ينطبق على
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

تاريخ النشر الأصلي: 30 سبتمبر 2025

معرف KB: 5068222

مقدمة 

تشرح هذه المقالة تحسينات الأمان الأخيرة المصممة لمنع تصعيد الامتياز غير المصرح به أثناء مصادقة الشبكة، خاصة في سيناريوهات التراجع. غالبا ما تنشأ هذه المخاطر عند إضافة الأجهزة أو الأجهزة المستنسخة ذات المعرف غير المتطابق إلى مجال. 

الخلفية

على أجهزة Windows المرتبطة بالمجال، تفرض خدمة أمان مرجع الأمان المحلي (LSASS) نهج الأمان، بما في ذلك تصفية الرموز المميزة لمصادقة الشبكة. وهذا يمنع المسؤولين المحليين من الحصول على امتيازات مرتفعة عبر الوصول عن بعد. مصادقة Kerberos، على الرغم من أنها قوية، كانت عرضة تاريخيا في سيناريوهات التراجع بسبب التحقق من هوية الجهاز غير المتسقة.

التغييرات الرئيسية

لمعالجة هذه الثغرات الأمنية، قدمت Microsoft معرفات أمان حساب الجهاز المستمر (SID). الآن، يظل SID متسقا عبر عمليات إعادة تشغيل النظام، مما يساعد على الحفاظ على هوية جهاز مستقرة.

في السابق، أنشأ Windows معرف جهاز جديد في كل تمهيد، مما سمح للمهاجمين بتجاوز الكشف عن التراجع عن طريق إعادة استخدام بيانات المصادقة. مع إصدار تحديثات Windows في 26 أغسطس 2025 وبعده، يتضمن معرف الجهاز الآن مكونات كل تمهيد وتمهيد متقاطع. وهذا يسهل اكتشاف عمليات الاستغلال وحظرها، ولكنه قد يتسبب في فشل المصادقة بين مضيفي Windows المستنسخين، حيث ستتطابق معرفات الجهاز عبر التمهيد وسيتم حظرها.

تأثير الأمان

يعالج هذا التحسين مباشرة الثغرات الأمنية في Kerberos للتراجع، ما يضمن رفض الأنظمة تذاكر المصادقة التي لا تتطابق مع هوية الجهاز الحالي. هذا مهم بشكل خاص للبيئات التي يتم فيها استنساخ الأجهزة أو إعادة تصورها، حيث يمكن استغلال معلومات الهوية القديمة لزيادة الامتيازات.

من خلال التحقق من صحة SID لحساب الجهاز مقابل SID في تذكرة Kerberos، يمكن ل LSASS اكتشاف التذاكر غير المتطابقة ورفضها، ما يعزز حماية التحكم في حساب المستخدم (UAC ).

‏‏الإجراءات المستحسنة

  • إذا واجهت مشكلات مثل معرف الحدث: 6167 على جهاز مستنسخ، فاستخدم أداة إعداد النظام (Sysprep) لتعميم صورة الجهاز.

  • راجع عمليات الانضمام إلى المجال وممارسات الاستنساخ للتوافق مع تحسينات الأمان الجديدة هذه.

الخاتمة

تعمل هذه التغييرات على تحسين مصادقة Kerberos عن طريق ربطها بهوية جهاز ثابتة يمكن التحقق منها. تستفيد المؤسسات من الحماية المحسنة من الوصول غير المصرح به وزيادة الامتيازات، ما يدعم مبادرة الأمان الأوسع من Microsoft لتعزيز الأمان المستند إلى الهوية عبر بيئات المؤسسة.

​​​​​​​​​​​​​​

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة