Si applica a
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Data di pubblicazione originale: 30 settembre 2025

ID KB: 5068222

Introduzione 

Questo articolo illustra i recenti miglioramenti della sicurezza progettati per impedire l'escalation dei privilegi non autorizzati durante l'autenticazione di rete, in particolare in scenari di loopback. Questi rischi spesso si verificano quando a un dominio vengono aggiunti dispositivi clonati o computer con ID non corrispondenti. 

Contesto

Nei dispositivi Windows aggiunti a un dominio, il servizio LSASS (Local Security Authority Security Service) applica criteri di sicurezza, tra cui il filtro dei token di autenticazione di rete. Ciò impedisce agli amministratori locali di ottenere privilegi elevati tramite accesso remoto. L'autenticazione Kerberos, sebbene avanzata, è sempre stata vulnerabile negli scenari di loopback a causa di una verifica dell'identità del computer incoerente.

Modifiche principali

Per risolvere queste vulnerabilità, Microsoft ha introdotto identificatori di sicurezza dell'account computer persistente (SID). Ora, il SID rimane coerente tra i riavvii del sistema, contribuendo a mantenere un'identità stabile del computer.

In precedenza, Windows ha generato un nuovo ID computer a ogni avvio, che consentiva agli utenti malintenzionati di ignorare il rilevamento di loopback riutilizzando i dati di autenticazione. Con gli aggiornamenti di Windows rilasciati dopo il 26 agosto 2025, l'ID computer include ora sia i componenti per avvio che per avvio incrociato. In questo modo è più facile rilevare e bloccare gli exploit, ma potrebbe causare errori di autenticazione tra gli host Windows clonati, poiché gli ID computer di avvio incrociato corrisponderanno e verranno bloccati.

Impatto sulla sicurezza

Questo miglioramento risolve direttamente le vulnerabilità del loopback Kerberos, assicurandosi che i sistemi rifiutino i ticket di autenticazione che non corrispondono all'identità del computer corrente. Ciò è particolarmente importante per gli ambienti in cui i dispositivi vengono clonati o ri-immagini, poiché le informazioni sull'identità obsolete possono essere sfruttate per l'escalation dei privilegi.

Convalidando il SID dell'account computer rispetto al SID nel ticket Kerberos, LSASS può rilevare e rifiutare i ticket non corrispondenti, rafforzando le protezioni di controllo dell'account utente .

Azioni consigliate

  • Se si verificano problemi come l'ID evento: 6167 in un dispositivo clonato, usa lo strumento di preparazione del sistema (Sysprep) per generalizzare l'immagine del dispositivo.

  • Esaminare le procedure di aggiunta a un dominio e clonazione per allinearsi a questi nuovi miglioramenti della sicurezza.

Conclusione

Queste modifiche migliorano l'autenticazione Kerberos associandola a un'identità computer verificabile e persistente. Le organizzazioni beneficiano di una maggiore protezione dall'accesso non autorizzato e dall'escalation dei privilegi, supportando l'iniziativa più ampia di Microsoft in materia di sicurezza per rafforzare la sicurezza basata sulle identità in tutti gli ambienti aziendali.

​​​​​​​​​​​​​​

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità