Uygulandığı Öğe
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Özgün yayımlama tarihi: 30 Eylül 2025, Cumartesi

KB kimliği: 5068222

Giriş 

Bu makalede, özellikle geri döngü senaryolarında, ağ kimlik doğrulaması sırasında yetkisiz ayrıcalık yükseltmesini önlemek için tasarlanmış son güvenlik geliştirmeleri açıklanmaktadır. Bu riskler genellikle kopyalanan cihazlar veya eşleşmeyen kimliklere sahip makineler bir etki alanına eklendiğinde ortaya çıkar. 

Arka Plan

Etki alanına katılmış Windows cihazlarında , Yerel Güvenlik Yetkilisi Güvenlik Hizmeti (LSASS), ağ kimlik doğrulama belirteçlerini filtreleme dahil olmak üzere güvenlik ilkelerini zorunlu kılmıştır. Bu, yerel yöneticilerin uzaktan erişim yoluyla yükseltilmiş ayrıcalıklar kazanmasını önler. Kerberos kimlik doğrulaması güçlü olsa da, geçmişte tutarsız makine kimliği doğrulaması nedeniyle geri döngü senaryolarında savunmasızdı.

Önemli değişiklikler

Microsoft, bu güvenlik açıklarını gidermek için kalıcı makine hesabı güvenlik tanımlayıcıları (SID) getirmiştir. Artık SID, sistem yeniden başlatmalarında tutarlı olmaya devam eder ve kararlı bir makine kimliğinin korunmasına yardımcı olur.

Daha önce, Windows her önyüklemede yeni bir makine kimliği oluşturarak saldırganların kimlik doğrulama verilerini yeniden kullanarak geri döngü algılamasını atlamasına olanak tanımıştı. 26 Ağustos 2025 tarihinde ve sonrasında yayımlanan Windows güncelleştirmeleriyle, makine kimliği artık hem önyükleme başına hem de önyükleme arası bileşenleri içerir. Bu, açıklardan yararlanmaları algılamayı ve engellemeyi kolaylaştırır, ancak önyükleme makine kimlikleri eşleşeceği ve engellendiği için kopyalanan Windows konakları arasında kimlik doğrulama hatalarına neden olabilir.

Güvenlik etkisi

Bu geliştirme, Kerberos geri döngü güvenlik açıklarını doğrudan gidererek sistemlerin geçerli makinenin kimliğiyle eşleşmeyen kimlik doğrulama biletlerini reddetmesini sağlar. Bu özellikle cihazların kopyalandığı veya yeniden tasarlanan ortamlar için önemlidir çünkü eski kimlik bilgileri ayrıcalık yükseltme için kullanılabilir.

LSASS, makine hesabı SID'sini Kerberos anahtarındaki SID ile doğrulayarak eşleşmeyen anahtarları algılayabilir ve reddederek Kullanıcı Hesabı Denetimi (UAC) korumalarını güçlendirebilir.

Önerilen işlemler

  • Kopyalanan bir cihazda Olay Kimliği: 6167 gibi sorunlarla karşılaşırsanız, cihazın görüntüsünü genelleştirmek için Sistem Hazırlama Aracı'nı (Sysprep) kullanın.

  • Bu yeni güvenlik geliştirmeleriyle uyumlu hale getirmek için etki alanına katılmaları ve kopyalama uygulamalarını gözden geçirin.

Sonuç

Bu değişiklikler, Kerberos kimlik doğrulamasını kalıcı, doğrulanabilir bir makine kimliğine bağlayarak geliştirir. Kuruluşlar yetkisiz erişime ve ayrıcalık yükseltmeye karşı geliştirilmiş korumadan yararlanarak Microsoft'un kurumsal ortamlarda kimlik tabanlı güvenliği güçlendirmeye yönelik daha kapsamlı güvenlik öncelikli girişimini destekler.

​​​​​​​​​​​​​​

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi