Microsoft, Windows Domain Birleştirme işlemlerinin bu ayın güvenlik güncellemelerini uyguladıktan sonra "0xaac (2732)" hatalarıyla başarısız olabileceğini söylüyor.
Sorun, Active Directory Etki Alanı Hizmetlerinde, saldırganların etki alanı yöneticisi ayrıcalıkları kazanmasına izin verecek olan CVE-2022-38042 ayrıcalık güvenlik açığı artışını ele alırken getirilen sertleştirme değişikliklerinden kaynaklanmaktadır.
Bu ek korumalar nedeniyle, etki alanı birleştirme işlemlerinin mevcut bir bilgisayar hesabının hedef etki alanında yeniden kullanılması kasıtlı olarak önlenir.
Etki alanı birleştirme işlemleri, mevcut bir bilgisayar hesabını yeniden kullanmadan önce ek güvenlik kontrolleri nedeniyle istemci bilgisayarlarda Ekim 2022 güvenlik güncellemelerini yükledikten sonra otomatik olarak engellenecektir (değişiklikler yeni hesapları etkilemez).
Bu, etki alanına katılmaya çalışan kullanıcının uygun yazma izinlerine sahip olmadığı sürece gerçekleşir (yani, kullanıcı mevcut hesabın yaratıcısıdır veya bilgisayar bir etki alanı yöneticisi tarafından oluşturulmuştur).
Microsoft, etki alanı birleştirme süreçlerinin "0xaac (2732): Nerr_accountreuseBlockedByPolicy ile" "Active Directory'de aynı adı taşıyan bir hesap var olduğunu söyleyen hatalar" ile kasıtlı olarak başarısız olabileceğini açıkladı.
"Etkilenen senaryolar, bir bilgisayar hesabının, bilgisayarı alana katılmak veya yeniden katılmak için kullanılan kimlikten farklı bir kimlik tarafından oluşturulduğu veya önceden sahnelendiği bazı etki alanı birleştirme veya yeniden görüntüleme işlemlerini içerir."
Bu bilinen sorun yalnızca kurumsal ortamlarda yönetilen Windows cihazlarında gerçekleşeceğinden, Redmond da ev kullanıcılarının da etkilendiği "olası" olmadığını söylüyor.
Etkilenen platformların listesi hem istemci hem de sunucu Windows sürümlerini içerir:
Bu ek korumalar ve güvenlik kontrolleri etrafında çalışmak için Windows yöneticileri şu olabilir:
Tavsiye edilmemesine rağmen, yöneticiler, bireysel müşteri bilgisayar düzeyinde "1" değeri ile "NetJoinleGacyAccountreuse" adlı bir reg_dword kayıt defteri anahtarı tarafından (geçici olarak) güvenilir bir güvenlik müdürünün sahip olduğu mevcut bir hesabı yeniden kullanabilir ve hemen kullanabilirler. Etki alanı birleştirme işlemi tamamlanır.
Microsoft, "Bu anahtarı bu korumalar etrafında çalışacak şekilde ayarlamayı seçerseniz, senaryonunuz aşağıda uygun şekilde atıfta bulunulmadıkça, ortamınızı CVE-2022-38042'ye karşı savunmasız bırakacaksınız."
"Bu yöntemi, mevcut bilgisayar nesnesinin yaratıcısının/sahibinin güvenli ve güvenilir bir güvenlik müdürü olduğunu teyit etmeden kullanmayın."
Microsoft, OneDrive Crashes'i düzeltmek için bant dışı güncellemeleri yayınladı
Microsoft, Windows Fornnerable Driver Blocklist Sync sorununu düzeltiyor
Microsoft, Windows 11 22h2'deki TLS el sıkışma hatalarını düzeltiyor
Microsoft: Sunucu Yöneticisi Disk sıfırlamaları veri kaybına yol açabilir
Microsoft, Windows 11 22H2 Yükseltmelerini Engelleme Baskı Sorunu Düzeltiyor
Kaynak: Bleeping Computer