Hatókör
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Eredeti közzététel dátuma: 2025. szeptember 30., kedd

TUDÁSBÁZIS-azonosító: 5068222

Bevezetés 

Ez a cikk a hálózati hitelesítés során a jogosulatlan jogosultságok eszkalálásának megakadályozására szolgáló legújabb biztonsági fejlesztéseket ismerteti, különösen visszacsatolási forgatókönyvekben. Ezek a kockázatok gyakran akkor merülnek fel, ha klónozott eszközöket vagy nem egyező azonosítójú gépeket adnak hozzá egy tartományhoz. 

Háttér

A tartományhoz csatlakoztatott Windows-eszközökön a Helyi biztonsági szolgáltató biztonsági szolgáltatása (LSASS) biztonsági szabályzatokat kényszerít ki, beleértve a hálózati hitelesítési jogkivonatok szűrését is. Ez megakadályozza, hogy a helyi rendszergazdák emelt szintű jogosultságokat szerezzenek a távelérésen keresztül. A Kerberos-hitelesítés– bár robusztus – korábban sebezhető volt a visszacsatolási forgatókönyvekben a gépidentitás inkonzisztens ellenőrzése miatt.

Kulcsmódosítások

A biztonsági rések kezelése érdekében a Microsoft állandó számítógépfiók biztonsági azonosítókat (SID) vezetett be. A biztonsági azonosító konzisztens marad a rendszer-újraindítások során, így stabil gépidentitást tarthat fenn.

Korábban a Windows minden rendszerindításkor létrehozott egy új gépazonosítót, amely lehetővé tette a támadók számára a visszacsatolás észlelésének megkerülését a hitelesítési adatok újbóli használatával. A 2025. augusztus 26-án és azt követően kiadott Windows-frissítésekben a gépazonosító mostantól rendszerindításonkénti és rendszerindításközi összetevőket is tartalmaz. Ez megkönnyíti a biztonsági rések észlelését és letiltását, de hitelesítési hibákat okozhat a klónozott Windows-gazdagépek között, mivel a rendszerindítások közötti gépazonosítók megegyeznek és le lesznek tiltva.

Biztonsági hatás

Ez a fejlesztés közvetlenül kezeli a Kerberos visszacsatolási biztonsági réseit, biztosítva, hogy a rendszerek elutasítják az aktuális gép identitásával nem egyező hitelesítési jegyeket. Ez különösen fontos azokban a környezetekben, ahol az eszközöket klónozzák vagy újraképezik, mivel az elavult identitásadatok kihasználhatók a jogosultságok eszkalálása érdekében.

A gépfiók SID-jének a Kerberos-jegyben lévő SID-hez való ellenőrzésével az LSASS észlelheti és elutasíthatja a nem egyező jegyeket, ezáltal megerősítve a felhasználói fiókok felügyeletének (UAC) védelmét.

Ajánlott műveletek

  • Ha olyan problémákat tapasztal, mint a 6167-as eseményazonosító egy klónozott eszközön, használja a Rendszer-előkészítő eszközt (Sysprep) az eszköz lemezképének általánosításához.

  • Tekintse át a tartományhoz való csatlakozást és a klónozási eljárásokat az új biztonsági fejlesztésekhez való igazodáshoz.

Befejezés

Ezek a módosítások javítják a Kerberos-hitelesítést azáltal, hogy egy állandó, ellenőrizhető gépi identitáshoz kötik. A szervezetek nagyobb védelmet élveznek a jogosulatlan hozzáférés és a jogosultságok eszkalálása ellen, támogatva a Microsoft szélesebb körű , biztonságközpontú kezdeményezését az identitásalapú biztonság vállalati környezetekben való megerősítésére.

​​​​​​​​​​​​​​

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ