Velja za
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Datum izvirne objave: 30. september 2025

ID zbirke znanja: 5068222

Uvod 

V tem članku so razložene nedavne varnostne izboljšave, ki so bile zasnovane za preprečevanje nepooblaščenega stopnjevanja privilegija med preverjanjem pristnosti omrežja, zlasti v scenarijih povratne zanke. Ta tveganja se pogosto pojavijo, ko so klonirane naprave ali računalniki z ID-ji, ki se neujemajo, dodani v domeno. 

Ozadje

V napravah s sistemom Windows, ki so pridružene domeni, storitev LSASS (Local Security Authority Security Service) uveljavlja varnostne pravilnike, vključno z žetoni za preverjanje pristnosti omrežja. Tako lokalnim skrbnikom preprečite pridobitev povišanih pravic prek oddaljenega dostopa. Kerberos authentication, while robust, has historically been vulnerable in loopback scenarios due to inconsistent machine identity verification.

Ključne spremembe

Za zaščito teh ranljivosti je Microsoft uvedel varnostne identifikatorje za trajni račun računalnika (SID). SID je zdaj dosleden pri vnovičnih zagonih sistema, kar pomaga ohranjati stabilno identiteto računalnika.

Prej je sistem Windows ob vsakem zagonu ustvaril nov ID računalnika, ki je napadalcem dovolil, da so obšli zaznavanje povratne zanke s ponovno uporabo podatkov za preverjanje pristnosti. S posodobitvami sistema Windows, izdanimi 26. avgusta 2025 in po tem, ID računalnika zdaj vključuje komponente na zagon in navzkrižne zagone. To omogoča lažje zaznavanje in blokiranje zlorab, vendar lahko povzroči napake pri preverjanju pristnosti med kloniranimi gostitelji sistema Windows, saj se bodo NJIHOVI ID-ji v navzkrižnem zagonu ujemali in blokirali.

Vpliv na varnost

Ta izboljšava neposredno odpravlja ranljivosti povratne zanke Kerberos in zagotavlja, da sistemi zavrnejo vstopnice za preverjanje pristnosti, ki se ne ujemajo z identiteto trenutnega računalnika. To je zlasti pomembno za okolja, kjer so naprave klonirane ali posodobljene, saj je zastarele podatke o identiteti mogoče izkoristiti za stopnjevanje privilegijev.

S preverjanjem veljavnosti računa računalnika SID glede na SID v vstopnici Kerberos lahko LSASS zazna in zavrne neujemajoča se naročila, okrepi zaščito nadzora uporabniškega računa (UAC ).

Priporočena dejanja

  • Če naletite na težave, kot je ID dogodka: 6167 v klonirani napravi, uporabite orodje za pripravo sistema (Sysprep) za posplošitev slike naprave.

  • Preglejte združitve in kloniranje domen, da se uskladite s temi novimi varnostnimi izboljšavami.

Zaključek

Te spremembe izboljšajo preverjanje pristnosti Kerberos tako, da jih vežejo na trajno, preverljivo strojno identiteto. Organizacijam je na voljo izboljšana zaščita pred nepooblaščenim dostopom in stopnjevanjem pravic, ki podpira Microsoftovo širšo iniciativo na prvi ravni glede varnosti in tako krepi varnost na podlagi identitete v poslovnih okoljih.

​​​​​​​​​​​​​​

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost