Attiecas uz
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Sākotnējās publicēšanas datums: 2025. gada 30. septembris

KB ID: 5068222

Ievads 

Šajā rakstā ir izskaidroti jaunākie drošības uzlabojumi, kas izveidoti, lai tīkla autentifikācijas laikā nepieļautu nesankcionētu privilēģiju eskalāciju, īpaši atgriezeniskā savienojuma scenārijos. Šie riski bieži rodas, ja domēnam tiek pievienoti klonēti ierīces vai datori ar neatbilstošiem TIES. 

Pamatojums

Domēnam pievienotās Windows ierīcēs lokālās drošības iestādes drošības pakalpojums (LSASS) īsteno drošības politikas, tostarp tīkla autentifikācijas marķieru filtrēšanu. Tas neļauj lokālajiem administratoriem iegūt privilēģijas, izmantojot attālo piekļuvi. Rakstsavirzes autentifikācija, bet robusta, ir spēcīga, bet vēstures laikā ir neaizsargāta atgriezeniskā režīma scenārijos, jo datorā tiek nekonsekventa identitātes pārbaude.

Galvenās izmaiņas

Lai novērstu šo ievainojamību, korporācija Microsoft ir ieviesusi pastāvīgos datora konta drošības identifikatorus (SID). Tagad SID paliek konsekvents visās sistēmas restartos, palīdzot uzturēt stabilu datora identitāti.

Iepriekš operētājsistēma Windows katrā sāknē ģenerēja jaunu datora ID, kas atļāva uzbrukumiem apiet atgriezeniskās atslēgas noteikšanu, atkārtoti izmantojot autentifikācijas datus. Līdz ar Windows atjauninājumiem, kas izlaisti 2025. gada 26. augustā, datora ID tagad ietver gan palaišanas, gan starpsāknēšanas komponentus. Tas atvieglo autentifikācijas un bloķēšanas izmantošanu, taču var izraisīt autentifikācijas kļūmes starp klonētajiem Windows resursdatoriem, jo to starpsāknēšanas datora ID atbilst un tiek bloķēti.

Drošības ietekme

Šis uzlabojumi attiecas tieši uz Kerberos loopback ievainojamībām, nodrošinot, lai sistēmas noraidītu autentifikācijas biļetes, kas neatbilst pašreizējā datora identitātei. Tas ir īpaši svarīgi vidē, kur ierīces ir klonētas vai ir saīsinātas, jo novecojušu identitātes informāciju var izmantot privilēģiju eskalācijai.

Validējot datora konta SID attiecībā pret SID Kerberos biļetē, LSASS var noteikt un noraidīt neatbilstošas biļetes, aizsargājot lietotāja konta kontroli (User Account Control — UAC ).

Ieteicamās darbības

  • Ja jums ir problēmas, piemēram, notikuma ID: 6167 klonētajā ierīcē, izmantojiet sistēmas sagatavošanas rīku (System Preparation Tool — Sysprep), lai vispārīgi izprastu ierīces attēlu.

  • Pārskatiet domēnu savienojumus un klonēšanas praksi, lai to saskaņotu ar šiem jaunajiem drošības uzlabojumiem.

Secinājums

Šīs izmaiņas uzlabo Kerberos autentifikāciju, saistot to ar pastāvīgo, pārbaudāmo datora identitāti. Organizācijām tiek uzlabota aizsardzība pret nesankcionētu piekļuvi un privilēģiju eskalāciju, kas atbalsta Microsoft plašāku darbību, kas ir pirmā līmeņa drošība, lai veicinātu ar identitāti balstītu drošību visā uzņēmuma vidē.

​​​​​​​​​​​​​​

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs