zur Validierung von Clientanforderungen bei der Domänenbeitrittsprüfung verwendet wird, ist fehlerhaft. SDDL-Wert: Diese Zulassungsliste wird über eine Gruppenrichtlinie in Active Directory konfiguriert. Um dieses Problem zu beheben, muss ein Administrator die Richtlinie aktualisieren, um diesen Wert auf eine gültige Sicherheitsbeschreibung festzulegen oder ihn zu deaktivieren. Weitere Informationen finden Sie unter. http://go.microsoft.com/fwlink/?LinkId=2202145. |
| Ereignisebene | Fehler |
| Ereignis-ID | 16997 |
| Log | SYSTEM |
| Ereignisquelle | Verzeichnisdienste-SAM |
| Ereignistext | Der Sicherheitskontomanager hat ein Computerkonto gefunden, das scheinbar verwaist ist und keinen bestehenden Besitzer hat.Computerkonto: S-1-5-xxxComputerkontobesitzer: S-1-5-xxxWeitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145. |
| Ereignisebene | Warnung |
| Ereignis-ID | 16998 |
| Log | SYSTEM |
| Ereignisquelle | Verzeichnisdienste-SAM |
| Ereignistext | Der Sicherheitskontomanager hat eine Clientanfrage zur Wiederverwendung eines Computerkontos während des Domänenbeitritts abgelehnt. Das Computerkonto und die Clientidentität haben die Sicherheitsvalidierungsprüfungen nicht bestanden. Clientkonto: S-1-5-xxxComputerkonto: S-1- 5-xxxComputerkontobesitzer: S-1-5-xxxÜberprüfen Sie die Aufzeichnungsdaten dieses Ereignisses auf den NT-Fehlercode. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=2202145 |
Bei Bedarf kann das netsetup.log weitere Informationen liefern. Sehen Sie sich das Beispiel unten von einer funktionierenden Maschine an.NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'. NetpReadAccountReuseModeFromAD: Got 0 Entries. Returning NetStatus: 0, ADReuseMode: 0 IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. IsLegacyAccountReuseSetInRegistry returning: 'FALSE''. NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0 NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0. NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy. NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0
Wenn nur der Client über das Update vom 14. März 2023 oder höher verfügt, wird die Active Directory-Richtlinienprüfung erneut ausgeführt 0x32 STATUS_NOT_SUPPORTED. Frühere Prüfungen, die in den November-Hotfixes implementiert wurden, gelten wie unten gezeigt.NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty. NetpGetNCData: Reading NC data NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'. NetpReadAccountReuseModeFromAD: Got 0 Entries. Returning NetStatus: 0, ADReuseMode: 0 IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. IsLegacyAccountReuseSetInRegistry returning: 'FALSE''. NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32. NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac NetpProvisionComputerAccount: LDAP creation failed: 0xaac
