Platí pro
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Původní datum publikování: úterý 30. září 2025

ID znalostní báze: 5068222

Úvod 

Tento článek vysvětluje nedávná vylepšení zabezpečení navržená tak, aby zabránila eskalaci neoprávněných oprávnění během síťového ověřování, zejména ve scénářích zpětné smyčky. K těmto rizikům často dochází, když se klonovaná zařízení nebo počítače s neshodnými ID přidají do domény. 

Pozadí

Na zařízeních s Windows připojených k doméně vynucuje služba LSASS (Local Security Authority Security Service) zásady zabezpečení, včetně filtrování tokenů ověřování sítě. To brání místním správcům v získání zvýšených oprávnění prostřednictvím vzdáleného přístupu. Ověřování protokolem Kerberos je sice robustní, ale v minulosti bylo ve scénářích zpětné smyčky zranitelné kvůli nekonzistentnímu ověření identity počítače.

Změny klíčů

Společnost Microsoft zavedla k řešení těchto chyb zabezpečení trvalé identifikátory zabezpečení účtu počítače (SID). Identifikátor SID teď zůstává konzistentní napříč restartováními systému a pomáhá udržovat stabilní identitu počítače.

Systém Windows dříve při každém spuštění vygeneroval nové ID počítače, což útočníkům umožnilo obejít detekci zpětné smyčky opětovným použitím ověřovacích dat. Díky aktualizacím Windows vydaným 26. srpna 2025 a později teď ID počítače zahrnuje komponenty pro spuštění i křížové spuštění. To usnadňuje detekci a blokování zneužití, ale může způsobit selhání ověřování mezi naklonovanými hostiteli Windows, protože jejich ID počítačů napříč spuštěním se budou shodovat a blokovat.

Dopad na zabezpečení

Toto vylepšení přímo řeší chyby zabezpečení zpětné smyčky Protokolu Kerberos a zajišťují, že systémy odmítnou lístky ověřování, které neodpovídají identitě aktuálního počítače. To je obzvláště důležité pro prostředí, ve kterých se zařízení klonují nebo reimagí, protože zastaralé informace o identitě je možné zneužít k eskalaci oprávnění.

Ověřováním identifikátoru SID účtu počítače proti identifikátoru SID v lístku Kerberos může služba LSASS zjistit a odmítnout neodpovídající lístky a posílit tak ochranu řízení uživatelských účtů.

Doporučené akce

  • Pokud naklonovaném zařízení narazíte na problémy, jako je ID události 6167 , použijte nástroj pro přípravu systému (Sysprep) ke generalizaci image zařízení.

  • Projděte si postupy připojení k doméně a klonování, abyste tato nová vylepšení zabezpečení přizpůsobili.

Závěr

Tyto změny vylepšují ověřování protokolem Kerberos tím, že ho sváže s trvalou a ověřitelnou identitou počítače. Organizace těží z vylepšené ochrany před neoprávněným přístupem a eskalací oprávnění, což podporuje širší iniciativu Microsoftu zaměřenou na zabezpečení na posílení zabezpečení založeného na identitách napříč podnikovými prostředími.

​​​​​​​​​​​​​​

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti