นำไปใช้กับ
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

วันที่เผยแพร่ต้นฉบับ: วันที่ 30 กันยายน 2568

KB ID: 5068222

บทนำ 

บทความนี้อธิบายการปรับปรุงความปลอดภัยล่าสุดที่ออกแบบมาเพื่อป้องกันการเลื่อนระดับสิทธิ์ที่ไม่ได้รับอนุญาตระหว่างการรับรองความถูกต้องเครือข่าย โดยเฉพาะในสถานการณ์การวนกลับ ความเสี่ยงเหล่านี้มักจะเกิดขึ้นเมื่อเพิ่มอุปกรณ์หรือเครื่องที่ลอกแบบที่มีรหัสที่ไม่ตรงกันลงในโดเมน 

พื้นหลัง

บนอุปกรณ์ Windows ที่เข้าร่วมโดเมน บริการความปลอดภัยของการตรวจสอบสิทธิ์ความปลอดภัยภายในเครื่อง (LSASS) จะบังคับใช้นโยบายความปลอดภัย รวมถึงการกรองโทเค็นการรับรองความถูกต้องของเครือข่าย ซึ่งจะป้องกันไม่ให้ผู้ดูแลระบบภายในได้รับสิทธิ์ระดับสูงผ่านทางการเข้าถึงระยะไกล การรับรองความถูกต้อง Kerberos ในขณะที่มีเสถียรภาพมีช่องโหว่ในอดีตในสถานการณ์วนกลับเนื่องจากการตรวจสอบข้อมูลประจําตัวของเครื่องที่ไม่สอดคล้องกัน

การเปลี่ยนแปลงที่สําคัญ

เพื่อแก้ไขช่องโหว่เหล่านี้ Microsoft ได้นํา ตัวระบุความปลอดภัยของบัญชีเครื่องแบบถาวร (SID) มาใช้ ตอนนี้ SID ยังคงสอดคล้องกันระหว่างการเริ่มระบบใหม่ ซึ่งช่วยรักษาข้อมูลประจําตัวของเครื่องให้เสถียร

ก่อนหน้านี้ Windows ได้สร้างรหัสเครื่องใหม่ในการเริ่มต้นระบบแต่ละครั้ง ซึ่งอนุญาตให้ผู้โจมตีข้ามการตรวจหาลูปแบ็คโดยการใช้ข้อมูลการรับรองความถูกต้องอีกครั้ง ด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่ 26 สิงหาคม 2025 และหลังจากนั้น รหัสเครื่องจะมีคอมโพเนนต์ทั้งต่อการบูตและข้ามบูต ซึ่งทําให้ง่ายต่อการตรวจหาและบล็อกการใช้ประโยชน์จาก แต่อาจทําให้เกิดความล้มเหลวในการรับรองความถูกต้องระหว่างโฮสต์ Windows ที่ลอกแบบ เนื่องจากรหัสเครื่องข้ามบูตจะตรงกันและถูกบล็อก

ผลกระทบต่อความปลอดภัย

การปรับปรุงนี้จัดการช่องโหว่การวนกลับของ Kerberos โดยตรง ทําให้แน่ใจว่าระบบปฏิเสธตั๋วการรับรองความถูกต้องที่ไม่ตรงกับข้อมูลประจําตัวของเครื่องปัจจุบัน นี่เป็นสิ่งสําคัญอย่างยิ่งสําหรับสภาพแวดล้อมที่อุปกรณ์ถูกลอกแบบหรือนํากลับมาใช้ใหม่ เนื่องจากข้อมูลข้อมูลประจําตัวที่ล้าสมัยสามารถใช้ประโยชน์จากการเลื่อนระดับสิทธิ์ได้

ด้วยการตรวจสอบ SID บัญชีเครื่องกับ SID ในตั๋ว Kerberos LSASS สามารถตรวจจับและปฏิเสธตั๋วที่ไม่ตรงกันเสริมการป้องกันการควบคุมบัญชีผู้ใช้ (UAC)

การดำเนินการที่แนะนำ

  • หากคุณพบปัญหา เช่น รหัสเหตุการณ์: 6167 บนอุปกรณ์ที่ลอกแบบ ให้ใช้ เครื่องมือการเตรียมระบบ (Sysprep) เพื่อปรับแต่งอิมเมจของอุปกรณ์

  • ตรวจสอบการเข้าร่วมโดเมนและแนวทางการโคลนเพื่อให้สอดคล้องกับการปรับปรุงความปลอดภัยใหม่เหล่านี้

บทสรุป

การเปลี่ยนแปลงเหล่านี้ปรับปรุงการรับรองความถูกต้อง Kerberos โดยการผูกเข้ากับข้อมูลประจําตัวของเครื่องที่ตรวจสอบได้แบบถาวร องค์กรได้รับประโยชน์จากการป้องกันที่ได้รับการปรับปรุงจากการเข้าถึงและการยกระดับสิทธิ์โดยไม่ได้รับอนุญาต สนับสนุน การริเริ่มด้านความปลอดภัยครั้งแรก ของ Microsoft ที่กว้างขึ้นเพื่อเสริมสร้างความปลอดภัยตามข้อมูลประจําตัวทั่วทั้งสภาพแวดล้อมขององค์กร

​​​​​​​​​​​​​​

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง