Gäller för
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Ursprungligt publiceringsdatum: den 30 september 2025

KB-ID: 5068222

Introduktion 

I den här artikeln beskrivs de senaste säkerhetsförbättringarna som är utformade för att förhindra eskalering av obehöriga privilegier under nätverksautentisering, särskilt i loopback-scenarier. Dessa risker uppstår ofta när klonade enheter eller datorer med felmatchade ID:ar läggs till i en domän. 

Bakgrund

På domänanslutna Windows-enheter tillämpar LSASS (Local Security Authority Security Service) säkerhetsprinciper, inklusive filtrering av nätverksautentiseringstoken. Det förhindrar att lokala administratörer får förhöjd behörighet via fjärråtkomst. Kerberos-autentisering, även om den är robust, har historiskt varit sårbar i loopback-scenarier på grund av inkonsekvent datoridentitetsverifiering.

Viktiga ändringar

För att åtgärda dessa sårbarheter har Microsoft infört säkerhetsidentifierare för fortlöpande datorkonto (SID). SID är nu konsekvent i alla systemomstarter, vilket hjälper till att upprätthålla en stabil datoridentitet.

Tidigare genererade Windows ett nytt dator-ID vid varje start, vilket gjorde det möjligt för angripare att kringgå loopback-identifiering genom att återanvända autentiseringsdata. Med Windows-uppdateringar som släpptes den 26 augusti 2025 och efter 26 augusti 2025 innehåller dator-ID:et nu både komponenter per start och korsstart. Det gör det enklare att identifiera och blockera sårbarheter, men kan orsaka autentiseringsfel mellan klonade Windows-värdar, eftersom deras dator-ID:er för korsstart matchas och blockeras.

Säkerhetspåverkan

Den här förbättringen åtgärdar direkt Kerberos loopback-sårbarheter, vilket säkerställer att system avvisar autentiseringsbegäranden som inte matchar den aktuella datorns identitet. Detta är särskilt viktigt för miljöer där enheter klonas eller omskapas, eftersom inaktuell identitetsinformation kan utnyttjas för eskalering av privilegier.

Genom att validera sid för maskinkontot mot SID i Kerberos-biljetten kan LSASS upptäcka och avvisa felmatchade biljetter, vilket stärker UAC-skyddet (User Account Control).

Rekommenderade åtgärder

  • Om du stöter på problem som händelse-ID: 6167 på en klonad enhet använder du Systemförberedelseverktyget (Sysprep) för att generalisera enhetens avbildning.

  • Granska domänanslutningar och kloningsmetoder för att anpassa dig till de nya säkerhetsförbättringarna.

Sammanfattning

Dessa ändringar förbättrar Kerberos-autentiseringen genom att binda den till en beständig, verifierbar datoridentitet. Organisationer har förbättrat skyddet mot obehörig åtkomst och eskalering av privilegier och stöder Microsofts bredare säkerhetsinitiativ för att stärka identitetsbaserad säkerhet i företagsmiljöer.

​​​​​​​​​​​​​​

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter