Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Suggerimento: Per visualizzare il contenuto di gennaio 2024 nuovo o modificato, vedere i tag [Gennaio 2024 - Inizio] e [Fine - Gennaio 2024] nell'articolo.

Riassunto

Gli aggiornamenti di Windows rilasciati dopo l'11 ottobre 2022 contengono protezioni aggiuntive introdotte da CVE-2022-38042. Queste protezioni impediscono intenzionalmente alle operazioni di aggiunta a un dominio di riutilizzare un account computer esistente nel dominio di destinazione a meno che:

  • L'utente che tenta l'operazione è l'autore dell'account esistente.

    Oppure

  • Il computer è stato creato da un membro degli amministratori di dominio.

    Oppure

  • Il proprietario dell'account computer che viene riutilizzato è un membro del "Controller di dominio: Consenti riutilizzare l'account computer durante l'aggiunta al dominio". Criteri di gruppo impostazione. Questa impostazione richiede l'installazione degli aggiornamenti di Windows rilasciati dopo il 14 marzo 2023 o successivamente in TUTTI i computer membri e i controller di dominio.

Aggiornamenti rilasciato dopo il 14 marzo 2023 e il 12 settembre 2023, forniranno opzioni aggiuntive per i clienti interessati in Windows Server 2012 R2 e oltre e per tutti i client supportati. Per altre informazioni, vedi le sezioni Comportamento dell'11 ottobre 2022 e Azioni da intraprendere

Comportamento prima dell'11 ottobre 2022

Prima di installare gli aggiornamenti cumulativi dell'11 ottobre 2022 o successivi, il computer client esegue una query in Active Directory per cercare un account esistente con lo stesso nome. Questa query si verifica durante il provisioning dell'account del computer e dell'aggiunta a un dominio. Se esiste un account di questo tipo, il cliente tenterà automaticamente di riutilizzarlo.

Nota Il tentativo di riutilizzo avrà esito negativo se l'utente che tenta l'operazione di aggiunta al dominio non dispone delle autorizzazioni di scrittura appropriate. Tuttavia, se l'utente dispone di autorizzazioni sufficienti, l'aggiunta al dominio avrà esito positivo.

Esistono due scenari per l'aggiunta al dominio con i rispettivi comportamenti e flag predefiniti come indicato di seguito:

Comportamento dell'11 ottobre 2022 

Dopo aver installato gli aggiornamenti cumulativi di Windows dell'11 ottobre 2022 o successivi in un computer client, durante l'aggiunta al dominio, il client eseguirà ulteriori controlli di sicurezza prima di tentare di riutilizzare un account computer esistente. Algoritmo:

  1. Il tentativo di riutilizzo dell'account sarà consentito se l'utente che tenta l'operazione è l'autore dell'account esistente.

  2. Il tentativo di riutilizzo dell'account sarà consentito se l'account è stato creato da un membro degli amministratori di dominio.

Questi controlli di sicurezza aggiuntivi vengono eseguiti prima di tentare di partecipare al computer. Se i controlli hanno esito positivo, il resto dell'operazione di join è soggetto alle autorizzazioni di Active Directory come in precedenza.

Questa modifica non influisce sui nuovi account.

Nota Dopo l'installazione degli aggiornamenti cumulativi di Windows dell'11 ottobre 2022 o successivi, l'aggiunta al dominio con il riutilizzo dell'account del computer potrebbe intenzionalmente non riuscire con l'errore seguente:

Errore 0xaac (2732): NERR_AccountReuseBlockedByPolicy: "Esiste un account con lo stesso nome in Active Directory. Il riutilizzo dell'account è stato bloccato dai criteri di sicurezza".

In tal caso, l'account viene intenzionalmente protetto dal nuovo comportamento.

L'ID evento 4101 verrà attivato quando si verifica l'errore precedente e il problema verrà registrato in c:\windows\debug\netsetup.log. Seguire la procedura seguente in Intervenire per comprendere l'errore e risolvere il problema.Please follow the steps below in Take Action to understand the failure and resolve the issue.

Comportamento del 14 marzo 2023

Negli aggiornamenti di Windows rilasciati dopo il 14 marzo 2023 sono state apportate alcune modifiche alla protezione avanzata. Queste modifiche includono tutte le modifiche apportate a ottobre 11, 2022.

In primo luogo, abbiamo ampliato l'ambito dei gruppi che sono esenti da questa protezione avanzata. Oltre agli amministratori di dominio, gli amministratori enterprise e i gruppi di amministratori predefiniti sono ora esenti dal controllo di proprietà.

In secondo luogo, abbiamo implementato una nuova impostazione di Criteri di gruppo. Gli amministratori possono usarlo per specificare un elenco di account attendibili. L'account del computer ignora il controllo di sicurezza se si verifica una delle condizioni seguenti:

  • L'account è di proprietà di un utente specificato come proprietario attendibile nell'Criteri di gruppo "Controller di dominio: Consenti riutili Criteri di gruppo dell'account computer durante l'aggiunta al dominio".

  • L'account è di proprietà di un utente membro di un gruppo specificato come proprietario attendibile nel Criteri di gruppo "Controller di dominio: consenti il riutilizzo dell'account computer durante l'aggiunta al dominio".

Per usare questo nuovo Criteri di gruppo, il controller di dominio e il computer membro devono avere installato in modo coerente l'aggiornamento del 14 marzo 2023 o successivo. Alcuni di voi potrebbero avere account specifici che si usano per la creazione automatica di account computer. Se questi account sono al sicuro da abusi e li consideri attendibili per creare account di computer, è possibile esentarli. Sarai comunque protetto contro la vulnerabilità originale attenuata dagli aggiornamenti di Windows dell'11 ottobre 2022.

Comportamento del 12 settembre 2023

Negli aggiornamenti di Windows rilasciati dopo il 12 settembre 2023 sono state apportate alcune modifiche aggiuntive alla protezione avanzata. Queste modifiche includono tutte le modifiche apportate nell'11 ottobre 2022 e le modifiche del 14 marzo 2023.

È stato risolto un problema per cui l'aggiunta a un dominio con l'autenticazione tramite smart card non riesce indipendentemente dall'impostazione dei criteri. Per risolvere il problema, i controlli di sicurezza rimanenti sono stati spostati nuovamente nel controller di dominio. Pertanto, a seguito dell'aggiornamento della sicurezza di settembre 2023, i computer client effettuano chiamate SAMRPC autenticate al controller di dominio per eseguire controlli di convalida della sicurezza relativi al riutilizzo degli account computer.

Tuttavia, ciò potrebbe causare l'esito negativo dell'aggiunta a un dominio in ambienti in cui è impostato il criterio seguente: Accesso di rete: Limitare i client autorizzati a effettuare chiamate remote a SAM.  Per informazioni su come risolvere il problema, vedere la sezione "Problemi noti".

Prevediamo anche di rimuovere l'impostazione originale del Registro di sistema NetJoinLegacyAccountReuse in un futuro aggiornamento di Windows. [Gennaio 2024 - Inizio]Questa rimozione è pianificata provvisoriamente per l'aggiornamento datato 13 agosto 2024. Le date di rilascio sono soggette a modifica. [Fine - Gennaio 2024]

Nota Se è stata distribuita la chiave NetJoinLegacyAccountReuse nei client e la si è impostata sul valore 1, è necessario rimuovere la chiave (o impostarla su 0) per trarre vantaggio dalle ultime modifiche. 

Intervenire

Configurare il nuovo criterio elenco di indirizzi consentiti usando la Criteri di gruppo in un controller di dominio e rimuovere eventuali soluzioni alternative legacy sul lato client. Quindi, eseguire le operazioni seguenti:

  1. È necessario installare gli aggiornamenti del 12 settembre 2023 o successivi in tutti i computer membri e i controller di dominio. 

  2. In un criterio di gruppo nuovo o esistente che si applica a tutti i controller di dominio, configurare le impostazioni nei passaggi seguenti.

  3. In Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza fare doppio clic su Controller di dominio: Consentire il riutilizzo dell'account computer durante l'aggiunta al dominio.

  4. Selezionare Definisci questa impostazione dei criteri e <Modifica sicurezza...>.

  5. Usare selezione oggetti per aggiungere utenti o gruppi di autori di account di computer attendibili e proprietari all'autorizzazione Consenti . Come procedura consigliata, è consigliabile usare i gruppi per le autorizzazioni. Non aggiungere l'account utente che esegue l'aggiunta al dominio.

    Avviso: Limitare l'appartenenza ai criteri agli utenti attendibili e agli account del servizio. Non aggiungere utenti autenticati, tutti o altri gruppi di grandi dimensioni a questo criterio. Aggiungere invece specifici utenti attendibili e account di servizio ai gruppi e aggiungerli al criterio.

  6. Attendere l'intervallo di aggiornamento Criteri di gruppo o eseguire gpupdate /force in tutti i controller di dominio.

  7. Verifica che la chiave del Registro di sistema HKLM\System\CCS\Control\SAM – "ComputerAccountReuseAllowList" sia popolata con il file SDDL desiderato. Non modificare manualmente il Registro di sistema.

  8. Prova a partecipare a un computer in cui sono installati gli aggiornamenti del 12 settembre 2023 o successivi. Verificare che uno degli account elencati nel criterio sia il proprietario dell'account del computer. Assicurarsi inoltre che nel Registro di sistema non sia abilitata la chiave NetJoinLegacyAccountReuse (impostata su 1). Se il join di dominio non riesce, controllare il c:\windows\debug\netsetup.log.

Se è ancora necessaria una soluzione alternativa, esaminare i flussi di lavoro di provisioning degli account del computer e verificare se sono necessarie modifiche. 

  1. Eseguire l'operazione di join usando lo stesso account che ha creato l'account computer nel dominio di destinazione.

  2. Se l'account esistente non è aggiornato (inutilizzato), eliminarlo prima di tentare di aggiungersi di nuovo al dominio.

  3. Rinomina il computer e partecipa con un account diverso che non esiste già.

  4. Se l'account esistente è di proprietà di un'entità di sicurezza attendibile e un amministratore vuole riutilizzare l'account, seguire le indicazioni nella sezione Azioni da intraprendere per installare gli aggiornamenti di Windows di settembre 2023 o versioni successive e configurare un elenco di domini consentiti.

Indicazioni importanti per l'uso della chiave del Registro di sistema NetJoinLegacyAccountReuse

Attenzione: Se si sceglie di impostare questa chiave per aggirare queste protezioni, si lascerà l'ambiente vulnerabile a CVE-2022-38042, a meno che non si faccia riferimento allo scenario di seguito come appropriato. Non utilizzare questo metodo senza confermare che creatore/proprietario dell'oggetto computer esistente è un'entità di sicurezza sicura e attendibile. 

A causa della nuova Criteri di gruppo, non è più consigliabile usare la chiave del Registro di sistema NetJoinLegacyAccountReuse. [Gennaio 2024 - Inizio]La chiave verrà mantenuta per diversi mesi nel caso in cui sia necessaria una soluzione alternativa. [Fine - Gennaio 2024]Se non è possibile configurare il nuovo oggetto Criteri di gruppo nel proprio scenario, è consigliabile contattare supporto tecnico Microsoft.

Percorso

HKLM\System\CurrentControlSet\Control\LSA

Tipo

REG_DWORD

Nome

NetJoinLegacyAccountReuse

Valore

1

Gli altri valori vengono ignorati.

NotaMicrosoft rimuoverà il supporto per l'impostazione del Registro di sistema NetJoinLegacyAccountReuse in un futuro aggiornamento di Windows. [Gennaio 2024 - Inizio]Questa rimozione è pianificata provvisoriamente per l'aggiornamento datato 13 agosto 2024. Le date di rilascio sono soggette a modifica. [Fine - Gennaio 2024]

Nonsoluzioni

  • Dopo aver installato gli aggiornamenti del 12 settembre 2023 o successivi in controller di dominio e client nell'ambiente, non usare il Registro di sistema NetJoinLegacyAccountReuse . Segui invece i passaggi descritti in Intervenire per configurare il nuovo oggetto Criteri di gruppo. 

  • Non aggiungere account di servizio o account di provisioning al gruppo di sicurezza Domain Admins.

  • Non modificare manualmente il descrittore di sicurezza negli account computer nel tentativo di ridefinire la proprietà di tali account, a meno che l'account proprietario precedente non sia stato eliminato. Durante la modifica del proprietario, i nuovi controlli avranno esito positivo, l'account del computer potrebbe mantenere le stesse autorizzazioni potenzialmente rischiose e indesiderate per il proprietario originale, a meno che non siano state esaminate e rimosse esplicitamente.

  • Non aggiungere la chiave del Registro di sistema NetJoinLegacyAccountReuse per basare le immagini del sistema operativo perché la chiave deve essere aggiunta e rimossa solo temporaneamente al termine dell'aggiunta al dominio.

Nuovi registri eventi

Registro eventi

SISTEMA
 

Origine evento

Netjoin

ID evento

4100

Tipo di evento

Informativo

Testo evento

"Durante l'aggiunta al dominio, il controller di dominio contattato ha trovato un account computer esistente in Active Directory con lo stesso nome.

È stato consentito un tentativo di riutilirsi di questo account.

Controller di dominio cercato: <nome del controller di dominio>DN account computer esistente: percorso DN <dell'account computer>. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2202145.

Registro eventi

SISTEMA

Origine evento

Netjoin

ID evento

4101

Tipo di evento

Errore

Testo evento

Durante l'aggiunta al dominio, il controller contattato ha trovato un account computer esistente in Active Directory con lo stesso nome. Per motivi di sicurezza è stato impedito un tentativo di riutilizzo dell'account. Controller di dominio cercato: DN account computer esistente: il codice di errore è stato <codice di errore>. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2202145.

La registrazione di debug è disponibile per impostazione predefinita (non è necessario abilitare alcuna registrazione dettagliata) in C:\Windows\Debug\netsetup.log in tutti i computer client.

Esempio di registrazione di debug generata quando viene impedito il riutilizzo dell'account per motivi di sicurezza:

NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=Computer2,CN=Computers,DC=contoso,DC=com
NetpCheckIfAccountShouldBeReused: Account was created through joinpriv and does not belong to this user. Blocking re-use of account.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac
NetpProvisionComputerAccount: LDAP creation failed: 0xaac
ldap_unbind status: 0x0
NetpJoinCreatePackagePart: status:0xaac.
NetpJoinDomainOnDs: Function exits with status of: 0xaac
NetpJoinDomainOnDs: status of disconnecting from '\\DC1.contoso.com': 0x0
NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
NetpDoDomainJoin: status: 0xaac

Nuovi eventi aggiunti a marzo 2023 

Questo aggiornamento aggiunge quattro (4) nuovi eventi nel registro SYSTEM sul controller di dominio come segue:

Livello evento

Informativo

ID evento

16995

Registro

SISTEMA

Origine evento

Directory Services-SAM

Testo evento

Gestione account di sicurezza usa il descrittore di sicurezza specificato per la convalida dei tentativi di riutilizzo dell'account computer durante l'aggiunta a un dominio.

Valore SDDL: <> stringa SDDL

Questo elenco di indirizzi consentiti è configurato tramite Criteri di gruppo in Active Directory.

Per ulteriori informazioni, vedi http://go.microsoft.com/fwlink/?LinkId=2202145.

Livello evento

Errore

ID evento

16996

Registro

SISTEMA

Origine evento

Directory Services-SAM

Testo evento

Il descrittore di sicurezza che contiene l'elenco degli account di computer consentiti usato per convalidare le richieste client di aggiunta al dominio non è corretto.

Valore SDDL: <> stringa SDDL

Questo elenco di indirizzi consentiti è configurato tramite Criteri di gruppo in Active Directory.

Per risolvere il problema, un amministratore dovrà aggiornare il criterio per impostare questo valore su un descrittore di sicurezza valido o disabilitarlo.

Per ulteriori informazioni, vedi http://go.microsoft.com/fwlink/?LinkId=2202145.

Livello evento

Errore

ID evento

16997

Registro

SISTEMA

Origine evento

Directory Services-SAM

Testo evento

Gestione account di sicurezza ha trovato un account computer che sembra orfano e non ha un proprietario esistente.

Account computer: S-1-5-xxx

Proprietario account computer: S-1-5-xxx

Per ulteriori informazioni, vedi http://go.microsoft.com/fwlink/?LinkId=2202145.

Livello evento

Attenzione

ID evento

16998

Registro

SISTEMA

Origine evento

Directory Services-SAM

Testo evento

L'account manager della sicurezza ha rifiutato una richiesta client di riutilirsi di un account computer durante l'aggiunta al dominio.

L'account del computer e l'identità client non hanno soddisfatto i controlli di convalida della sicurezza.

Account client: S-1-5-xxx

Account computer: S-1-5-xxx

Proprietario account computer: S-1-5-xxx

Controllare i dati dei record di questo evento per il codice di errore NT.

Per ulteriori informazioni, vedi http://go.microsoft.com/fwlink/?LinkId=2202145.

Se necessario, netsetup.log può fornire altre informazioni. Vedere l'esempio seguente da un computer funzionante.

NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=contoso,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: 0, NetStatus: 0
NetpDsValidateComputerAccountReuseAttempt: returning Result: TRUE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x0.
NetpCheckIfAccountShouldBeReused: Account re-use attempt was permitted by Active Directory Policy.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x0

Problemi noti

Problema 1

Dopo l'installazione degli aggiornamenti del 12 settembre 2023 o successivi, l'aggiunta al dominio potrebbe non riuscire negli ambienti in cui sono impostati i criteri seguenti: Accesso alla rete - Limitare i client autorizzati a effettuare chiamate remote a SAM - Sicurezza di Windows | Microsoft Learn. Ciò è dovuto al fatto che i computer client effettuano chiamate SAMRPC autenticate al controller di dominio per eseguire i controlli di convalida della sicurezza relativi al riutilizzo degli account computer.
    
Questo è previsto. Per accettare questa modifica, gli amministratori devono mantenere i criteri SAMRPC del controller di dominio alle impostazioni predefinite OPPURE includere in modo esplicito il gruppo di utenti che esegue l'aggiunta al dominio nelle impostazioni SDDL per concedere loro l'autorizzazione. 

Esempio da un netsetup.log in cui si è verificato questo problema:

09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c0000022, NetStatus: 5
09/18/2023 13:37:15:379 NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused: Active Directory Policy check with SAM_DOMAIN_JOIN_POLICY_LEVEL_V2 returned NetStatus:0x5.
09/18/2023 13:37:15:379 NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
09/18/2023 13:37:15:379 NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
09/18/2023 13:37:15:379 NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Problema 2

Se l'account del proprietario del computer è stato eliminato e si verifica un tentativo di riutilizzo dell'account computer, l'evento 16997 verrà registrato nel registro eventi di sistema. In questo caso, è opportuno riasprirne la proprietà a un altro account o gruppo.

Problema 3

Se solo il client ha l'aggiornamento del 14 marzo 2023 o successivo, il controllo dei criteri di Active Directory restituirà 0x32 STATUS_NOT_SUPPORTED. I controlli precedenti implementati negli aggiornamenti rapidi di novembre verranno applicati come illustrato di seguito:

NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=LT-NIClientBA,CN=Computers,DC=contoso,DC=com
NetpGetADObjectOwnerAttributes: Ms-Ds-CreatorSid is empty.
NetpGetNCData: Reading NC data
NetpReadAccountReuseModeFromAD: Searching '<WKGUID=AB1D30F3768811D1ADED00C04FD8D5CD,DC=LT2k16dom,DC=com>' for '(&(ObjectClass=ServiceConnectionPoint)(KeyWords=NetJoin*))'.
NetpReadAccountReuseModeFromAD: Got 0 Entries.
Returning NetStatus: 0, ADReuseMode: 0
IsLegacyAccountReuseSetInRegistry: RegQueryValueEx for 'NetJoinLegacyAccountReuse' returned Status: 0x2. 
IsLegacyAccountReuseSetInRegistry returning: 'FALSE''.
NetpDsValidateComputerAccountReuseAttempt: returning NtStatus: c00000bb, NetStatus: 32 
NetpDsValidateComputerAccountReuseAttempt: returning Result: FALSE
NetpCheckIfAccountShouldBeReused: Active Directory Policy check returned NetStatus:0x32.
NetpCheckIfAccountShouldBeReused:fReuseAllowed: FALSE, NetStatus:0x0
NetpModifyComputerObjectInDs: Account exists and re-use is blocked by policy. Error: 0xaac 
NetpProvisionComputerAccount: LDAP creation failed: 0xaac

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×