原始發布日期: 2025 年 9 月 30 日
KB 編號:5068222
簡介
本文說明最近的安全性增強功能,旨在防止網路驗證期間未經授權的許可權提升,尤其是在回送案例中。 當將 ID 不相符的複製裝置或機器新增至網域時,通常會出現這些風險。
背景
在已加入網域的 Windows 裝置上, 本機安全性授權單位安全性服務 (LSASS) 會強制執行安全性原則,包括篩選網路驗證權杖。 這可防止本機管理員透過遠端存取取得提升的權限。 Kerberos 驗證雖然強大,但歷來由於機器身分驗證不一致,在回送案例中容易受到攻擊。
主要變化
為了解決這些漏洞,Microsoft引入了 SID) (持久性電腦帳戶安全識別碼。 現在,SID 在系統重新啟動時保持一致,有助於維護穩定的機器身分識別。
以前,Windows 在每次啟動時都會產生一個新的機器 ID,這使得攻擊者可以透過重複使用身份驗證資料來繞過環回偵測。 隨著 2025 年 8 月 26 日及之後發行的 Windows 更新,電腦識別碼現在包含每次開機和交叉開機元件。 這使得檢測和阻止漏洞更容易,但可能會導致克隆的 Windows 主機之間的身份驗證失敗,因為它們的交叉啟動機器 ID 將匹配並被阻止。
安全性影響
此增強功能直接解決了 Kerberos 環回漏洞,確保系統拒絕與當前機器身份不匹配的身份驗證票證。 這對於克隆或重新映像設備的環境尤其重要,因為過時的身份資訊可能會被用於權限升級。
藉由根據 Kerberos 票證中的 SID 驗證電腦帳戶 SID,LSASS 可以偵測並拒絕不相符的票證,以加強使用者帳戶控制 (UAC) 保護。
建議動作
-
如果您在複製裝置上遇到事件標識碼:6167 等問題,請使用 系統準備工具 (Sysprep) 來一般化裝置的映像。
-
檢閱網域聯結和複製做法,以符合這些新的安全性增強功能。
總結
這些變更會藉由將 Kerberos 驗證繫結至持續性、可驗證的機器身分識別來增強 Kerberos 驗證。 組織受益於針對未經授權的存取和權限提升的改進保護,支援 Microsoft 更廣泛的 安全優先計劃 ,以加強跨企業環境的身分識別型安全性。
