Áp dụng cho
Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2025

Ngày phát hành ban đầu: Ngày 30 tháng 9 năm 2025

ID KB: 5068222

Giới thiệu 

Bài viết này giải thích những cải tiến bảo mật gần đây được thiết kế để ngăn chặn tăng cấp đặc quyền trái phép trong quá trình xác thực mạng, đặc biệt là trong các trường hợp vòng lặp. Những rủi ro này thường phát sinh khi thiết bị nhân bản hoặc máy có ID không khớp được thêm vào miền. 

Bối cảnh

Trên các thiết bị Windows đã tham gia miền, Local Security Authority Security Service (LSASS) thực thi các chính sách bảo mật, bao gồm lọc mã thông báo xác thực mạng. Điều này ngăn người quản trị địa phương đạt được đặc quyền nâng cao thông qua truy cập từ xa. Xác thực Kerberos, mặc dù mạnh mẽ, trước đây đã bị tấn công trong các trường hợp lặp lại do xác minh danh tính máy không nhất quán.

Các thay đổi quan trọng

Để khắc phục các lỗ hổng này, Microsoft đã giới thiệu các mã định danh bảo mật tài khoản máy liên tục (SID). Giờ đây, SID vẫn nhất quán khi hệ thống khởi động lại, giúp duy trì danh tính máy ổn định.

Trước đây, Windows đã tạo một ID máy mới tại mỗi lần khởi động, cho phép kẻ tấn công bỏ qua tính năng phát hiện vòng lặp bằng cách sử dụng lại dữ liệu xác thực. Với các bản cập nhật Windows được phát hành vào và sau ngày 26 tháng 8 năm 2025, ID máy giờ đây bao gồm cả cấu phần mỗi lần khởi động và khởi động chéo. Điều này giúp dễ dàng phát hiện và chặn các khai thác hơn, nhưng có thể gây ra lỗi xác thực giữa các máy chủ Windows được nhân bản, vì ID máy khởi động chéo của chúng sẽ khớp và bị chặn.

Ảnh hưởng đến bảo mật

Cải tiến này khắc phục trực tiếp các lỗ hổng vòng lặp Kerberos, đảm bảo hệ thống từ chối phiếu xác thực không khớp với danh tính của máy hiện tại. Điều này đặc biệt quan trọng đối với các môi trường nơi thiết bị được nhân bản hoặc tái hình, vì thông tin nhận dạng đã lỗi thời có thể được khai thác để tăng cấp đặc quyền.

Bằng cách xác thực SID tài khoản máy với SID trong phiếu Kerberos, LSASS có thể phát hiện và từ chối vé không khớp, tăng cường bảo vệ Kiểm soát Tài khoản Người dùng (UAC ).

Các hành động được đề xuất

  • Nếu bạn gặp phải các sự cố như ID Sự kiện: 6167 trên thiết bị được nhân bản, hãy sử dụng Công cụ Chuẩn bị Hệ thống (Sysprep) để tổng quát hình ảnh của thiết bị.

  • Xem lại các biện pháp nối miền và nhân bản để phù hợp với những cải tiến bảo mật mới này.

Kết luận

Những thay đổi này giúp nâng cao xác thực Kerberos bằng cách gắn xác thực với danh tính máy có thể kiểm chứng, liên tục. Các tổ chức hưởng lợi từ việc tăng cường bảo vệ chống lại sự truy cập trái phép và tăng cấp đặc quyền , hỗ trợ sáng kiến đầu tiên về bảo mật mở rộng hơn của Microsoft nhằm tăng cường bảo mật dựa trên căn cước trong các môi trường doanh nghiệp.

​​​​​​​​​​​​​​

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng