Käytetään kohteeseen
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Alkuperäinen julkaisupäivä: 30. syyskuuta 2025

KB-tunnus: 5068222

Johdanto 

Tässä artikkelissa kerrotaan viimeaikaisista suojausparannuksista, joiden tarkoituksena on estää käyttöoikeuksien luvaton laajentaminen verkon todentamisen aikana, erityisesti silmukkatilanteiden yhteydessä. Nämä riskit syntyvät usein, kun toimialueeseen lisätään kloonattuja laitteita tai koneita, joissa on yhteensopimattomia tunnuksia. 

Tausta

Toimialueeseen yhdistetyissä Windows-laitteissa LSASS (Local Security Authority Security Service) ottaa käyttöön suojauskäytännöt, mukaan lukien verkon todennustunnusten suodatuksen. Tämä estää paikallisia järjestelmänvalvojia saamasta käyttöoikeuksia etäkäytön kautta. Vaikka Kerberos-todennus on vankka, se on historiallisesti ollut haavoittuvainen loopback-skenaarioissa epäyhtenäisestä koneiden tunnistetietojen tarkistamisesta johtuen.

Tärkeimmät muutokset

Näiden haavoittuvuuksien korjaamiseksi Microsoft on ottanut käyttöön pysyvän laitetilin suojaustunnuksen (SID). Nyt SID pysyy yhdenmukaisena kaikissa järjestelmän uudelleenkäynnistyksissä, mikä auttaa ylläpitämään vakaata koneidentiteettiä.

Aiemmin Windows loi jokaisessa käynnistyksessä uuden konetunnuksen, jonka avulla hyökkääjät pystyivät ohittamaan silmukkatunnistuksen käyttämällä todennustietoja uudelleen. 26. elokuuta 2025 ja sen jälkeen julkaistujen Windows-päivitysten myötä konetunnus sisältää nyt sekä käynnistyskohtaiset että ristiinkäynnistysosat. Tämä helpottaa hyökkäysten havaitsemista ja estämistä, mutta voi aiheuttaa todennusvirheitä kloonatun Windows-isännän välillä, koska niiden ristikäynnistyskoneen tunnukset vastaavat toisiaan ja estetään.

Tietoturvavaikutus

Tämä parannus korjaa suoraan Kerberos loopback -tietoturva-aukot ja varmistaa, että järjestelmät hylkäävät todennusliput, jotka eivät vastaa nykyisen koneen käyttäjätietoja. Tämä on erityisen tärkeää ympäristöissä, joissa laitteet kloonataan tai muotoillaan uudelleen, koska vanhentuneita tunnistetietoja voidaan hyödyntää oikeuksien laajentamiseen.

Vahvistamalla konetilin SID:n Kerberos-lipun SID-tunnukseen LSASS pystyy havaitsemaan ja hylkäämään ristiriitaiset liput vahvistaen käyttäjätilien valvonnan (UAC) suojausta.

Suositellut toimet

  • Jos kohtaat ongelmia, kuten tapahtumatunnus 6167 kloonatussa laitteessa, käytä Järjestelmän valmistelutyökalua (Sysprep) laitteen kuvan yleistämiseen.

  • Tarkista toimialueen liitokset ja kloonauskäytännöt näiden uusien suojausparannuksien mukaisesti.

Yhteenveto

Nämä muutokset parantavat Kerberos-todennusta sitomalla sen pysyvään, todennettavaan koneiden tunnistetietoon. Organisaatiot hyötyvät paremmasta suojauksesta luvatonta käyttöä ja käyttöoikeuksien laajentamista vastaan, mikä tukee Microsoftin laajempaa suojausta tukevaa aloitetta vahvistaa identiteettipohjaista suojausta yritysympäristöissä.

​​​​​​​​​​​​​​

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus