{"id":273769,"date":"2022-10-12T00:53:35","date_gmt":"2022-10-11T22:53:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273769"},"modified":"2022-10-28T13:53:31","modified_gmt":"2022-10-28T11:53:31","slug":"windows-oktober-2022-patchday-fix-fr-domain-join-hardening-cve-2022-38042-verhindert-ggf-domain-join","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/12\/windows-oktober-2022-patchday-fix-fr-domain-join-hardening-cve-2022-38042-verhindert-ggf-domain-join\/","title":{"rendered":"Windows Oktober 2022-Patchday: Fix f&uuml;r Domain Join Hardening (CVE-2022-38042) verhindert ggf. Domain-Join"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/10\/12\/windows-oktober-2022-patchday-fix-fr-domain-join-hardening-cve-2022-38042-verhindert-ggf-domain-join\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Ich stelle mal eine erste Warnung vor den Oktober 2022-Sicherheitsupdates f\u00fcr Windows hier im Blog ein, da mich ein Leser aus dem Business-Umfeld darauf hingewiesen hat. Die mit den Updates durchgef\u00fchrten Domain Join Hardening-\u00c4nderungen zum Schlie\u00dfen der Schwachstelle (CVE-2022-38042) haben m\u00e4chtige Kollateralsch\u00e4den. Mit diesem Update ist u.U. kein AD-Join der Windows-Clients mehr m\u00f6glich, wenn bestimmte Bedingungen nicht erf\u00fcllt werden k\u00f6nnen &#8211; das betrifft alle Windows-Versionen.<\/p>\n<p><!--more--><\/p>\n<h2>Netjoin: Domain Join Hardening Changes<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/3323bb962e5d4111bc4b5d75de3e226f\" alt=\"\" width=\"1\" height=\"1\" \/>Microsoft beschreibt im Supportbeitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8\" target=\"_blank\" rel=\"noopener\">KB5020276\u2014Netjoin: Domain join hardening changes<\/a> (Artikel wurde zum 12. Oktober 2022 \u00fcberarbeitet) \u00c4nderungen, die wegen der Schwachstelle CVE-2022-38042 in den kumulativen Update-Paketen vom 11. Oktober 2022 f\u00fcr alle unterst\u00fctzten Betriebssysteme eingef\u00fchrt wurden.<\/p>\n<ul>\n<li>Windows Server 2008 (ESU)<\/li>\n<li>Windows 7 (ESU)<\/li>\n<li>Windows Server 2008 R2 (ESU)<\/li>\n<li>Windows Embedded POSReady 7 (ESU)<\/li>\n<li>Windows Server 2012<\/li>\n<li>Windows Server 2012 R2<\/li>\n<li>Windows Embedded 8 Standard<\/li>\n<li>Windows Embedded 8.1<\/li>\n<li>Windows 8.1<\/li>\n<li>Windows RT 8.1<\/li>\n<li>Windows 10 Windows 10, Version 1607<\/li>\n<li>Windows 10 Enterprise 2019 LTSC<\/li>\n<li>Windows 10 IoT Enterprise 2019 LTSC<\/li>\n<li>Windows 10 IoT Core 2019 LTSC<\/li>\n<li>Windows 10 Enterprise Multi-Session, Version 20H2<\/li>\n<li>Windows 10 Enterprise und Education, Version 20H2<\/li>\n<li>Windows 10 IoT Enterprise, Version 20H2<\/li>\n<li>Windows 10 auf Surface Hub<\/li>\n<li>Windows 10, Version 21H1 &#8211; 21H2 (alle Editionen)<\/li>\n<li>Windows 11 Version 21H2 &#8211; 22H2 (alle Editionen)<\/li>\n<li>Windows Server 2016<\/li>\n<li>Windows Server 2019<\/li>\n<li>Windows Server 2022<\/li>\n<\/ul>\n<p>Sobald die kumulativen Windows-Updates vom 11. Oktober 2022 oder sp\u00e4ter auf einem Clientcomputer installiert sind, f\u00fchrt der Client w\u00e4hrend des Dom\u00e4nenbeitritts zus\u00e4tzliche Sicherheitspr\u00fcfungen durch, bevor er versucht, ein bestehendes Computerkonto erneut zu verwenden. Diese \u00c4nderungen werden standardm\u00e4\u00dfig aktiviert und sind laut Microsoft \"sicher\". Im Support-Beitrag hei\u00dft es:<\/p>\n<blockquote><p>W\u00e4hrend des Dom\u00e4nenbeitritts und der Bereitstellung von Computerkonten fragt der Clientcomputer Active Directory nach einem vorhandenen Konto mit demselben Namen ab. Wenn ein solches Konto vorhanden ist, versucht der Client automatisch, es wieder zu verwenden.<\/p><\/blockquote>\n<p>Der Wiederverwendungsversuch schl\u00e4gt laut Microsoft fehl, wenn der Benutzer, der den Dom\u00e4nenbeitritt versucht, nicht \u00fcber die entsprechenden Schreibberechtigungen verf\u00fcgt. Wenn der Benutzer jedoch \u00fcber ausreichende Berechtigungen verf\u00fcgt, sollte der Dom\u00e4nenbeitritt erfolgreich sein. Im Support-Beitrag beschreibt Microsoft Szenarien, warum der Dom\u00e4nenbeitritt (Domain Join) scheitert.<\/p>\n<h2>Dom\u00e4nenbeitritt (Domain Join) scheitert immer<\/h2>\n<p>Blog-Leser Martin E. schrieb mir vor wenigen Minuten, dass die Oktober 2022-Updates f\u00fcr Windows in seiner Umgebung zum Desaster f\u00fchren. Nachdem er das Update KB5018418 f\u00fcr seine Windows 11 21H2 Clients (bei Windows 10 ist es \u00e4hnlich, siehe Screenshot unten) ins Image integriert hatte, konnten die Clients nicht mehr ins AD zur Dom\u00e4ne beitreten (joinen).<\/p>\n<p><img decoding=\"async\" title=\"Netjoin: Domain join hardening changes - affected Windows versions\" src=\"https:\/\/i.imgur.com\/ryezkUf.png\" alt=\"Netjoin: Domain join hardening changes - affected Windows versions\" \/><\/p>\n<p>Das betrifft wohl alle Windows-Versionen. Martin verweist auf den Support-Beitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8\" target=\"_blank\" rel=\"noopener\">KB5020276\u2014Netjoin: Domain join hardening changes (microsoft.com)<\/a> als Ursache. Er steht nun vor dem Problem, dass die Ausnahmen, die in obigem Support-Beitrag beschrieben werden, unm\u00f6glich auf einer umfangreichen Rechner-Flotte garantieren kann. Der User, der die Maschinen angelegt hat, muss auch der Join Account sein oder ein Domain Admin hat den Maschinen-Account angelegt.<\/p>\n<blockquote><p>Ein adhoc-Ansatz w\u00e4re, ein Image mit altem Patch September 2022 zu erstellen, und das Update f\u00fcr Oktober 2022 erst nach dem Domain Join zu installieren.<\/p><\/blockquote>\n<blockquote><p>Das Verlassen einer AD-Domaine und erneute Beitreten w\u00e4re mit dem Oktober 2022-Patch dann nicht mehr m\u00f6glich. Aktuell ist dieses Oktober 2022-Update noch in keinem Windows-Installationsabbild &#8211; selbst Windows 11 22H2 hat im Installationsabbild das Oktober 2022-Update noch nicht integriert (es ist noch auf dem Patchstand von September 2022).<\/p><\/blockquote>\n<p>Wie l\u00f6st ihr dieses Problem? Oder trifft dies bei euch im Unternehmensumfeld nicht zu?<\/p>\n<h2>M\u00f6glicher Workaround<\/h2>\n<p>Martin schrieb in einem Nachgang, dass es eine Hintert\u00fcr geben k\u00f6nnte und hat mir folgenden Screenshot mit einem Trace-Log und einer kurzen Erkl\u00e4rung geschickt:<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/BPgsRBj.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Trace log\" src=\"https:\/\/i.imgur.com\/BPgsRBj.png\" alt=\"Trace log\" width=\"643\" height=\"164\" \/><\/a><\/p>\n<p>Es gibt einen neuen Registrierungseintrag <em>NetJoinLegacyAccountReuse<\/em>, und der Log liefert den Hinweis, dass der Active Directory-Beitritt beim Konto per Sicherheitsrichtlinie blockiert wurde. Martin schreibt:<\/p>\n<blockquote><p>Ich denke Status: 2 = net helpmsg 2 =\u00a0 \"Das System kann die angegebene Datei nicht finden\"<\/p>\n<p>Also dass er den Key nicht findet.<\/p><\/blockquote>\n<p>Aktuell finden Suchmaschinen wie Google noch nichts zum Registrierungseintrag <em>NetJoinLegacyAccountReuse<\/em>, der wohl brandneu ist. Der betreffende Eintrag <em>NetJoinLegacyAccountReuse <\/em>findet sich als DWORD-Wert im Schl\u00fcssel:<\/p>\n<p>HKLM\\System\\CurrentControlSet\\Control\\Lsa<\/p>\n<p>Wird dieser DWORD-Wert <em>NetJoinLegacyAccountReuse <\/em>auf 0x1 gesetzt, sollte ein Domain Join mit den alten Benutzerkonten wieder funktionieren. Ohne den DWORD-Eintrag liefert der Versuch des Dom\u00e4nenbeitritts bei installiertem Oktober 2022-Update folgenden Fehler:<\/p>\n<blockquote><p>An account with the same name exists in Active Directory. R-using the account was blocked by security policy.<\/p>\n<p>The command failed to complet successfully.<\/p><\/blockquote>\n<p>Sobald der DWORD-Wert <em>NetJoinLegacyAccountReuse <\/em>auf 1 gesetzt ist, meldet der Client:<\/p>\n<blockquote><p>The computer needs to be restartet in order to complet the operation.<\/p>\n<p>The command completed successfully.<\/p><\/blockquote>\n<p>Im Log wird das dann auch best\u00e4tigt, denn die Abfrage von <em>IsNetJoinLegacyAccountReuseSetInRegistry <\/em>liefert nun True zur\u00fcck.<\/p>\n<p><img decoding=\"async\" title=\"IsNetJoinLegacyAccountReuseSetInRegistry \" src=\"https:\/\/i.imgur.com\/LBnD2VG.png\" alt=\"IsNetJoinLegacyAccountReuseSetInRegistry \" \/><\/p>\n<p>Danke an Martin f\u00fcr diese Hinweise. Ein Supportbeitrag oder ein Nachtrag dazu in <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8\" target=\"_blank\" rel=\"noopener\">KB5020276<\/a> ist noch nicht vorhanden &#8211; ihr k\u00f6nnt ja einen Kommentar hinterlassen, wenn euch zur Thematik noch was unter die Augen kommt.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Das Problem wurde zum 27. Oktober 2022 best\u00e4tigt &#8211; siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2022\/10\/28\/oktober-2022-update-error-0xaac-2732-bei-domain-verbindungen-durch-netjoin-fix-fr-cve-2022-38042-besttigt\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">Oktober 2022-Update: Error 0xaac (2732) bei Domain-Verbindungen durch Netjoin-Fix f\u00fcr CVE-2022-38042 best\u00e4tigt<\/a>.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2022\/10\/05\/microsoft-office-updates-4-oktober-2022\/\">Microsoft Office Updates (4. Oktober 2022)<\/a><strong><br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2022\/10\/11\/microsoft-security-update-summary-11-oktober-2022\/\">Microsoft Security Update Summary (11. Oktober 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/?p=273763\">Patchday: Windows 10-Updates (11. Oktober 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/10\/12\/patchday-windows-11-server-2022-updates-11-oktober-2022\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Patchday: Windows 11\/Server 2022-Updates (11. Oktober 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/10\/12\/windows-7-server-2008r2-windows-8-1-server-2012r2-updates-11-oktober-2022\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Windows 7\/Server 2008 R2; Windows 8.1\/Server 2012 R2: Updates (11. Oktober 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/10\/11\/windows-10-achtung-vor-einem-mglichen-tls-desaster-zum-oktober-2022-patchday\/\">Windows 10: Achtung vor einem m\u00f6glichen TLS-Desaster zum Oktober 2022-Patchday<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ich stelle mal eine erste Warnung vor den Oktober 2022-Sicherheitsupdates f\u00fcr Windows hier im Blog ein, da mich ein Leser aus dem Business-Umfeld darauf hingewiesen hat. Die mit den Updates durchgef\u00fchrten Domain Join Hardening-\u00c4nderungen zum Schlie\u00dfen der Schwachstelle (CVE-2022-38042) haben &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/10\/12\/windows-oktober-2022-patchday-fix-fr-domain-join-hardening-cve-2022-38042-verhindert-ggf-domain-join\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301,3694,2557],"tags":[8343,8342,24,4328,4315,3288],"class_list":["post-273769","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","category-windows-10","category-windows-server","tag-netjoinlegacyaccountreuse","tag-patchday-10-2022","tag-problem","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273769","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273769"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273769\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273769"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273769"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273769"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}