Van toepassing op
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Oorspronkelijke publicatiedatum: dinsdag 30 september 2025

KB-id: 5068222

Inleiding 

In dit artikel worden recente beveiligingsverbeteringen uitgelegd die zijn ontworpen om escalatie van onbevoegde bevoegdheden tijdens netwerkverificatie te voorkomen, met name in loopback-scenario's. Deze risico's ontstaan vaak wanneer gekloonde apparaten of machines met niet-overeenkomende id's worden toegevoegd aan een domein. 

Achtergrond

Op Windows-apparaten die lid zijn van een domein, dwingt de Local Security Authority Security Service (LSASS) beveiligingsbeleid af, inclusief het filteren van netwerkverificatietokens. Dit voorkomt dat lokale beheerders verhoogde bevoegdheden krijgen via externe toegang. Kerberos-verificatie is weliswaar robuust, maar is in het verleden kwetsbaar geweest in loopback-scenario's vanwege inconsistente verificatie van de identiteit van de machine.

Belangrijke wijzigingen

Om deze beveiligingsproblemen aan te pakken, heeft Microsoft permanente beveiligings-id's voor computeraccounts (SID) geïntroduceerd. Nu blijft de SID consistent bij het opnieuw opstarten van het systeem, waardoor een stabiele machine-identiteit wordt behouden.

Voorheen heeft Windows bij elke keer opstarten een nieuwe machine-id gegenereerd, waardoor aanvallers de loopback-detectie konden omzeilen door verificatiegegevens opnieuw te gebruiken. Met Windows-updates die zijn uitgebracht op en na 26 augustus 2025, bevat de machine-id nu zowel onderdelen per boot als cross-boot. Dit maakt het gemakkelijker om exploits te detecteren en te blokkeren, maar kan verificatiefouten veroorzaken tussen gekloonde Windows-hosts, omdat hun cross-boot machine-id's overeenkomen en worden geblokkeerd.

Gevolgen voor de beveiliging

Met deze verbetering worden kerberos-loopback-beveiligingsproblemen rechtstreeks opgelost, zodat systemen verificatietickets weigeren die niet overeenkomen met de identiteit van de huidige machine. Dit is met name belangrijk voor omgevingen waarin apparaten worden gekloond of opnieuw worden gemaakt, omdat verouderde identiteitsgegevens kunnen worden misbruikt voor escalatie van bevoegdheden.

Door de SID van het computeraccount te valideren op basis van de SID in het Kerberos-ticket, kan LSASS niet-overeenkomende tickets detecteren en weigeren, waardoor gebruikersaccountbeheer (UAC) wordt versterkt.

Aanbevolen acties

  • Als u problemen ondervindt zoals gebeurtenis-id: 6167 op een gekloond apparaat, gebruikt u het Hulpprogramma voor systeemvoorbereiding (Sysprep) om de installatiekopieën van het apparaat te generaliseren.

  • Bekijk domeindeelnames en kloonprocedures om af te stemmen op deze nieuwe beveiligingsverbeteringen.

Conclusie

Deze wijzigingen verbeteren kerberos-verificatie door deze te binden aan een permanente, controleerbare machine-identiteit. Organisaties profiteren van verbeterde beveiliging tegen onbevoegde toegang en escalatie van bevoegdheden, ter ondersteuning van het bredere initiatief van Microsoft om de beveiliging op basis van identiteit in bedrijfsomgevingen te versterken.

​​​​​​​​​​​​​​

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum