Aplica-se A
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Data de publicação original: 30 de setembro de 2025

ID da BDC: 5068222

Introdução 

Este artigo explica os recentes melhoramentos de segurança concebidos para impedir o escalamento de privilégios não autorizados durante a autenticação de rede, especialmente em cenários de loopback. Estes riscos surgem frequentemente quando dispositivos clonados ou computadores com IDs não correspondentes são adicionados a um domínio. 

Fundo

Em dispositivos Windows associados a um domínio, o Serviço de Segurança da Autoridade de Segurança Local (LSASS) impõe políticas de segurança, incluindo a filtragem de tokens de autenticação de rede. Isto impede que os administradores locais obtenham privilégios elevados através do acesso remoto. A autenticação Kerberos, embora robusta, tem sido historicamente vulnerável em cenários de loopback devido à verificação inconsistente da identidade do computador.

Principais alterações

Para resolver estas vulnerabilidades, a Microsoft introduziu identificadores de segurança de conta de computador (SID) persistentes. Agora, o SID permanece consistente nos reinícios do sistema, ajudando a manter uma identidade de máquina estável.

Anteriormente, o Windows gerava um novo ID de máquina em cada arranque, o que permitia aos atacantes ignorar a deteção de loopback ao reutilizar dados de autenticação. Com as atualizações do Windows lançadas em e depois de 26 de agosto de 2025, o ID do computador inclui agora componentes por arranque e de arranque cruzado. Isto facilita a deteção e o bloqueio de exploits, mas pode causar falhas de autenticação entre anfitriões Windows clonados, uma vez que os IDs do computador de arranque cruzado corresponderão e serão bloqueados.

Impacto na segurança

Esta melhoria aborda diretamente as vulnerabilidades de loopback do Kerberos, garantindo que os sistemas rejeitam pedidos de autenticação que não correspondem à identidade do computador atual. Isto é especialmente importante para ambientes onde os dispositivos são clonados ou recriados, uma vez que as informações de identidade desatualizadas podem ser exploradas para escalamento de privilégios.

Ao validar o SID da conta de computador relativamente ao SID na permissão Kerberos, o LSASS pode detetar e rejeitar pedidos não correspondentes, reforçando as proteções do Controlo de Conta de Utilizador (UAC ).

Ações recomendadas

  • Se encontrar problemas como o ID do Evento: 6167 num dispositivo clonado, utilize a Ferramenta de Preparação do Sistema (Sysprep) para generalizar a imagem do dispositivo.

  • Reveja as práticas de associação e clonagem de domínios para se alinhar com estes novos melhoramentos de segurança.

Conclusão

Estas alterações melhoram a autenticação Kerberos vinculando-a a uma identidade de máquina persistente e verificável. As organizações beneficiam de uma proteção melhorada contra o acesso não autorizado e o escalamento de privilégios, suportando a iniciativa de segurança inicial mais ampla da Microsoft para reforçar a segurança baseada em identidades em ambientes empresariais.

​​​​​​​​​​​​​​

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade