Microsoft mění zabezpečení systému Windows 11: Počítače s duplicitními identifikátory SID mohou být zablokovány a nelze se přihlásit.

Po vydání aktualizace Windows 11 verze 25H2 společnost Microsoft tiše provedla významnou úpravu zabezpečení pro zařízení s duplicitními SID (identifikátory zabezpečení). Zařízení se systémem Windows 11 24H2 a 25H2 již nebudou umožňovat ověřování NTLM a Kerberos, pokud sdílejí stejný SID s jiným zařízením.

Tato změna má za cíl zvýšit bezpečnost uživatelů a zabránit útokům způsobeným nesprávným klonováním systémů. Nová politika však také způsobuje mnoho problémů, zejména pro firmy, které používají velké množství počítačů nasazených ze stejné standardní instalace.

(Ilustrační obrázek)

Toto zpřísnění pomáhá především zabránit kopírování nebo „klonování“ systému z původní instalace a zároveň zachovává identifikátor SID, který by mohli zneužít zlomyslní aktéři k neoprávněnému přístupu nebo šíření malwaru. Podle zpětné vazby od uživatelské komunity a IT administrátorů jsou však důsledky této zásady značné.

Mnoho počítačů po aktualizaci na nejnovější verzi systému Windows 11 zaznamenalo neustálé zobrazování požadavků na přihlášení nebo chybových zpráv, jako například „Pokus o přihlášení se nezdařil“, „Přihlášení se nezdařilo/vaše přihlašovací údaje nefungovaly“ nebo „V ID počítače je částečná neshoda“, což narušovalo přístup k síťovým prostředkům. Některým zařízením bylo také zablokováno připojení ke sdíleným složkám, síťovým jednotkám nebo nástrojům Vzdálené plochy.

Pro firmy nasazující systémy ve velkém měřítku může použití klonovaného instalačního souboru z ISO souboru na více počítačích bez provedení kroku „generalizace“ vést k duplicitním SID na mnoha zařízeních, což má za následek rozsáhlé chyby při ověřování a přímý dopad na interní operace.

Doporučení od společnosti Microsoft

Vzhledem k této situaci společnost Microsoft doporučuje, aby jednotliví uživatelé a firemní administrátoři před klonováním nebo hromadným nasazením počítačů použili nástroj Sysprep (nástroj pro přípravu systému) k zobecnění systému. Tento nástroj pomáhá odstranit staré identifikátory a zajišťuje, že každé zařízení má jedinečný identifikátor SID a může stabilně fungovat v rámci lokální sítě.

Podle společnosti Microsoft může nedodržení správných postupů pro vytváření obrazů systému vést k četným bezpečnostním rizikům, zejména v podnikových prostředích, kde jsou připojeny stovky zařízení a sdílejí zdroje. Zástupce společnosti také varoval, že úmyslné udržování zastaralých verzí operačních systémů nebo ignorování bezpečnostních záplat představuje „otevřené dveře“, které mohou hackeri zneužít.

Důsledky a reakce uživatelů

Na mezinárodních technologických fórech mnoho administrátorů vyjádřilo frustraci z toho, že se po aktualizaci na Windows 11 na mnoha zařízeních v jejich systémech současně vyskytly chyby. Jeden uživatel se svěřil: „To nás nutí přehodnotit celý proces nasazení nového počítače. Bez úprav se u stovek zařízení současně objeví chyby při přihlašování a naruší se práce.“

Mnoho lidí používajících „klonované pevné disky“ pro rychlejší instalaci se také setkalo s podobnými problémy, což vedlo k tomu, že se mnozí dočasně vrátili k systému Windows 10 nebo aktualizaci odložili. Společnost Microsoft však uvedla, že se jedná o nezbytný krok ke standardizaci bezpečnostního systému a zajištění toho, aby každé zařízení mělo jedinečný identifikátor, což pomůže předcházet budoucím útokům.

Zpřísnění bezpečnostních opatření společností Microsoft přichází v době, kdy společnost tlačí na uživatele, aby zcela přešli na Windows 11, jelikož se blíží konec oficiální podpory systému Windows 10. Kromě ukončení bezpečnostních aktualizací pro starší operační systém Microsoft neustále přidává do systému Windows 11 vyšší bezpečnostní standardy – včetně požadavku na čip TPM 2.0, režimu ochrany jádra High-Voltage System Protection (HVCI) a nyní i jedinečného mechanismu ověřování SID pro každé zařízení.

Podle expertů na kybernetickou bezpečnost je tento krok z dlouhodobého hlediska nezbytný, protože pomáhá snižovat riziko útoků malwaru nebo neoprávněného přístupu prostřednictvím klonovaných systémů. Nasazení bez jasných varování však zaskočilo mnoho jednotlivců a firem, zejména ty, které se spoléhají na modely rychlého nasazení s využitím klonů.

Implementace nových předpisů SID společností Microsoft v systémech Windows 11 24H2 a 25H2 demonstruje snahu o posílení zabezpečení systému, ale zároveň představuje výzvy při synchronní správě a nasazení zařízení. Uživatelé a firmy musí neprodleně zkontrolovat své instalační procesy a zajistit, aby byl každý počítač před použitím řádně „zobecněn“.

I když tato změna dlouhodobě zvyšuje bezpečnost, její tiché zavedení bez konkrétního varování frustruje mnoho uživatelů, když systém neočekávaně ztratí přístup. To slouží jako jasná připomínka toho, že ve stále více technologickém světě , který klade důraz na bezpečnost, není dodržování správných technických postupů jen doporučením – je to pro bezpečný provoz povinné.

Zdroj: https://doanhnghiepvn.vn/cong-nghe/microsoft-thay-doi-bao-mat-windows-11-may-trung-sid-co-the-bi-khoa-dang-nhap/20251103110013099