Microsoft ändert die Sicherheitseinstellungen in Windows 11: Rechner mit doppelten SIDs können vom Anmeldezugriff ausgeschlossen werden.

Nach der Veröffentlichung des Windows 11-Updates Version 25H2 hat Microsoft stillschweigend eine wichtige Sicherheitsanpassung für Geräte mit identischen SIDs (Sicherheitskennungen) vorgenommen. Demnach ist die NTLM- und Kerberos-Authentifizierung auf Windows 11-Geräten der Versionen 24H2 und 25H2 nicht mehr möglich, wenn sie dieselbe SID wie ein anderes Gerät verwenden.

Diese Änderung soll die Benutzersicherheit erhöhen und Angriffe durch unsachgemäßes Klonen von Systemen verhindern. Die neue Richtlinie verursacht jedoch auch viele Probleme, insbesondere für Unternehmen, die eine große Anzahl von Computern mit derselben Standardinstallation einsetzen.

(Abbildung zur Veranschaulichung)

Diese Verschärfung der Sicherheitsvorkehrungen soll vor allem verhindern, dass das System von der Originalinstallation kopiert oder „geklont“ wird, wobei die System-ID (SID) erhalten bleibt, die von Angreifern für unberechtigten Zugriff oder die Verbreitung von Schadsoftware missbraucht werden könnte. Laut Rückmeldungen von Nutzern und IT-Administratoren sind die Folgen dieser Richtlinie jedoch erheblich.

Viele Computer, die auf die neueste Version von Windows 11 aktualisiert wurden, verzeichnen ständige Anmeldeversuche oder zeigen Fehlermeldungen wie „Anmeldeversuch fehlgeschlagen“, „Anmeldung fehlgeschlagen/Ihre Anmeldeinformationen sind ungültig“ oder „Die Computer-ID stimmt teilweise nicht überein“ an, was den Zugriff auf Netzwerkressourcen beeinträchtigt. Einige Geräte können zudem keine Verbindung zu freigegebenen Ordnern, Netzlaufwerken oder Remotedesktop-Tools herstellen.

Bei Unternehmen, die Systeme in großem Umfang einsetzen, kann die Verwendung einer geklonten Installationsdatei aus einer ISO-Datei auf mehreren Computern ohne den Schritt der "Generalisierung" zu doppelten SIDs auf zahlreichen Geräten führen, was weit verbreitete Authentifizierungsfehler zur Folge hat und sich direkt auf den internen Betrieb auswirkt.

Empfehlung von Microsoft

Angesichts dieser Situation empfiehlt Microsoft Einzelanwendern und Unternehmensadministratoren, das System vor dem Klonen oder der Massenbereitstellung von Computern mit Sysprep (Systemvorbereitungstool) zu generalisieren. Dieses Tool entfernt alte Kennungen und stellt sicher, dass jedes Gerät eine eindeutige SID besitzt und stabil im lokalen Netzwerk funktioniert.

Laut Microsoft kann die Nichteinhaltung der korrekten Verfahren zur Erstellung von Systemabbildern zu zahlreichen Sicherheitsrisiken führen, insbesondere in Unternehmensumgebungen, in denen Hunderte von Geräten miteinander verbunden sind und Ressourcen gemeinsam nutzen. Ein Unternehmenssprecher warnte zudem davor, dass das absichtliche Beibehalten veralteter Betriebssystemversionen oder das Ignorieren von Sicherheitspatches Hackern eine „offene Tür“ öffnet.

Folgen und Reaktionen der Nutzer

In internationalen Technologieforen äußerten viele Administratoren ihre Frustration darüber, dass nach dem Update auf Windows 11 zahlreiche Geräte in ihren Systemen gleichzeitig Fehler aufwiesen. Ein Nutzer berichtete: „Das zwingt uns, unseren gesamten Prozess zur Bereitstellung neuer Rechner zu überprüfen. Ohne Anpassungen werden Hunderte von Geräten gleichzeitig Anmeldefehler haben und den Arbeitsablauf stören.“

Viele Nutzer, die Festplatten klonten, um die Installation zu beschleunigen, stießen auf ähnliche Probleme und kehrten daher vorübergehend zu Windows 10 zurück oder verschoben das Update. Microsoft erklärte jedoch, dies sei ein notwendiger Schritt, um das Sicherheitssystem zu standardisieren und jedem Gerät eine eindeutige Kennung zuzuweisen, wodurch zukünftige Angriffe verhindert werden könnten.

Microsofts verschärfte Sicherheitsmaßnahmen erfolgen vor dem Hintergrund, dass das Unternehmen Nutzer zum vollständigen Umstieg auf Windows 11 drängt, da der offizielle Support für Windows 10 bald ausläuft. Neben der Einstellung der Sicherheitsupdates für das ältere Betriebssystem integriert Microsoft kontinuierlich höhere Sicherheitsstandards in Windows 11 – darunter die Pflicht zum Einsatz eines TPM 2.0-Chips, den Kernel-Schutzmodus „Hochspannungssystemschutz“ (HVCI) und nun auch einen individuellen SID-Verifizierungsmechanismus für jedes Gerät.

Laut Cybersicherheitsexperten ist dieser Schritt langfristig notwendig, um das Risiko von Malware-Angriffen oder unberechtigtem Zugriff durch geklonte Systeme zu verringern. Die Bereitstellung ohne klare Warnungen hat jedoch viele Privatpersonen und Unternehmen überrascht, insbesondere diejenigen, die auf schnelle Bereitstellungsmodelle mit Klonen setzen.

Die Implementierung der neuen SID-Richtlinien in Windows 11 24H2 und 25H2 durch Microsoft verdeutlicht die Bemühungen um eine stärkere Systemsicherheit, stellt aber gleichzeitig eine Herausforderung für die synchrone Verwaltung und Bereitstellung von Geräten dar. Benutzer und Unternehmen müssen ihre Installationsprozesse umgehend überprüfen und sicherstellen, dass jeder Computer vor der Inbetriebnahme ordnungsgemäß generalisiert wird.

Diese Änderung verbessert zwar langfristig die Sicherheit, doch ihre stille Einführung ohne konkrete Vorwarnung hat viele Nutzer frustriert, da der Zugriff auf das System unerwartet ausfiel. Dies verdeutlicht eindrücklich, dass in einer zunehmend sicherheitsbewussten Technologiewelt die Einhaltung korrekter technischer Verfahren nicht nur empfehlenswert, sondern für einen sicheren Betrieb unerlässlich ist.

Quelle: https://doanhnghiepvn.vn/cong-nghe/microsoft-thay-doi-bao-mat-windows-11-may-trung-sid-co-the-bi-khoa-dang-nhap/20251103110013099