Microsoft KB5020276 Netjoin Domain join hardening changes

11 Ekim 2022 tarihinde yayımlanan KB5020276 Microsoft güncellemesi CVE-2022-38042 için yama içermektedir, ilgili yama ek koruma ile birlikte gelmektedir.

Bu korumalar, aşağıdaki durumlar dışında, etki alanına katılma işlemlerinin hedef etki alanındaki mevcut bir bilgisayar hesabını yeniden kullanmasını kasıtlı olarak engellemektedir.

  1. İşlemi deneyen kullanıcı, mevcut hesabı oluşturan kullanıcı olduğunda engellenir
  2. Bilgisayar, etki alanı yöneticilerinin bir üyesi tarafından oluşturulmuştur.

11 Ekim 2022 veya sonraki güncelleştirmeleri yüklemeden önce, istemci bilgisayar Active Directory’yi aynı ada sahip mevcut bir hesap için sorgulamaktadır. Bu sorgu, etki alanına katılma ve bilgisayar hesabı sağlama sırasında gerçekleşir. Böyle bir hesap varsa, istemci otomatik olarak yeniden kullanma girişiminde bulunur.

Not Etki alanına katılma işlemini deneyen kullanıcının uygun yazma izinleri yoksa yeniden kullanım girişimi başarısız olur. Ancak, kullanıcı yeterli izne sahipse etki alanına katılma başarılı olur.

Etki alanına katılma için ilgili varsayılan davranışlar ve bayraklarla iki senaryo vardır:

Yeni Çalışma Mantığı

Bir istemci bilgisayara 11 Ekim 2022 veya üzeri Windows toplu güncelleştirmelerini yüklediğinizde, etki alanına katılma sırasında istemci, mevcut bir bilgisayar hesabını yeniden kullanma girişiminde bulunana kadar ek güvenlik denetimleri gerçekleştirir.

Algoritma;

  1. İşlemi deneyen kullanıcı mevcut hesabın oluşturucusuysa hesabı yeniden kullanma girişimine izin verilmektedir
  2. Hesap, etki alanı yöneticilerinin bir üyesi tarafından oluşturulduysa hesabı yeniden kullanma girişimine izin verilir.

Bu ek güvenlik denetimleri, bilgisayara katılmayı denemeden önce yapılır. Denetimler başarılı olursa, birleştirme işleminin geri kalanı daha önce olduğu gibi Active Directory izinlerine tabidir.

Bu değişiklik yeni hesapları etkilemez.

Not 11 Ekim 2022 veya üzeri Windows toplu güncelleştirmelerini yükledikten sonra, bilgisayar hesabı yeniden kullanımıyla etki alanına katılma kasıtlı olarak aşağıdaki hatayla başarısız olabilir:

Hata 0xaac (2732): NERR_AccountReuseBlockedByPolicy: “Active Directory’de aynı ada sahip bir hesap var. Hesabın yeniden kullanılması güvenlik ilkesi tarafından engellendi.”

Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: “An account with the same name exists in Active Directory. Re-using the account was blocked by security policy.”

Öyleyse, hesap yeni davranış tarafından kasıtlı olarak korunuyordur.

Event ID 4101, yukarıdaki hata oluştuğunda tetiklenir ve sorun c:\windows\debug\netsetup.log dizinine kaydedilir. 

NETJOIN Doğrulama İşlemleri

Bilgisayar hesabı sağlama iş akışlarını gözden geçirin ve değişikliklerin gerekli olup olmadığını anlayın.

  1. Hedef etki alanında bilgisayar hesabını oluşturan hesabı kullanarak birleştirme işlemini gerçekleştirin.
  2. Mevcut hesap eskiyse (kullanılmayan), etki alanına yeniden katılmayı denemeden önce hesabı silin.
  3. Bilgisayarı yeniden adlandırın ve henüz mevcut olmayan farklı bir hesap kullanarak katılın.
  4. Mevcut hesap güvenilir bir güvenlik sorumlusuna aitse ve yönetici hesabı yeniden kullanmak istiyorsa, bunu istemci bilgisayar düzeyinde aşağıdaki kayıt defteri anahtarını geçici olarak ayarlayarak yapabilir. Ardından, birleştirme işlemi tamamlandıktan sonra kayıt defteri ayarını hemen kaldırın. Kayıt defteri anahtarındaki değişikliklerin etkili olması için yeniden başlatma gerekmez.
YoluHKLM\System\CurrentControlSet\Control\LSA
TürREG_DWORD
AdNetJoinLegacyAccountReuse
Değer1 Diğer değerler yoksayılır.

4. seçeneği kullanmayla ilgili önemli yönergeler

Dikkat: Bu anahtarı bu korumalara geçici bir çözüm olarak ayarlamayı seçerseniz, senaryonuza uygun şekilde başvurulmadığı sürece ortamınızı CVE-2022-38042′ye karşı savunmasız bırakırsınız. Mevcut bilgisayar nesnesinin Oluşturucusu/Sahibi’nin güvenli ve güvenilir bir güvenlik sorumlusu olduğunu onaylamadan bu yöntemi kullanmayın. 

Aşağıdaki senaryolarda 4. çözümü kullanmak uygundur:

  1. Temsilci izinlerine sahip bir BT yöneticisinin sorun giderme amacıyla bir bilgisayarı hedef etki alanına yeniden katılması gerekir ve özgün hesap oluşturucu güvenilir bir hesaptır.
  2. Bilgisayar hesaplarının ayrılmış bir hizmet hesabı (SCCM veya diğer yazılımlar gibi) kullanılmadan önce oluşturulduğu ve etki alanına katılmanın temsilci etki alanına katılma izinlerine sahip ikinci bir ayrılmış hesap tarafından gerçekleştirildiği bir dağıtım senaryosu (örneğin, “Bu hesabın bu bilgisayarı etki alanına eklemesine izin verilir”).

Microsoft, gelecek bir güncelleştirmede NetJoinLegacyAccountReuse kayıt defteri ayarı desteğini kaldırabilir ve bunu alternatif bir yöntemle değiştirebilir.

  • Domain Admins güvenlik grubuna hizmet hesapları veya sağlama hesapları eklemeyin.
  • Bu tür hesapların sahipliğini yeniden tanımlama amacıyla bilgisayar hesaplarındaki güvenlik tanımlayıcısını el ile düzenlemeyin. Sahibi düzenlemek yeni denetimlerin başarılı olmasını sağlarken, bilgisayar hesabı açıkça gözden geçirilmediği ve kaldırılmadığı sürece özgün sahip için aynı riskli ve istenmeyen izinleri koruyabilir.
  • NetJoinLegacyAccountReuse kayıt defteri anahtarını temel işletim sistemi görüntülerine eklemeyin çünkü anahtar yalnızca geçici olarak eklenip doğrudan etki alanına katılma tamamlandıktan sonra kaldırılmalıdır.

Yeni olay günlükleri

Olay günlüğüSİSTEM
 
Olay KaynağıNetjoin
Olay Kimliği4100
Olay TürüBilgi
Olay Metni“Etki alanına katılma sırasında, etki alanı denetleyicisiyle bağlantı kurularak Active Directory’de aynı ada sahip bir bilgisayar hesabı bulundu.%nBu hesabı yeniden kullanma girişimine izin verildi. %n%nEtki alanı denetleyicisi arandı: %1%nHata hesabı DN’si: %2%n%nDaha fazla bilgi için https://go.microsoft.com/fwlink/?linkid=2202145.
Olay günlüğüSİSTEM
Olay KaynağıNetjoin
Olay Kimliği4101
Olay TürüHata
Olay Metni“Etki alanına katılma sırasında, etki alanı denetleyicisiyle bağlantı kurularak Active Directory’de aynı ada sahip bir bilgisayar hesabı bulundu.%nBu hesabı yeniden kullanma girişimi güvenlik nedenleriyle engellendi.%n%nEtki denetleyicisi arandı: %1%nSözel bilgisayar hesabı DN’si: %2%nDaha fazla bilgi için hata kodu: %3.%n%nHata https://go.microsoft.com/fwlink/?linkid=2202145.”

Hata ayıklama günlüğü tüm istemci bilgisayarlarda C:\Windows\Debug\netsetup.log dosyasında varsayılan olarak kullanılabilir (ayrıntılı günlüğe kaydetmeyi etkinleştirmeniz gerekmez).

Güvenlik nedeniyle hesabın yeniden kullanılması engellendiğinde oluşturulan hata ayıklama günlüğü örneği:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account. NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac NetpProvisionComputerAccount: LDAP creation failed: 0xaac ldap_unbind status: 0x0 NetpJoinCreatePackagePart: status:0xaac. NetpJoinDomainOnDs: Function exits with status of: 0xaac NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0 NetpDoDomainJoin: status: 0xaac

Yorum yapın