元の発行日: 2025 年 9 月 30 日
KB ID: 5068222
概要
この記事では、特にループバック シナリオで、ネットワーク認証中の未承認の特権エスカレーションを防ぐために設計された最近のセキュリティ強化について説明します。 これらのリスクは、複製されたデバイスまたは ID が一致しないマシンがドメインに追加されたときに発生することがよくあります。
背景
ドメインに参加している Windows デバイスでは、 ローカル セキュリティ機関セキュリティ サービス (LSASS) によって、ネットワーク認証トークンのフィルター処理など、セキュリティ ポリシーが適用されます。 これにより、ローカル管理者はリモート アクセスを介して昇格された特権を取得できなくなります。 Kerberos 認証は堅牢ですが、マシン ID の検証に一貫性がないため、ループバック シナリオではこれまで脆弱でした。
主な変更
これらの脆弱性に対処するために、Microsoft は永続的なマシン アカウント セキュリティ識別子 (SID) を導入しました。 現在、SID はシステムの再起動間で一貫性を維持し、安定したマシン ID を維持するのに役立ちます。
以前は、Windows によって各ブートで新しいマシン ID が生成され、攻撃者は認証データを再利用してループバック検出をバイパスすることができました。 2025 年 8 月 26 日以降にリリースされた Windows 更新プログラムでは、マシン ID にブートごとのコンポーネントとクロスブート コンポーネントの両方が含まれるようになりました。 これにより、悪用の検出とブロックが容易になりますが、クロスブート マシン ID が一致してブロックされるため、複製された Windows ホスト間で認証エラーが発生する可能性があります。
セキュリティへの影響
この拡張機能は Kerberos ループバックの脆弱性に直接対処し、システムが現在のマシンの ID と一致しない認証チケットを拒否します。 これは、古い ID 情報が特権エスカレーションのために悪用される可能性があり、デバイスを複製または再イメージ化する環境では特に重要です。
Kerberos チケットの SID に対してマシン アカウント SID を検証することで、LSASS は不一致のチケットを検出して拒否し、ユーザー アカウント制御 (UAC) 保護を強化できます。
推奨される操作
-
複製されたデバイスでイベント ID: 6167 などの問題が発生した場合は、 システム準備ツール (Sysprep) を使用してデバイスのイメージを一般化します。
-
これらの新しいセキュリティ強化に合わせて、ドメイン参加と複製のプラクティスを確認します。
結論
これらの変更により、Kerberos 認証を永続的で検証可能なマシン ID にバインドすることで強化されます。 組織は、未承認のアクセスと特権エスカレーションに対する保護の強化の恩恵を受け、エンタープライズ環境全体で ID ベースのセキュリティを強化するための Microsoft の広範な セキュリティ優先イニシアチブ をサポートします。
