Ισχύει για
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Αρχική ημερομηνία δημοσίευσης: 30 Σεπτεμβρίου 2025

KB ID: 5068222

Εισαγωγή 

Αυτό το άρθρο εξηγεί τις πρόσφατες βελτιώσεις ασφαλείας που έχουν σχεδιαστεί για να αποτρέπουν την κλιμάκωση μη εξουσιοδοτημένων δικαιωμάτων κατά τον έλεγχο ταυτότητας δικτύου, ειδικά σε σενάρια επανάληψης. Αυτοί οι κίνδυνοι συχνά προκύπτουν όταν σε έναν τομέα προστίθενται κλωνοποιημένες συσκευές ή υπολογιστές με αταίριαστα αναγνωριστικά. 

Ιστορικό

Σε συσκευές Windows που συνδέονται με τομέα, η Υπηρεσία ασφαλείας τοπικής αρχής ασφαλείας (LSASS) επιβάλλει πολιτικές ασφαλείας, συμπεριλαμβανομένου του φιλτραρίσματος διακριτικών ελέγχου ταυτότητας δικτύου. Αυτό εμποδίζει τους τοπικούς διαχειριστές να αποκτήσουν αναβαθμισμένα δικαιώματα μέσω απομακρυσμένης πρόσβασης. Ο έλεγχος ταυτότητας Kerberos, αν και ισχυρός, ήταν ιστορικά ευάλωτος σε σενάρια loopback λόγω ασυνεπούς επαλήθευσης ταυτότητας υπολογιστή.

Βασικές αλλαγές

Για να επιλύσετε αυτές τις ευπάθειες, η Microsoft έχει εισαγάγει αναγνωριστικά ασφαλείας μόνιμου λογαριασμού υπολογιστή (SID). Τώρα, το SID παραμένει σταθερό σε όλες τις επανεκκινήσεις του συστήματος, συμβάλλοντας στη διατήρηση μιας σταθερής ταυτότητας υπολογιστή.

Προηγουμένως, τα Windows δημιουργούσαν ένα νέο αναγνωριστικό υπολογιστή σε κάθε εκκίνηση, το οποίο επέτρεπε στους εισβολείς να παρακάμπτουν τον εντοπισμό loopback χρησιμοποιώντας ξανά δεδομένα ελέγχου ταυτότητας. Με τις ενημερώσεις των Windows που κυκλοφόρησαν στις και μετά τις 26 Αυγούστου 2025, το αναγνωριστικό υπολογιστή περιλαμβάνει πλέον στοιχεία ανά εκκίνηση και διασταυρούμενη εκκίνηση. Με αυτόν τον τρόπο διευκολύνεται ο εντοπισμός και ο αποκλεισμός ευπάθειας, αλλά μπορεί να προκληθούν σφάλματα ελέγχου ταυτότητας μεταξύ κλωνοποιημένων κεντρικών υπολογιστών των Windows, καθώς τα αναγνωριστικά του υπολογιστή πολλαπλής εκκίνησης θα συμφωνούν και θα αποκλείονται.

Αντίκτυπος στην ασφάλεια

Αυτή η βελτίωση αντιμετωπίζει άμεσα τις ευπάθειες loopback του Kerberos, εξασφαλίζοντας ότι τα συστήματα απορρίπτουν δελτία ελέγχου ταυτότητας που δεν αντιστοιχούν στην ταυτότητα του τρέχοντος υπολογιστή. Αυτό είναι ιδιαίτερα σημαντικό για περιβάλλοντα όπου οι συσκευές κλωνοποιούνται ή επανασχεδιάζονται, καθώς είναι δυνατή η εκμετάλλευση παρωχημένων πληροφοριών ταυτότητας για κλιμάκωση δικαιωμάτων.

Επικυρώνοντας το SID του λογαριασμού υπολογιστή σε αντιπαραβάλλοντας το SID στο εισιτήριο Kerberos, το LSASS μπορεί να εντοπίσει και να απορρίψει ασυμφωνία εισιτηρίων, ενισχύοντας την προστασία του ελέγχου λογαριασμού χρήστη (UAC ).

Προτεινόμενες ενέργειες

  • Αν αντιμετωπίσετε προβλήματα όπως το αναγνωριστικό συμβάντος: 6167 σε μια κλωνοποιημένη συσκευή, χρησιμοποιήστε το Εργαλείο προετοιμασίας συστήματος (Sysprep) για να γενικεύσετε την εικόνα της συσκευής.

  • Ελέγξτε τις πρακτικές σύνδεσης και κλωνοποίησης τομέων για να ευθυγραμμιστείτε με αυτές τις νέες βελτιώσεις ασφαλείας.

Συμπέρασμα

Αυτές οι αλλαγές βελτιώνουν τον έλεγχο ταυτότητας Kerberos, συνδέοντας τον με μια μόνιμη, επαληθεύσιμη ταυτότητα υπολογιστή. Οι οργανισμοί επωφελούνται από βελτιωμένη προστασία από μη εξουσιοδοτημένη πρόσβαση και κλιμάκωση δικαιωμάτων, υποστηρίζοντας την ευρύτερη πρωτοβουλία της Microsoft για την πρώτη ασφάλεια με σκοπό την ενίσχυση της ασφάλειας βάσει ταυτότητας σε εταιρικά περιβάλλοντα.

​​​​​​​​​​​​​​

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας