به گزارش مایکروسافت بعد از نصب به روز رسانی ماه اکتبر،ممکن است برخی فرآیندهای اتصال دامنه ویندوز ناموفق بوده و با خطای 0xaac (2732) مواجه شود.
این اشکال ناشی از سختگیرانه تر شدن تغییرات در CVE-2022-38042 است که یک آسیب پذیری مجوز دسترسی در خدمات دامنه اکتیو دایرکتوری بوده و به مهاجم اجازه دسترسی به مجوزهای ادمین دامنه را می دهد.
به دلیل این امنیت بیشتر، عملیات اتصال دامنه عمدا از استفاده مجدد یک اکانت کامپیوتر موجود در دامنه هدف، جلوگیری میکند.
با توجه به بررسی ها امنیتی قبل از استفاده مجددا اکانت سیستم موجود، عملیات اتصال دامنه به صورت خودکار بعد از نصب وصله های امنیتی اکتبر 2022 روی کلاینتها، بلاک خواهند شد(تغییرات بر روی اکانتهای جدید تاثیری ندارد).
این اتفاق زمانی رخ می دهد که کاربر برای اتصال به دامنه ای در تلاش است که اجازه نوشتن در آن را ندارد (برای مثال کاربر سازنده یک اکانت موجود است یا کامپیوتر توسط ادمین دامنه ایجاد شده است).
مایکروسافت توضیح می دهد که فرآیندهای اتصال دامنه ممکن است عمدا با خطای 0xaac (2732) : NERR_AccountReuseBlockedByPolicy مواجه شود، این خطا می گوید که اکانتی با نام مشابه در اکتیو دایرکتوری وجود دارد و استفاده مجدد از اکانت طبق سیاست های امنیتی بلاک می شود.
سناریوهای تحت تاثیر شامل برخی از اتصالات دامنه یا عملیات Re-imaging هستند جایی که یک اکانت توسط هویت متفاوتی ایجاد شده است و سپس میخواد به دامنه مجددا یا از ابتدا متصل شود.
به دلیل اینکه این اشکال شناخته شده، فقط در دستگاههای ویندوزی در محیط های سازمانی رخ می دهد، کارشناسان می گویند احتمال اینکه کاربران خانگی تحت تاثیر قرار بگیرند، وجود ندارد.
لیست پلت فرم های تحت تاثیر شامل نسخه های ویندوزی سرور و کلانتی:
• Client: Windows 7 SP1 up to Windows 11, version 22H2
• Server: Windows Server 2008 SP2 up to Windows Server 2022
راه حل
جهت حل این موضوع، ادمینها می توانند :
1. عملیات اتصال با استفاده از همان اکانت ایجاد شده در اکانت کامپیوتری موجود در دامنه هدف، اجرا شود.
2. اگر اکانت موجود بلااستفاده است، قبل از تلاش مجددا برای اتصال به دامنه حذف شود(حذف اکانتهای قدیمی و بدون استفاده موجود).
3. تغییر نام کامپیوتر و اتصال با استفاده از اکانت متفاوتی که در حال حاضر وجود ندارد.
توصیه نمی شود، اما ادمین ها همچنین میتوانند از اکانت موجود متعلق به عضو امنیتی معتبر و قابل اطمینان مجددا استفاده کنند(موقتا)، از طریق تنظیم کلید رجیستری REG-FWORD بنام NetJoinLegacyAccountReuse با استفاده از مقدار “1” در سطح کامپیوتر کلاینتی و لازم است بلافاصله بعد از تکمیل فرآیند اتصال، حذف شود.
مایکروسافت هشدار می هد که : اگر انتخاب شما تنظیم این کلید برای راه حل این حفاظت است، باید آسیب پذیری CVE-2022-38042 در شبکه خود را رها کنید مگر اینکه سناریوی شما طبق شرط زیر اجرا شود.
از این متد بدون تایید ایجاد کننده یا صاحب اکانت کامپیوتر موجود که عضو اصلی امنتی معتبر و قابل اطمینان است، استفاده نشود.
