Применяется к
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Исходная дата публикации: 30 сентября 2025 г.

Идентификатор базы знаний: 5068222

Введение 

В этой статье описываются последние улучшения безопасности, предназначенные для предотвращения несанкционированного повышения привилегий во время проверки подлинности сети, особенно в сценариях замыкания на себя. Эти риски часто возникают при добавлении в домен клонированных устройств или компьютеров с несовпадениями идентификаторов. 

Краткое описание ситуации

На присоединенных к домену устройствах Windows служба безопасности локального центра безопасности (LSASS) применяет политики безопасности, включая фильтрацию маркеров проверки подлинности сети. Это предотвращает получение локальными администраторами повышенных привилегий через удаленный доступ. Проверка подлинности Kerberos, хотя и надежная, исторически была уязвима в сценариях замыкания на себя из-за несогласованной проверки личности компьютера.

Ключевые изменения

Для устранения этих уязвимостей корпорация Майкрософт ввела постоянные идентификаторы безопасности учетных записей компьютера (SID). Теперь идентификатор безопасности остается согласованным при перезапусках системы, что помогает поддерживать стабильное удостоверение компьютера.

Ранее Windows сгенерировал новый идентификатор компьютера при каждой загрузке, что позволяло злоумышленникам обходить обнаружение замыкания на себя путем повторного применения данных проверки подлинности. После выпуска обновлений Windows от 26 августа 2025 г. идентификатор компьютера теперь включает компоненты для каждой загрузки и перекрестной загрузки. Это упрощает обнаружение и блокировку эксплойтов, но может привести к сбоям проверки подлинности между клонированными узлами Windows, так как их идентификаторы компьютеров с перекрестной загрузкой будут совпадать и блокироваться.

Влияние на безопасность

Это улучшение напрямую устраняет уязвимости замыкания на себя Kerberos, гарантируя, что системы отклоняют билеты проверки подлинности, которые не соответствуют идентификатору текущего компьютера. Это особенно важно для сред, в которых устройства клонируются или переосмыслены, так как устаревшие сведения об удостоверениях могут использоваться для повышения привилегий.

Проверяя идентификатор безопасности учетной записи компьютера с идентификатором безопасности в билете Kerberos, LSASS может обнаруживать и отклонять несовпадение билетов, усиливая защиту контроля учетных записей пользователей (UAC ).

Рекомендуемые действия

  • При возникновении таких проблем, как идентификатор события 6167 на клонируемом устройстве, используйте средство подготовки системы (Sysprep), чтобы обобщить образ устройства.

  • Ознакомьтесь с рекомендациями по присоединению к домену и клонированию, чтобы согласовать эти новые улучшения безопасности.

Заключение

Эти изменения улучшают проверку подлинности Kerberos, привязывая ее к постоянному проверяемому удостоверению компьютера. Организации получают преимущества улучшенной защиты от несанкционированного доступа и повышения привилегий, поддерживая более широкую инициативу Майкрософт по обеспечению безопасности на основе удостоверений в корпоративных средах.

​​​​​​​​​​​​​​

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей