Primenjuje se na
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Originalni datum objavljivanja: 30. septembar 2025.

KB ID: 5068222

Uvod 

Ovaj članak objašnjava nedavna bezbednosna poboljšanja dizajnirana da spreče eskalaciju neovlašćenih privilegija tokom potvrde identiteta mreže, naročito u scenarijima ponavljanja. Ovi rizici se često javljaju kada se klonski uređaji ili računari sa neuskladnim ID-ovima dodaju u domen. 

Pozadina

Na Windows uređajima pridruženim domenu, usluga bezbednosti lokalnog bezbednosnog autoriteta (LSASS) nameće bezbednosne smernice, uključujući filtriranje tokena potvrde identiteta mreže. To sprečava lokalne administratore da dobiju privilegije sa punim privilegijama putem daljinskog pristupa. Kerberos potvrda identiteta, iako robusna, istorijsko je ranjiva u scenarijima petlje zbog nedosledne verifikacije identiteta mašine.

Ključne promene

Da bi rešio ove ranjivosti, Microsoft je uveo neprekidne identifikatore bezbednosti naloga računara (SID). SiD ostaje dosledan u ponovnom pokretanju sistema, pomažući u održavanju stabilnog identiteta mašine.

Windows je prethodno generisala novi ID računara pri svakom pokretanju, što je napadacima omogućilo da zaobiđi otkrivanje petlje ponovnim korišćenjom podataka o potvrdi identiteta. Sa ispravkama za Windows objavljenim 26. avgusta 2025. i posle toga, ID računara sada uključuje komponente po pokretanju i unakrsnom pokretanju. To olakšava otkrivanje i blokiranje iskorišćavanja, ali može dovesti do neuspešnih potvrda identiteta između kloniranih Windows hostova jer će se ID-ove računara za unakrsno pokretanje podudarati i blokirati.

Uticaj bezbednosti

Ovo poboljšanje direktno upućuje na ranjivosti Kerberos petlje i osigurava da sistemi odbace tikete za potvrdu identiteta koji se ne podudaraju sa identitetom trenutnog računara. To je naročito važno za okruženja u kojima su uređaji klonirani ili ponovo iskorišćeni, jer zastarele informacije o identitetu mogu da se iskoriste za eskalaciju privilegija.

Proverom valjanosti SID-a računarskog naloga u odnosu na SID u Kerberos tiketu, LSASS može da otkrije i odbije neududarne tikete, jačanjem zaštite kontrole korisničkog naloga (UAC ).

Preporučene radnje

  • Ako naiđete na probleme kao što je ID događaja: 6167 na klonljenom uređaju, koristite alatku za pripremu sistema (Sysprep) da biste generalizovali sliku uređaja.

  • Pregledajte spajanja domena i prakse kloniranje da biste se uskladili sa ovim novim bezbednosnim poboljšanjima.

Zaključak

Ove promene poboljšavaJu Kerberos potvrdu identiteta povezivanjem sa neprekidnim, verifikovanim mašinski identitetom. Organizacije imaju koristi od poboljšane zaštite od neovlašćenog eskalacije pristupa i privilegija, podržavajući širu bezbednosnu inicijativu korporacije Microsoft u cilju jačanja bezbednosti zasnovane na identitetu u poslovnim okruženjima.

​​​​​​​​​​​​​​

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost