Taikoma
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Pradinė publikavimo data: 2025 m. rugsėjo 30 d.

KB ID: 5068222

Įžanga 

Šiame straipsnyje aiškinama apie naujausius saugos patobulinimus, skirtus užkirsti kelią neteisėtam teisių padidinimui tinklo autentifikavimo metu, ypač kilpinės jungties scenarijuose. Ši rizika dažnai kyla, kai klonuoti įrenginiai arba įrenginiai su nesutampančius CD įtraukiami į domeną. 

Fonas

Prie domeno prijungtų "Windows" įrenginių vietinės saugos tarnybos saugos tarnyba (LSASS) įgalina saugos strategijas, įskaitant tinklo autentifikavimo atpažinimo ženklų filtravimą. Tai neleidžia vietiniams administratoriams gauti didesnių teisių naudojant nuotolinę prieigą. "Kerberos" autentifikavimas, nors patikimas, istoriškai buvo pažeidžiamas ciklinės jungties scenarijuose dėl nenuoseklaus kompiuterio tapatybės patvirtinimo.

Pagrindiniai pakeitimai

Norėdami išspręsti šiuos pažeidžiamumą, "Microsoft" pristatė nuolatinius kompiuterio paskyros saugos identifikatorius (SID). Dabar SID išlieka nuoseklus visose sistemos paleidimuose iš naujo, padedantis išlaikyti stabilią kompiuterio tapatybę.

Anksčiau "Windows" kiekvienoje įkrovoje sugeneravo naują kompiuterio ID, kuris leido užpuolikai apeiti kilpinės jungties aptikimą pakartotinai panaudodami autentifikavimo duomenis. 2025 m. rugpjūčio 26 d. ir vėliau išleisti "Windows" naujinimai dabar apima tiek įkrovos, tiek perkrovos komponentus. Taip lengviau aptikti ir blokuoti pažeidžiamumo išnaudojimus, tačiau gali kilti autentifikavimo trikčių tarp klonuotų "Windows" pagrindinių kompiuterių, nes jų kelių įkrovų kompiuterių ID atitiks ir bus blokuojami.

Poveikis saugai

Šis patobulinimas tiesiogiai išsprendžia "Kerberos" kilpinės jungties pažeidžiamumus, užtikrindamas, kad sistemos atmes autentifikavimo kvitus, kurie neatitinka dabartinio kompiuterio tapatybės. Tai ypač svarbu aplinkose, kuriose įrenginiai yra klonuoti arba pertvarkyti, nes pasenusios tapatybės informacija gali būti naudojama teisių padidinimui.

Patikrindama kompiuterio abonemento SID su SID "Kerberos" kvite, LSASS gali aptikti ir atmesti nesutampančius kvitus, stiprindamas vartotojo paskyros valdymo tarnybos (UAC) apsaugą.

Rekomenduojami veiksmai

  • Jei kyla problemų, pvz., įvykio ID: 6167 klonuotame įrenginyje, naudokite sistemos parengimo įrankį ("Sysprep"), kad apibendrintumėte įrenginio vaizdą.

  • Peržiūrėkite domenų sujungimus ir klonavimo praktikas, kad galėtumėte suderinti su šiais naujais saugos patobulinimais.

Išvados

Šie pakeitimai pagerina "Kerberos" autentifikavimą surišdami jį su išliekančia, patikrinama kompiuterio tapatybe. Organizacijoms naudinga patobulinta apsauga nuo neteisėtos prieigos ir teisių padidinimo, palaikanti "Microsoft" platesnę pirmąją saugumo iniciatyvą , skirtą stiprinti tapatybe pagrįstą saugą visose įmonės aplinkose.

​​​​​​​​​​​​​​

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras