Rakenduskoht
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Avaldamise algne kuupäev: 30. september 2025

KB ID: 5068222

Sissejuhatus 

Selles artiklis selgitatakse hiljutisi turbetäiustusi, mis on loodud vältima volitamata õiguste eskaleerimist võrgu autentimise ajal, eriti tsüklite korral. Need ohud tekivad sageli siis, kui domeeni lisatakse sobimatute ID-dega kloonitud seadmed või masinad. 

Taust

Domeeniga liitunud Windowsi seadmetes jõustab kohalik turbekeskuse turbeteenus (LSASS) turbepoliitikad, sh võrgu autentimislubade filtreerimise. See takistab kohalikel administraatoritel kõrgemate õiguste saamist kaugjuurdepääsu kaudu. Kerberose autentimine on küll töökindlalt olnud tsükli stsenaariumides ebaühtlase seadmeidentiteedi kontrollimise tõttu haavatav.

Peamised muudatused

Nende nõrkuste lahendamiseks on Microsoft kasutusele võtnud püsivad arvutikonto turbeidentifikaatorid (SID). Nüüd jääb SID süsteemi taaskäivitamisel ühtseks, aidates säilitada stabiilse masinaidentiteedi.

Varem lõi Windows igal algkäivitusel uue seadme ID, mis võimaldas ründajatel vältida tsüklituvastust autentimisandmete korduvkasutamise kaudu. Kui Windowsi värskendused on välja antud 26. augustil 2025 ja pärast seda, sisaldab arvuti ID nüüd nii algkäivituse kui ka ristkäivituse komponente. See lihtsustab ekspluataatorite tuvastamist ja blokeerimist, kuid võib põhjustada autentimistõrkeid kloonitud Windowsi hostide vahel, kuna nende käivitusarvutite ID-d kattuvad ja blokeeritakse.

Turbemõju

See täiustus kõrvaldab kerberose tagasipööramise nõrkused, tagades, et süsteemid lükkavad tagasi autentimispiletid, mis ei vasta praeguse arvuti identiteedile. See on eriti oluline keskkondades, kus seadmed on kloonitud või uuesti paigal, sest aegunud identiteediteavet saab kasutada õiguste laiendamiseks.

Valideerides seadme konto SID Kerberose pileti SID suhtes, saab LSASS tuvastada ja tagasi lükata sobimatuid pileteid, tugevdades kasutajakonto kontrolli (UAC) kaitset.

Soovitatud tegevused

  • Kui teil tekib kloonitud seadmes selliseid probleeme nagu sündmuse ID: 6167 , kasutage seadme pildi üldistamiseks süsteemi ettevalmistustööriista (Sysprep).

  • Vaadake uute turbetäiustustega vastavusse viimiseks üle domeeniliitmised ja kloonimise tavad.

Kokkuvõte

Need muudatused täiustavad Kerberose autentimist, sidudes selle püsiva ja kontrollitava seadmeidentiteediga. Organisatsioonid saavad parema kaitse volitamata juurdepääsu ja õiguste laiendamise eest, toetades Microsofti laiemat turbealgatust identiteedipõhise turvalisuse tugevdamiseks kogu ettevõttekeskkonnas.

​​​​​​​​​​​​​​

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus