Gælder for
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Oprindelig publiceringsdato: 30. september 2025

KB-id: 5068222

Introduktion 

I denne artikel forklares de seneste sikkerhedsforbedringer, der er udviklet til at forhindre uautoriseret eskalering af rettigheder under netværksgodkendelse, især i scenarier med tilbagekobling. Disse risici opstår ofte, når klonede enheder eller maskiner med uoverensstemmende id'er føjes til et domæne. 

Baggrund

På domænetilsluttede Windows-enheder gennemtvinger LSASS (Local Security Authority Security Service) sikkerhedspolitikker, herunder filtrering af netværksgodkendelsestokens. Dette forhindrer lokale administratorer i at få administratorrettigheder via fjernadgang. Kerberos-godkendelse har, selvom den er robust, historisk været sårbar i tilbagekoblingsscenarier på grund af inkonsekvent bekræftelse af maskinidentitet.

Vigtige ændringer

For at løse disse sårbarheder har Microsoft introduceret permanente sid-id'er (Machine Account Security Identifiers). Sid'et forbliver ensartet på tværs af systemgenstart, hvilket hjælper med at opretholde en stabil maskinidentitet.

Tidligere genererede Windows et nyt computer-id ved hver start, hvilket gjorde det muligt for hackere at omgå registrering af tilbagekobling ved at genbruge godkendelsesdata. Med Windows-opdateringer, der er udgivet den 26. august 2025 og derefter, indeholder computer-id'et nu både komponenter pr. boot og krydsstart. Det gør det nemmere at registrere og blokere exploits, men det kan medføre godkendelsesfejl mellem klonede Windows-værter, da deres krydsstartmaskine-id'er matcher og blokeres.

Indvirkning på sikkerheden

Denne forbedring løser direkte Kerberos-tilbagekoblingssårbarheder, hvilket sikrer, at systemer afviser godkendelsesbilletter, der ikke svarer til den aktuelle maskines identitet. Dette er især vigtigt for miljøer, hvor enheder klones eller gentænkes, da forældede identitetsoplysninger kan udnyttes til eskalering af rettigheder.

Ved at validere computerkontoens SID mod SID'et i Kerberos-billetten kan LSASS registrere og afvise uoverensstemmende billetter og styrke UAC-beskyttelsen (User Account Control).

Anbefalede handlinger

  • Hvis du støder på problemer, f.eks. hændelses-id: 6167 på en klonet enhed, skal du bruge systemforberedelsesværktøjet (Sysprep) til at generalisere enhedens afbildning.

  • Gennemse domænetilslutninger og kloningspraksisser for at justere med disse nye sikkerhedsforbedringer.

Konklusion

Disse ændringer forbedrer Kerberos-godkendelse ved at binde den til en permanent computeridentitet, der kan bekræftes. Organisationer drager fordel af forbedret beskyttelse mod uautoriseret adgang og eskalering af rettigheder og understøtter Microsofts bredere sikkerhedsbaserede initiativ til at styrke identitetsbaseret sikkerhed på tværs af virksomhedsmiljøer.

​​​​​​​​​​​​​​

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed