תאריך פרסום מקורי: 30 בספטמבר 2025
מזהה KB: 5068222
מבוא
מאמר זה מסביר שיפורי אבטחה אחרונים שנועדו למנוע הסלמת הרשאות לא מורשות במהלך אימות רשת, במיוחד בתרחישי לולאה חוזרת. סיכונים אלה מתרחשים לעתים קרובות כאשר מכשירים משוכפלים או מחשבים עם זהות לא תואמים מתווספים לתחום.
רקע
במכשירי Windows המצורפים לתחום, שירות האבטחה של רשות האבטחה המקומית (LSASS) אוכף פריטי מדיניות אבטחה, כולל סינון אסימוני אימות רשת. פעולה זו מונעת ממנהלי מערכת מקומיים לקבל הרשאות מלאות באמצעות גישה מרחוק. אימות Kerberos, למרות שהוא חסין, היה פגיע מבחינה היסטורית בתרחישי לולאה חוזרת עקב אימות זהות מחשב לא עקבי.
שינויים עיקריים
כדי לטפל בפגיעות אלה, Microsoft הציגה מזהי אבטחה עקביים של חשבון מחשב (SID). כעת, ה- SID נשאר עקבי בכל ההפעלות מחדש של המערכת, ובכך עוזר לשמור על זהות מחשב יציבה.
בעבר, Windows יצר מזהה מחשב חדש בכל אתחול, אשר אפשר לתוקפים לעקוף זיהוי לולאה חוזרת על-ידי שימוש חוזר נתוני אימות. עם עדכוני Windows שהופצו ב- 26 באוגוסט 2025 ולאחר מכן, מזהה המחשב כולל כעת הן רכיבי אתחול והן רכיבים חוצי אתחול. הדבר מקל עליך לזהות ולחסום ניצולים לרעה, אך עלול לגרום לכשלים באימות בין מארחים משוכפלים של Windows, מכיוון שמזיהוי מחשב האתחול המשולב שלהם יתאימו וייחסמו.
השפעת אבטחה
שיפור זה מטפל ישירות בפגיעויות לולאה חוזרת של Kerberos, ובכך מוודא שהמערכות דוחות כרטיסי אימות שאינם תואמים לזהות המחשב הנוכחית. הדבר חשוב במיוחד עבור סביבות שבהן מכשירים משוכפלים או מופעלים מחדש, מפני שניתן לנצל מידע זהות מיושן עבור הסלמת הרשאות.
על-ידי אימות ה- SID של חשבון המחשב מול ה- SID בכרטיס Kerberos, LSASS יכול לזהות ולדחה כרטיסים לא תואמים, ולחזק הגנות של בקרת חשבון משתמש (UAC ).
פעולות מומלצות
-
אם אתה נתקל בבעיות כגון מזהה אירוע: 6167 במכשיר משוכפל, השתמש בכלי ההכנה למערכת (Sysprep) כדי ל generalize את תמונת המכשיר.
-
סקור צירופים לתחום ושיטות שכפול כדי ליישר קו עם שיפורי אבטחה חדשים אלה.
סיכום
שינויים אלה משפרים את אימות Kerberos על-ידי איגודו לזהות מחשב עקבית הניתנת לאימות. ארגונים נהנים מהגנה משופרת מפני גישה והסלמה לא מורשית, התומכים ביוזמת האבטחה רחבה יותר של Microsoft לחיזוק האבטחה מבוססת הזהות בסביבות ארגוניות.
