Se aplică la
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Data de publicare inițială: 30 septembrie 2025

ID KB: 5068222

Introducere 

Acest articol explică îmbunătățirile de securitate recente proiectate pentru a preveni escaladarea privilegiilor neautorizate în timpul autentificării în rețea, mai ales în scenariile de revenire în buclă. Aceste riscuri apar adesea atunci când dispozitivele clonate sau mașinile cu ID-uri nepotrivite sunt adăugate la un domeniu. 

Fundal

Pe dispozitivele Windows asociate la domeniu, Local Security Authority Security Service (LSASS) impune politici de securitate, inclusiv filtrarea simbolurilor de autentificare în rețea. Acest lucru împiedică administratorii locali să obțină privilegii sporite prin acces la distanță. Autentificarea Kerberos, deși robustă, a fost în trecut vulnerabilă în scenarii de revenire din cauza verificării neuniforme a identității computerului.

Modificări cheie

Pentru a trata aceste vulnerabilități, Microsoft a introdus identificatori de securitate ai contului de computer (SID) persistenti. Acum, SID-ul rămâne consecvent în toate repornirile sistemului, ajutând la menținerea unei identități stabile a mașinii.

Anterior, Windows genera un NOU ID de computer la fiecare bootare, ceea ce permitea atacatorilor să ignore detectarea loopback prin reutilizarea datelor de autentificare. Cu actualizările Windows lansate la și după 26 august 2025, ID-ul mașinii include acum atât componentele pentru bootare, cât și componentele de bootare încrucișată. Acest lucru vă ajută să detectați și să blocați exploatările, dar poate provoca erori de autentificare între gazdele Windows clonate, deoarece ID-urile lor de mașini de bootare încrucișată se vor potrivi și vor fi blocate.

Impact de securitate

Această îmbunătățire se adresează direct vulnerabilităților de loopback Kerberos, asigurându-se că sistemele resping tichetele de autentificare care nu corespund identității computerului curent. Acest lucru este important mai ales pentru mediile în care dispozitivele sunt clonate sau reimaginate, deoarece informațiile învechite despre identitate pot fi exploatate pentru escaladarea privilegiilor.

Prin validarea SID-ului contului de computer împotriva SID-ului din tichetul Kerberos, LSASS poate detecta și respinge tichetele nepotrivite, consolidând protecțiile controlului contului de utilizator (CCU).

Acțiuni recomandate

  • Dacă întâmpinați probleme, cum ar fi ID-ul de eveniment: 6167 pe un dispozitiv clonat, utilizați Instrumentul de pregătire a sistemului (Sysprep) pentru a generaliza imaginea dispozitivului.

  • Revizuiți practicile de asociere la domeniu și clonare pentru a vă alinia cu aceste noi îmbunătățiri de securitate.

Concluzie

Aceste modificări îmbunătățesc autentificarea Kerberos, legându-o la o identitate de computer persistentă, verificabilă. Organizațiile beneficiază de o protecție îmbunătățită împotriva escaladării accesului neautorizat și a privilegiilor, susținând inițiativa mai largă a Microsoft de securitate, de a consolida securitatea bazată pe identitate în mediile de întreprindere.

​​​​​​​​​​​​​​

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate