Vzťahuje sa na
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Pôvodný dátum publikovania: 30. septembra 2025

IDENTIFIKÁCIA DATABÁZY KB: 5068222

Úvod 

Tento článok vysvetľuje nedávne vylepšenia zabezpečenia navrhnuté tak, aby sa zabránilo eskalácii neoprávnených oprávnení počas overovania siete, najmä v scenároch loopbacku. Tieto riziká sa často vyskytujú, keď sa do domény pridajú klonované zariadenia alebo počítače s nezhodnými identifikátormi. 

Pozadie

V zariadeniach s Windowsom pripojenými k doméne vynucuje lokálna bezpečnostná služba (LSASS) politiky zabezpečenia vrátane filtrovania tokenov overovania siete. To zabráni lokálnym správcom získať zvýšené oprávnenia prostredníctvom vzdialeného prístupu. Overovanie kerberos, hoci robustné, bolo v minulosti zraniteľné v scenároch loopbacku z dôvodu nekonzistentných overení identity počítača.

Kľúčové zmeny

Na riešenie týchto zraniteľných miest spoločnosť Microsoft zaviedla trvalé identifikátory zabezpečenia konta počítača (SID). Identifikátor SID teraz zostáva konzistentný pri reštartovaní systému, čo pomáha udržiavať stabilnú identitu zariadenia.

V minulosti Systém Windows vygeneroval pri každom spustení nové ID počítača, čo umožnilo útočníkom obísť detekciu slučky opätovným spustením overovacích údajov. S aktualizáciami Windowsu vydanými 26. augusta 2025 a po ňom teraz ID počítača obsahuje súčasti na spustenie aj súčasti krížového spustenia. To uľahčuje zisťovanie a blokovanie využití, ale môže spôsobiť zlyhanie overenia medzi klonovanými hostiteľmi systému Windows, pretože ich identifikátory zariadenia na krížové spustenie sa budú zhodovať a budú blokované.

Vplyv na zabezpečenie

Toto vylepšenie priamo rieši chyby slučky protokolu Kerberos, čím sa zabezpečí, že systémy odmietnu overovacie lístky, ktoré sa nezhodujú s identitou aktuálneho počítača. Je to dôležité najmä v prostrediach, v ktorých sú zariadenia klonované alebo opätovne poškodené, pretože zastarané informácie o identite môžu byť využité na eskaláciu oprávnení.

Overením identifikátora SID konta počítača v identifikátore SID v tikete protokolu Kerberos môže LSASS zistiť a odmietnuť nezhodné žiadosti, čím sa posilní ochrana kontroly používateľských kont (UAC ).

Odporúčané akcie

  • Ak sa vyskytnú problémy, ako je napríklad IDENTIFIKÁCIA udalosti: 6167 v klonovanom zariadení, použite nástroj na prípravu systému (Sysprep) na zovšeobecniť obrázok zariadenia.

  • Skontrolujte spojenia domén a postupy klonovania, aby ste sa zosúladili s týmito novými vylepšeniami zabezpečenia.

Záver

Tieto zmeny zvyšujú overovanie kerberos tak, že ho viažu na trvalú overiteľnú identitu počítača. Organizácie využívajú vylepšenú ochranu pred neoprávneným prístupom a eskaláciou oprávnení, čo podporuje širšiu iniciatívu spoločnosti Microsoft v oblasti zabezpečenia s cieľom posilniť zabezpečenie založené na identite v podnikových prostrediach.

​​​​​​​​​​​​​​

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania