Отнася се за
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Първоначална дата на публикуване: 30 септември 2025 г.

ИД в КБ: 5068222

Въведение 

Тази статия обяснява последните подобрения на защитата, предназначени да предотвратят ескалация на неупълномощени привилегии по време на удостоверяване на мрежата, особено в сценарии за обръщане към цикъл. Тези рискове често възникват, когато клонирани устройства или машини с несъвпадащи ИД се добавят към домейн. 

Предварителна информация

На присъединени към домейн устройства с Windows , услугата за защита на локалния орган за защита (LSASS) налага правила за защита, включително филтриране на маркери за удостоверяване на мрежата. Това не позволява на локалните администратори да получават повишени привилегии чрез отдалечен достъп. Удостоверяването kerberos, макар и стабилно, исторически е уязвимо в сценарии за обръщане към цикъл поради непоследователна проверка на самоличността на машината.

Ключови промени

За да се справи с тези уязвимости, Microsoft въведе идентификатори за защита на постоянен акаунт на компютъра (SID). Sid вече остава съгласуван при рестартиранията на системата, което помага за поддържането на стабилна самоличност на машината.

По-рано Windows генерираше нов ИД на компютъра при всяко стартиране, което позволи на хакерите да заобиколят откриването на обратно обръщане, като използваха повторно данните за удостоверяване. С актуализациите на Windows, издадени на и след 26 август 2025 г., ИД на машината вече включва компоненти за стартиране и кръстосано стартиране. Това улеснява откриването и блокиране на exploits, но може да доведе до неуспешни удостоверявания между клонирани хостове на Windows, тъй като техните ИД на машината за кръстосване ще съвпадат и ще бъдат блокирани.

Въздействие върху защитата

Това подобрение обръща внимание директно на уязвимостите с обръщане към цикъл на Kerberos, като гарантира, че системите отхвърлят билети за удостоверяване, които не съответстват на самоличността на текущата машина. Това е особено важно за среди, където устройствата са клонирани или преоткрити, тъй като остаряла информация за самоличност може да бъде използвана за повишаване на привилегиите.

Чрез проверката на SID на акаунта на машината спрямо SID в билета на Kerberos LSASS може да открива и отхвърля несъвпадащи билети, укрепвайки защитите за управление на потребителските акаунти (UAC ).

Препоръчани действия

  • Ако срещнете проблеми, като например ИД на събитие: 6167 на клонирано устройство, използвайте инструмента за подготовка на системата (Sysprep), за да обобщите изображението на устройството.

  • Прегледайте съединенията на домейна и практиките за клониране, за да се приведете в съответствие с тези нови подобрения на защитата.

Заключение

Тези промени подобряват удостоверяването kerberos, като го обвързват към постоянна, проверима самоличност на машината. Организациите се възползват от подобрена защита срещу неупълномощен достъп и ескалация на привилегиите, подкрепяща по-широката инициатива на Microsoft за защита с цел засилване на защитата, базирана на самоличност, в корпоративни среди.

​​​​​​​​​​​​​​

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност