S’applique à
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Date de publication d’origine : 30 septembre 2025

ID de la base de connaissances : 5068222

Introduction 

Cet article explique les améliorations de sécurité récentes conçues pour empêcher l’escalade de privilèges non autorisés lors de l’authentification réseau, en particulier dans les scénarios de bouclage. Ces risques surviennent souvent lorsque des appareils clonés ou des machines avec des ID incompatibles sont ajoutés à un domaine. 

Arrière-plan

Sur les appareils Windows joints à un domaine, le service de sécurité de l’autorité de sécurité locale (LSASS) applique des stratégies de sécurité, y compris le filtrage des jetons d’authentification réseau. Cela empêche les administrateurs locaux d’obtenir des privilèges élevés via l’accès à distance. L’authentification Kerberos, bien que robuste, a toujours été vulnérable dans les scénarios de bouclage en raison d’une vérification incohérente de l’identité de l’ordinateur.

Principales modifications

Pour résoudre ces vulnérabilités, Microsoft a introduit des identificateurs de sécurité de compte d’ordinateur persistants (SID). À présent, le SID reste cohérent entre les redémarrages du système, ce qui permet de maintenir une identité de machine stable.

Auparavant, Windows générait un nouvel ID de machine à chaque démarrage, ce qui permettait aux attaquants de contourner la détection de bouclage en réutilisant les données d’authentification. Avec les mises à jour Windows publiées le 26 août 2025 et après, l’ID de machine inclut désormais les composants par démarrage et par démarrage croisé. Cela facilite la détection et le blocage des attaques, mais peut entraîner des échecs d’authentification entre les hôtes Windows clonés, car leurs ID de machine de démarrage croisé correspondent et sont bloqués.

Impact sur la sécurité

Cette amélioration traite directement les vulnérabilités de bouclage Kerberos, garantissant ainsi que les systèmes rejettent les tickets d’authentification qui ne correspondent pas à l’identité de l’ordinateur actuel. Cela est particulièrement important pour les environnements où les appareils sont cloné ou réimager, car les informations d’identité obsolètes peuvent être exploitées pour l’escalade des privilèges.

En validant le SID du compte d’ordinateur par rapport au SID dans le ticket Kerberos, LSASS peut détecter et rejeter les tickets incompatibles, ce qui renforce les protections de contrôle de compte d’utilisateur (UAC).

Actions recommandées

  • Si vous rencontrez des problèmes tels que l’ID d’événement : 6167 sur un appareil cloné, utilisez l’outil de préparation du système (Sysprep) pour généraliser l’image de l’appareil.

  • Passez en revue les jointures de domaine et les pratiques de clonage pour vous aligner sur ces nouvelles améliorations de sécurité.

Conclusion

Ces modifications améliorent l’authentification Kerberos en la liant à une identité de machine persistante et vérifiable. Les organisations bénéficient d’une protection améliorée contre l’accès non autorisé et l’escalade de privilèges, prenant en charge l’initiative plus large de Microsoft axée sur la sécurité pour renforcer la sécurité basée sur l’identité dans les environnements d’entreprise.

​​​​​​​​​​​​​​

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité