原始发布日期: 2025 年 9 月 30 日
KB ID:5068222
简介
本文介绍最新的安全增强功能,旨在防止在网络身份验证期间(特别是在环回方案中)期间未经授权的特权提升。 将克隆的设备或 ID 不匹配的计算机添加到域时,通常会出现这些风险。
背景信息
在已加入域的 Windows 设备上, 本地安全机构安全服务 (LSASS) 强制实施安全策略,包括筛选网络身份验证令牌。 这可以防止本地管理员通过远程访问获得提升的权限。 Kerberos 身份验证虽然很可靠,但由于计算机身份验证不一致,在环回方案中一直很脆弱。
键更改
为了解决这些漏洞,Microsoft引入了持久性计算机帐户 安全标识符 (SID)。 现在,SID 在系统重启时保持一致,有助于维护稳定的计算机标识。
以前,Windows 在每次启动时都会生成一个新的计算机 ID,这使攻击者可以通过重用身份验证数据来绕过环回检测。 在 2025 年 8 月 26 日及之后发布的 Windows 更新中,计算机 ID 现在包括每启动组件和交叉启动组件。 这样可以更轻松地检测和阻止攻击,但可能会导致克隆的 Windows 主机之间的身份验证失败,因为其交叉启动计算机 ID 将匹配并被阻止。
安全影响
此增强功能直接解决 Kerberos 环回漏洞,确保系统拒绝与当前计算机标识不匹配的身份验证票证。 这对于克隆或重置设备映像的环境尤其重要,因为可以利用过时的标识信息提升特权。
通过针对 Kerberos 票证中的 SID 验证计算机帐户 SID,LSASS 可以检测并拒绝不匹配的票证,从而加强用户帐户控制 (UAC) 保护。
建议的操作
-
如果在克隆的设备上遇到事件 ID:6167 等问题,请使用 系统准备工具 (Sysprep) 来通用化设备的映像。
-
查看域加入和克隆做法,以符合这些新的安全增强功能。
结论
这些更改通过将 Kerberos 身份验证绑定到持久且可验证的计算机标识来增强它。 组织受益于针对未经授权的访问和特权提升的改进保护,支持Microsoft更广泛的 安全优先计划 ,以增强跨企业环境基于标识的安全性。
