Dotyczy
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Oryginalna data publikacji: 30 września 2025 r.

Identyfikator BAZY WIEDZY: 5068222

Wprowadzenie 

W tym artykule wyjaśniono najnowsze ulepszenia zabezpieczeń mające na celu zapobieganie eskalacji nieautoryzowanych uprawnień podczas uwierzytelniania sieciowego, zwłaszcza w scenariuszach sprzężenia zwrotowego. Te zagrożenia często pojawiają się, gdy sklonowane urządzenia lub komputery z niedopasowanymi identyfikatorami są dodawane do domeny. 

Tło

Na urządzeniach z systemem Windows przyłączonymi do domeny usługa zabezpieczeń lokalnego urzędu zabezpieczeń (LSASS) wymusza zasady zabezpieczeń, w tym filtrowanie tokenów uwierzytelniania sieciowego. Uniemożliwia to administratorom lokalnym uzyskiwanie podwyższonych uprawnień za pośrednictwem dostępu zdalnego. Uwierzytelnianie Kerberos, choć niezawodne, w przeszłości było narażone w scenariuszach sprzężenia zwrotowego z powodu niespójnej weryfikacji tożsamości maszyny.

Kluczowe zmiany

Aby rozwiązać ten problem, firma Microsoft wprowadziła identyfikatory zabezpieczeń konta maszyny trwałej (SID). Teraz identyfikator SID jest spójny w przypadku ponownych uruchomień systemu, co pomaga utrzymać stabilną tożsamość komputera.

Wcześniej podczas każdego rozruchu system Windows wygenerował nowy identyfikator komputera, który pozwalał napastnikom na pomijanie wykrywania sprzężenia zwrotnego przez ponowne użycie danych uwierzytelniania. Po wydaniu aktualizacji systemu Windows 26 sierpnia 2025 r. identyfikator komputera zawiera teraz zarówno składniki rozruchu, jak i rozruchu krzyżowego. Ułatwia to wykrywanie i blokowanie exploitów, ale może powodować błędy uwierzytelniania między sklonowanymi hostami systemu Windows, ponieważ ich identyfikatory między rozruchami są zgodne i blokowane.

Wpływ na zabezpieczenia

To rozszerzenie bezpośrednio usuwa luki kerberos w zabezpieczeniach sprzężenia zwrotnego, zapewniając, że systemy odrzucają bilety uwierzytelniania, które nie są zgodne z tożsamością bieżącego komputera. Jest to szczególnie ważne w środowiskach, w których urządzenia są sklonowane lub ponownie otwierane, ponieważ nieaktualne informacje o tożsamości mogą być wykorzystywane do eskalacji uprawnień.

Po zweryfikowaniu identyfikatora SID konta komputera względem identyfikatora SID w bilecie Kerberos usługa LSASS może wykrywać i odrzucać niedopasowane bilety, wzmacniając ochronę kontroli konta użytkownika .

Proponowane działania

  • Jeśli wystąpią problemy, takie jak identyfikator zdarzenia: 6167 na sklonowanym urządzeniu, uogólnij obraz urządzenia za pomocą narzędzia przygotowania systemu (Sysprep).

  • Przejrzyj sprzężenia domen i rozwiązania klonowania, aby dostosować się do tych nowych ulepszeń zabezpieczeń.

Wnioski

Te zmiany poprawiają uwierzytelnianie Kerberos, wiążąc je z trwałą, weryfikowalną tożsamością komputera. Organizacje korzystają z ulepszonej ochrony przed nieautoryzowanym dostępem i eskalacją uprawnień, wspierając szerszą inicjatywę firmy Microsoft dotyczącą zabezpieczeń w celu wzmocnienia zabezpieczeń opartych na tożsamości w środowiskach przedsiębiorstwa.

​​​​​​​​​​​​​​

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu