KB11 veröffentlicht am 2022. Oktober 5020276 Microsoft aktualisieren CVE-2022-38042 Der Patch verfügt über einen zusätzlichen Schutz.
Inhaltsverzeichnis
Diese Schutzmaßnahmen verhindern absichtlich, dass Domänenbeitrittsvorgänge ein vorhandenes Computerkonto in der Zieldomäne wiederverwenden, außer in den folgenden Fällen.
- Der Benutzer, der die Aktion versucht, wird blockiert, während der Benutzer, der das bestehende Konto erstellt hat, blockiert wird
- Der Computer wurde von einem Mitglied der Domänenadministratoren erstellt.
Oktober 11 2022 oder vor der Installation späterer Updates auf dem Client-Computer Active DirectoryAbfragen für ein vorhandenes Konto mit demselben Namen. Diese Abfrage erfolgt während des Domänenbeitritts und der Bereitstellung eines Computerkontos. Wenn ein solches Konto vorhanden ist, versucht der Client automatisch, es wiederzuverwenden.
Sie hilft nicht nur Wenn der Benutzer, der versucht, der Domäne beizutreten, nicht über die entsprechenden Schreibberechtigungen verfügt, schlägt der Wiederverwendungsversuch fehl. Wenn der Benutzer jedoch über ausreichende Berechtigungen verfügt, ist der Beitritt zur Domäne erfolgreich.
Es gibt zwei Szenarien für den Domänenbeitritt mit entsprechenden Standardverhalten und Flags:
- Der Domäne beitreten (NetJoinDomain)
- Standardmäßig wird das Konto wiederverwendet (es sei denn, das Flag NETSETUP_NO_ACCT_REUSE ist angegeben).
- Kontobereitstellung (NetProvisionComputerAccountNetCreateProvisioningPackage).
- Standardmäßig KEINE WIEDERVERWENDUNG Es ist möglich ( NETSETUP_PROVISION_REUSE_ACCOUNT sofern nicht anders angegeben.)
Netjoin Neue Arbeitslogik
Wenn Sie die kumulativen Windows-Updates vom 11. Oktober 2022 oder höher auf einem Clientcomputer installieren, führt der Client während des Domänenbeitritts zusätzliche Sicherheitsprüfungen durch, bis der Client versucht, ein vorhandenes Computerkonto wiederzuverwenden.
Algorithmus;
- Der Versuch, das Konto wiederzuverwenden, ist zulässig, wenn der Benutzer, der die Aktion versucht, der Ersteller des vorhandenen Kontos ist
- Wenn das Konto von einem Mitglied der Domänenadministratoren erstellt wurde, ist jeder Versuch, das Konto wiederzuverwenden, zulässig.
Diese zusätzlichen Sicherheitsüberprüfungen werden durchgeführt, bevor Sie versuchen, sich dem Computer anzuschließen. Wenn die Prüfungen erfolgreich sind, unterliegt der weitere Zusammenführungsprozess wie bisher den Active Directory-Berechtigungen.
Diese Änderung wirkt sich nicht auf neue Konten aus.
Sie hilft nicht nur Nach der Installation der kumulativen Windows-Updates vom 11. Oktober 2022 oder später kann der Domänenbeitritt mit der Wiederverwendung von Computerkonten absichtlich mit der folgenden Fehlermeldung fehlschlagen:
Fehler 0xaac (2732): NERR_AccountReuseBlockedByPolicy: „In Active Directory ist ein Konto mit demselben Namen vorhanden. „Die Wiederverwendung des Kontos wird durch Sicherheitsrichtlinien verhindert.“
Fehler 0xaac (2732): NERR_AccountReuseBlockedByPolicy: „In Active Directory ist ein Konto mit demselben Namen vorhanden. „Die Wiederverwendung des Kontos wurde durch Sicherheitsrichtlinien blockiert.“
Wenn ja, wird das Konto durch das neue Verhalten bewusst geschützt.
Die Ereignis-ID 4101 wird ausgelöst, wenn der oben genannte Fehler auftritt und das Problem auftritt Es wird im Verzeichnis c:windowsdebugnetsetup.log gespeichert.
NETJOIN-Verifizierungsverfahren
Überprüfen Sie die Arbeitsabläufe bei der Bereitstellung von Computerkonten und prüfen Sie, ob Änderungen erforderlich sind.
- Führen Sie die Zusammenführung mit dem Konto durch, das das Computerkonto in der Zieldomäne erstellt.
- Wenn das vorhandene Konto alt (nicht verwendet) ist, löschen Sie es, bevor Sie versuchen, der Domäne erneut beizutreten.
- Benennen Sie den Computer um und treten Sie mit einem anderen Konto bei, das noch nicht vorhanden ist.
- Wenn das vorhandene Konto einem vertrauenswürdigen Sicherheitsprinzipal gehört und der Administrator das Konto wiederverwenden möchte, kann er dies tun, indem er den folgenden Registrierungsschlüssel vorübergehend auf der Ebene des Clientcomputers festlegt. Entfernen Sie dann die Registrierungseinstellung sofort nach Abschluss des Defragmentierungsvorgangs. Ein Neustart ist nicht erforderlich, damit Änderungen am Registrierungsschlüssel wirksam werden.
Weg | HKLMSystemCurrentControlSetControlLSA |
Art | REG_DWORD |
Ad | NetJoinLegacyAccountReuse |
Wert | 1 Andere Werte werden ignoriert. |
Wichtige Richtlinien für die Verwendung von Option 4
Dikkat: Wenn Sie diesen Schalter als Workaround für diese Schutzmaßnahmen festlegen, kann es zu Schäden an Ihrer Umgebung kommen, sofern in Ihrem Szenario nicht ordnungsgemäß darauf verwiesen wird. CVE-2022-38042′Du bist dem gegenüber schutzlos ausgeliefert. Verwenden Sie diese Methode nicht, ohne zu bestätigen, dass der Ersteller/Eigentümer des aktuellen Computerobjekts ein sicherer und vertrauenswürdiger Sicherheitsprinzipal ist.
Lösung 4 in den folgenden Szenarien Es ist bequem zu verwenden:
- Ein IT-Administrator mit delegierten Berechtigungen muss einen Computer zur Fehlerbehebung erneut mit der Zieldomäne verbinden, und der ursprüngliche Kontoersteller ist ein vertrauenswürdiges Konto.
- Ein Bereitstellungsszenario, in dem Computerkonten erstellt werden, bevor ein dediziertes Dienstkonto (z. B. SCCM oder andere Software) verwendet wird, und der Domänenbeitritt von einem zweiten dedizierten Konto mit delegierten Domänenbeitrittsberechtigungen durchgeführt wird (z. B. „Dieses Konto darf diesem Konto beitreten“) Computer zur Domäne hinzufügen“).
Microsoft in einem zukünftigen Update NetJoinLegacyAccountReuse kann die Unterstützung für Registrierungseinstellungen entfernen und durch eine alternative Methode ersetzen.
- Fügen Sie der Sicherheitsgruppe „Domänenadministratoren“ keine Dienstkonten oder Bereitstellungskonten hinzu.
- Bearbeiten Sie die Sicherheitsbeschreibung von Computerkonten nicht manuell, um den Besitz solcher Konten neu zu definieren. Durch das Bearbeiten des Eigentümers wird zwar sichergestellt, dass neue Prüfungen erfolgreich sind, es können jedoch dieselben riskanten und unerwünschten Berechtigungen für den ursprünglichen Eigentümer beibehalten werden, sofern das Computerkonto nicht ausdrücklich überprüft und entfernt wird.
- NetJoinLegacyAccountReuse Fügen Sie den Registrierungsschlüssel nicht zu Basisbetriebssystem-Images hinzu, da der Schlüssel nur vorübergehend hinzugefügt und entfernt werden sollte, nachdem der direkte Domänenbeitritt abgeschlossen ist.
Neue Ereignisprotokolle
Ereignisprotokoll | SYSTEM |
Ereignisquelle | netjoin |
Ereignis-ID | 4100 |
Ereignistyp | Informationen |
Ereignistext | „Während des Domänenbeitritts wurde durch Kontaktaufnahme mit dem Domänencontroller ein Computerkonto mit demselben Namen in Active Directory gefunden. %nEin Versuch, dieses Konto wiederzuverwenden, wurde zugelassen. %n%nDomänencontroller durchsucht: %1%nFehlerkonto-DN: %2%n%nWeitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2202145. |
Ereignisprotokoll | SYSTEM |
Ereignisquelle | netjoin |
Ereignis-ID | 4101 |
Ereignistyp | Fehler |
Ereignistext | „Während des Domänenbeitritts wurde durch Kontaktaufnahme mit dem Domänencontroller ein Computerkonto mit demselben Namen in Active Directory gefunden.%nEin Versuch, dieses Konto wiederzuverwenden, wurde aus Sicherheitsgründen blockiert.%n%nDer Domänencontroller hieß: %1%nDas Spezifische Computerkonto-DN: %2%nWeitere Informationen, Fehlercode: %3.%n%nError https://go.microsoft.com/fwlink/?linkid=2202145.“ |
Die Debugprotokollierung ist standardmäßig in der Datei C:WindowsDebugnetsetup.log auf allen Clientcomputern verfügbar (Sie müssen die ausführliche Protokollierung nicht aktivieren).
Beispiel für ein Debug-Protokoll, das generiert wird, wenn die Wiederverwendung von Konten aus Sicherheitsgründen blockiert wird:
NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account. NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac NetpProvisionComputerAccount: LDAP creation failed: 0xaac ldap_unbind status: 0x0 NetpJoinCreatePackagePart: status:0xaac. NetpJoinDomainOnDs: Function exits with status of: 0xaac NetpJoinDomainOnDs: status of disconnecting from 'DC1.contoso.com': 0x0 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0 NetpDoDomainJoin: status: 0xaac
Ein Kommentar zu „Microsoft KB5020276 Netjoin Domain Join Hardening Changes“