Застосовується до
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Вихідна дата публікації: 30 вересня 2025 р.

Ідентифікатор KB: 5068222

Вступ 

У цій статті описано останні вдосконалення системи безпеки, призначені для запобігання несанкціонованому ескалації прав під час автентифікації мережі, особливо в сценаріях замикання на себе. Ці ризики часто виникають, коли клоновані пристрої або комп'ютери з невідповідними ідентифікаторами додаються до домену. 

Основні відомості

На пристроях Windows, приєднаних до домену, служба безпеки локального центру безпеки (LSASS) застосовує політики безпеки, зокрема фільтрування маркерів мережевої автентифікації. Це не дає змогу локальним адміністраторам отримувати підвищені права через віддалений доступ. Автентифікація Kerberos, надійна, раніше була вразливою в сценаріях замикання замикання на себе через неузгоджену перевірку ідентичності комп'ютера.

Ключові зміни

Щоб усунути ці вразливості, корпорація Майкрософт ввела постійні ідентифікатори безпеки облікового запису комп'ютера (SID). Тепер SID залишається послідовним у всіх перезавантажень системи, допомагаючи підтримувати стабільну ідентичність комп'ютера.

Раніше Windows створювало новий ідентифікатор комп'ютера під час кожного завантаження, що дозволяло зловмисникам обійти виявлення циклічного передавання, повторно використовуючи дані автентифікації. З оновленнями Windows, випущеними 26 серпня 2025 року, ідентифікатор комп'ютера тепер включає як компоненти для завантаження, так і між завантаження. Це спрощує виявлення та блокування експлойтів, але може призвести до помилок автентифікації між клонованими хостами Windows, оскільки їх ідентифікатори комп'ютера для перехресного завантаження будуть збігатися та блокуватися.

Вплив на безпеку

Це покращення безпосередньо усуває вразливості Kerberos циклічного повернення, забезпечуючи системи відхиляти квитки автентифікації, які не відповідають ідентичності поточного комп'ютера. Це особливо важливо для середовищ, де пристрої клонуються або переосмислюються, оскільки застарілі ідентифікаційні дані можуть використовуватися для підвищення прав.

Перевіряючи SID облікового запису комп'ютера на SID у запиті Kerberos, LSASS може виявляти та відхиляти невідповідні квитки, посилюючи захист служби захисту облікових записів користувачів (UAC ).

Рекомендовані дії

  • Якщо у вас виникнуть такі проблеми, як ідентифікатор події: 6167 на клонованому пристрої, скористайтеся засобом підготовки системи (Sysprep), щоб узагальнити зображення пристрою.

  • Перегляньте способи об'єднання доменів і клонування, щоб узгодити ці нові покращення безпеки.

Висновки

Ці зміни посилюють автентифікацію Kerberos, прив'язуючи її до постійної перевірки ідентичності комп'ютера. Організації отримують підвищений захист від несанкціонованого доступу та підвищення прав, підтримуючи ширшу ініціативу Корпорації Майкрософт щодо безпеки для посилення безпеки на основі ідентичностей у корпоративних середовищах.

​​​​​​​​​​​​​​

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей