Hero Image

Netjoin Domain join hardening Änderungen

Quelle: support.microsoft.com (Englisch)

Im Oktober 2022 veröffentlichte Microsoft CVE-2022-38042, eine Sicherheitslücke, die bei Ausnutzung zu einer Domänenübernahme durch Erhöhung der Rechte zum Domänenadmin führen kann.

Sie wurde auf CVSSv3 mit 7.1 und nicht mit 9.x bewertet, vor allem, weil die Ausnutzung komplex ist.

Der Patch ändert, wer in der Lage ist, einen Computer in eine Domäne einzubinden, wenn bereits ein Computerobjekt mit demselben Namen vorhanden ist.

Nach der Anwendung des Patches traten jedoch in vielen Fällen Probleme beim Domänenbeitritt auf.

Dies geschah in der Regel, wenn Computerkonten über ein Dienstkonto in Active Directory bereitgestellt wurden und ein anderes Konto (natürlich kein Domänenadministrator) den Computer mit der Domäne verband.

Bekannte Probleme wurden für Produkte wie Quest / One Identity Active Roles Server, VMware Instant Clones und Broadcom / Symantec Ghost veröffentlicht.

Die Standard-"Lösung" für viele war die Erstellung der Registrierungseinstellung HKLM\System\CurrentControlSet\\Control\LSA\NetJoinLegacyAccountReuse, die von Microsoft als vorübergehende Abhilfe bereitgestellt wurde, aber von vielen als endgültige Lösung akzeptiert wurde.

Warum? Ganz einfach, weil dadurch die Domänenverbindung wieder funktioniert.

Das einzige Problem ist: Durch die Verwendung dieser Registrierungseinstellung kann die Sicherheitslücke erneut ausgenutzt werden.
Sicherlich haben Sie die Microsoft-Anleitung befolgt, diesen Registrierungswert nur zu setzen, wenn Sie den Computer der Domäne beitreten und ihn danach wieder entfernen.

Aber selbst die Option, diesen Registrierungswert zu setzen, eröffnet Angreifern die Möglichkeit, die Sicherheitslücke auszunutzen.

Also musste sich Microsoft etwas anderes einfallen lassen. Und das geschah mit den Patch Tuesday Updates vom März 2023.

Was hat sich mit dem Update vom März 2023 geändert?

Zwei Dinge:

  1. Wir haben jetzt die Möglichkeit, andere Personen als Domänenadministratoren für den Beitritt eines Computers zur Domäne zuzulassen, auch wenn jemand anderes ihn in Active Directory bereitgestellt hat.

    Standardmäßig sind nicht nur Domänenadministratoren, sondern jetzt auch Unternehmensadministratoren und Bulit-in-Administratoren berechtigt, den Domänenbeitritt mit Wiederverwendung des Computerkontos durchzuführen.
    Sie können aber auch Ihre eigene Gruppe angeben, die die Konten enthält, die diese Aktion durchführen dürfen, z. B. das Dienstkonto, das die Computerkonten bereitstellt.

  2. Dies ist der wichtige Teil:
    Microsoft hat angekündigt, dass die Möglichkeit der Verwendung der NetJoinLegacyAccountReuse-Registrierungseinstellung vollständig entfernt wird.

Seit März 2023 ist die Entfernung des Registry-Workarounds für den 9. September 2023 geplant.

Der vollständige KB5020276 Support-Artikel - obwohl er aufgrund der Inline-Ergänzungen vom März 2023 etwas kontraintuitiv zu lesen ist - kann hier gelesen werden.

Wenn Sie also diesen Workaround verwendet haben, haben Sie, sofern Microsoft nicht gezwungen ist, den Zeitplan zu ändern, noch bis Anfang September Zeit, um zu reagieren, bevor Domain join erneut ausfällt.

Was ist zu tun?

(Ich gehe hier davon aus, dass Sie für die Bereitstellung nicht dasselbe Dienstkonto wie für den Domänen-Join verwenden können und dass Sie das vorhandene Computerkonto nicht löschen können, bevor Sie einen Computer mit demselben Namen in die Domäne aufnehmen. Wenn Sie diese Methoden verwenden könnten, gäbe es ohnehin kein Problem mit dem Domänen-Join).

Sehr einfach ausgedrückt:

  1. Verwenden Sie die neue Gruppenrichtlinieneinstellung /Computerkonfiguration\Policies\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Domänencontroller: Wiederverwendung von Computerkonten beim Domänenbeitritt zulassen
    _

  2. Beenden Sie die Verwendung der Registrierungseinstellung HKLM\System\CurrentControlSet\\Control\LSA\NetJoinLegacyAccountReuse.

Ein paar wichtige Dinge bezüglich der neuen Gruppenrichtlinien-Einstellung

Zunächst einmal sollten Sie natürlich nicht die Gruppe "Authentifizierte Benutzer" zu dieser Einstellung hinzufügen, da dies dazu führen würde, dass Sie wieder völlig anfällig für die Sicherheitslücke sind.

Nur sehr wenige Konten, bei denen Sie davon ausgehen können, dass sie sicher und nicht kompromittiert sind, sollten Teil der Gruppe sein, die Sie zu Domänencontroller hinzufügen: Wiederverwendung von Computerkonten beim Domänenbeitritt zulassen.

Zweitens: Beachten Sie, dass Ihre Clients und alle DCs über die Updates vom März 2023 verfügen müssen, damit dies funktioniert.

Der dritte Punkt wird in dem Microsoft KB5020276-Artikel nicht erwähnt:
Das PowerShell-Cmdlet Test-ComputerSecureChannel -Repair verwendet tatsächlich das Verhalten der Wiederverwendung desselben Computerkontos und könnte daher blockiert werden, es sei denn, Sie sind der Eigentümer des Computerkontos, ein Domänenadministrator, Enterprise-Administrator, Mitglied der Gruppe "Integrierte Administratoren" oder der Gruppe, die Sie zu Domänencontroller hinzufügen: Wiederverwendung von Computerkonten beim Domänenbeitritt zulassen.

Ryan Ries sagt zwar: "Beachten Sie den registry-basierten Workaround", aber befolgen Sie diesen Rat nicht, da er gegeben wurde, bevor die viel bessere Lösung vom März 2023 aufkam.

Der Punkt ist: Wenn Ihre Helpdesk-Benutzer dieses PowerShell-Cmdlet verwenden, müssen sie Teil der Gruppe sein, die dem Domänencontroller hinzugefügt wurde: Wiederverwendung von Computerkonten beim Domänenbeitritt zulassen.

Ich persönlich würde davon abraten und die Anzahl der Gruppenmitglieder auf ein absolutes Minimum beschränken, damit die Sicherheitslücke nicht ausgenutzt werden kann.
Aber das bleibt natürlich ganz Ihnen überlassen.

Der August ist also Ihre Chance, herauszufinden, was Sie derzeit mit dem Beitritt bestehender Computerkonten zur Domäne tun, wie Sie es in Zukunft tun werden und wie Sie es vor dem 9. September umsetzen können.