Gilt für
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 30. September 2025

KB-ID: 5068222

Einführung 

In diesem Artikel werden die neuesten Sicherheitsverbesserungen erläutert, die eine nicht autorisierte Rechteausweitung während der Netzwerkauthentifizierung verhindern sollen, insbesondere in Loopbackszenarien. Diese Risiken treten häufig auf, wenn geklonte Geräte oder Computer mit nicht übereinstimmenden IDs zu einer Domäne hinzugefügt werden. 

Hintergrund

Auf in die Domäne eingebundenen Windows-Geräten erzwingt der LSASS -Sicherheitsdienst (Local Security Authority Security Service) Sicherheitsrichtlinien, einschließlich des Filterns von Netzwerkauthentifizierungstoken. Dadurch wird verhindert, dass lokale Administratoren erhöhte Berechtigungen über den Remotezugriff erhalten. Die Kerberos-Authentifizierung ist zwar robust, war aber in der Vergangenheit aufgrund einer inkonsistenten Überprüfung der Computeridentität in Loopbackszenarien anfällig.

Wichtige Änderungen

Um diese Sicherheitsanfälligkeiten zu beheben, hat Microsoft sicherheitsrelevante IdDs (SID) für persistente Computerkonten eingeführt. Jetzt bleibt die SID über Systemneustarts hinweg konsistent, sodass eine stabile Computeridentität erhalten bleibt.

Zuvor generierte Windows bei jedem Start eine neue Computer-ID, mit der Angreifer die Loopbackerkennung umgehen konnten, indem sie Authentifizierungsdaten wiederverwenden. Mit Windows-Updates, die am und nach dem 26. August 2025 veröffentlicht wurden, enthält die Computer-ID jetzt sowohl Pro-Start- als auch Cross-Boot-Komponenten. Dies erleichtert das Erkennen und Blockieren von Exploits, kann jedoch zu Authentifizierungsfehlern zwischen geklonten Windows-Hosts führen, da deren startübergreifende Computer-IDs übereinstimmen und blockiert werden.

Auswirkungen auf die Sicherheit

Diese Erweiterung behebt direkt Kerberos-Loopback-Sicherheitsrisiken und stellt sicher, dass Systeme Authentifizierungstickets ablehnen, die nicht mit der Identität des aktuellen Computers übereinstimmen. Dies ist besonders wichtig für Umgebungen, in denen Geräte geklont oder ein Reimaging erstellt werden, da veraltete Identitätsinformationen für die Rechteausweitung ausgenutzt werden können.

Durch Die Überprüfung der Computerkonto-SID anhand der SID im Kerberos-Ticket kann LSASS nicht übereinstimmende Tickets erkennen und ablehnen und so den Schutz der Benutzerkontensteuerung (UAC) stärken.

Empfohlene Maßnahmen

  • Wenn auf einem geklonten Gerät Probleme wie Ereignis-ID 6167 auftreten, verwenden Sie das Systemvorbereitungstool (Sysprep), um das Image des Geräts zu generalisieren.

  • Überprüfen Sie die Verfahren für Domänenbeitritte und Klonen, um diese neuen Sicherheitsverbesserungen in Einklang zu bringen.

Fazit

Diese Änderungen verbessern die Kerberos-Authentifizierung, indem sie an eine persistente, überprüfbare Computeridentität gebunden wird. Organisationen profitieren von einem verbesserten Schutz vor nicht autorisiertem Zugriff und einer Ausweitung von Berechtigungen und unterstützen die umfassendere Sicherheitsinitiative von Microsoft, um die identitätsbasierte Sicherheit in Unternehmensumgebungen zu stärken.

​​​​​​​​​​​​​​

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter