מיקרוסופט משנה את אבטחת Windows 11: מכשירים עם מזהי SID כפולים עלולים להינעל מפני כניסה

לאחר פרסום עדכון גרסה 25H2 של Windows 11, מיקרוסופט יישמה בשקט התאמת אבטחה חשובה עבור מכשירים עם מזהי SID (מזהי אבטחה) כפולים. בהתאם לכך, מכשירי Windows 11 24H2 ו-25H2 לא יאפשרו עוד אימות NTLM ו-Kerberos אם למכשיר יש אותו SID כמו למכשיר אחר.

שינוי זה אמור להגביר את אבטחת המשתמש ולמנוע התקפות משכפול מערכת לא תקין. עם זאת, המדיניות החדשה גורמת גם לצרות רבות, במיוחד עבור עסקים המשתמשים במספר רב של מחשבים הפרוסים מאותה התקנה סטנדרטית.

(אִיוּר)

הידוק זה מסייע תחילה למנוע העתקה או "שכפול" של המערכת מההתקנה המקורית, תוך שמירה על מזהה ה-SID, אשר יכול להיות מנוצל על ידי רשעים כדי לקבל גישה לא מורשית או להפיץ תוכנות זדוניות. עם זאת, על פי משוב מקהילת המשתמשים וממנהלי IT, ההשלכות של מדיניות זו אינן קטנות.

מחשבים רבים לאחר עדכון לגרסה החדשה של Windows 11 נתקלו במצב בו הם מתבקשים כל הזמן להתחבר או מתקבלות הודעות שגיאה כגון "ניסיון התחברות נכשל", "התחברות נכשלה/האישורים שלך לא פעלו" או "ישנה אי התאמה חלקית במזהה המחשב", מה שגורם להפרעות בגישה למשאבי רשת. מכשירים מסוימים חסומים גם בעת התחברות לתיקיות משותפות, כונני רשת או כלי שולחן עבודה מרוחק.

עבור עסקים הפורסים מערכות בקנה מידה גדול, מספר מחשבים המשתמשים באותו קובץ התקנה משוכפל מקובץ ISO מבלי לעבור את שלב ה"הכללה" עלולים לגרום לסדרה של מכשירים להכיל מזהי SID כפולים, מה שמוביל לשגיאות אימות בו-זמניות ומשפיע ישירות על הפעילות הפנימית.

המלצות ממיקרוסופט

במצב זה, מיקרוסופט ממליצה למשתמשים בודדים ולמנהלי מערכת של ארגונים להשתמש בכלי Sysprep (System Preparation Tool) כדי "להכליל" את המערכת לפני שכפול או פריסה של מספר רב של מחשבים. כלי זה מסייע בהסרת מידע זיהוי ישן, ומבטיח שלכל התקן יש SID ייחודי והוא יוכל לפעול ביציבות ברשת הפנימית.

לפי מיקרוסופט, אי ביצוע תהליך דימות המערכת הנכון עלול להוביל לסיכוני אבטחה רבים, במיוחד בסביבות ארגוניות בהן מאות מכשירים מחוברים וחולקים משאבים. נציג החברה הזהיר גם כי שמירה מכוונת על גרסאות מערכת הפעלה מיושנות או התעלמות מתיקוני אבטחה היא "דלת פתוחה" לניצול עבור האקרים.

השלכות ותגובות משתמשים

בפורומים טכנולוגיים בינלאומיים, מנהלים רבים הביעו את תסכולם כאשר סדרה של מכשירים במערכת נתקלו בשגיאות לאחר עדכון Windows 11. משתמש אחד שיתף: "זה אילץ אותנו לבחון מחדש את כל תהליך פריסת המכונות החדשות. אם לא יתאימו את ההגדרות, מאות מכשירים יחוו בו זמנית שגיאות התחברות וישבשו את העבודה."

אנשים רבים המשתמשים במחשבים מסוג "שיבוט דיסק קשיח" להתקנות מהירות נתקלו בבעיות דומות, מה שאילץ רבים לחזור זמנית ל-Windows 10 או לדחות את העדכון. עם זאת, מיקרוסופט מסרה שזהו צעד הכרחי כדי לתקנן את מערכת האבטחה ולהבטיח שלכל מכשיר יהיה מזהה ייחודי, המסייע במניעת התקפות עתידיות.

הדחיפה של מיקרוסופט בתחום האבטחה מגיעה כאשר החברה דוחפת משתמשים לעבור ל-Windows 11, כאשר Windows 10 מגיע לסוף התמיכה הרשמית. בעוד שמיקרוסופט הפסיקה לספק עדכוני אבטחה למערכת ההפעלה הישנה יותר, היא הוסיפה בהתמדה תקני אבטחה נוספים ל-Windows 11 - כולל דרישת שבב TPM 2.0, הגנת ליבת מערכת (HVCI), וכעת מנגנון בדיקת SID ייחודי לכל מכשיר.

לדברי מומחי אבטחת סייבר, צעד זה הכרחי בטווח הארוך, ומסייע בהפחתת הסיכון להתקפות מצד תוכנות זדוניות או גישה לא מורשית באמצעות שיבוטים. עם זאת, פריסה ללא אזהרה ברורה הותירה אנשים ועסקים רבים פסיביים, במיוחד יחידות התלויות במודל פריסה מהירה באמצעות שיבוטים.

יישום כללי ה-SID החדשים על ידי מיקרוסופט ב-Windows 11 24H2 ו-25H2 מייצג מאמץ לחזק את אבטחת המערכת, אך גם מציב אתגרים בניהול ובפריסה של מכשירים מסונכרנים. משתמשים ועסקים צריכים לסקור את תהליך ההתקנה מוקדם, ולוודא שכל מחשב "מוכלל" כראוי לפני השימוש.

בעוד ששינוי זה אמור לשפר את האבטחה בטווח הארוך, פריסתו השקטה ללא כל אזהרה ספציפית הותירה משתמשים רבים במצב של הלם וחוסר אמון כאשר המערכות שלהם מפסיקות לפעול לפתע. זוהי תזכורת חדה לכך שבעולם טכנולוגי מודע יותר ויותר לאבטחה, ביצוע ההליכים הטכניים הנכונים אינו רק המלצה - זוהי דרישה לפעולה בטוחה.

מקור: https://doanhnghiepvn.vn/cong-nghe/microsoft-thay-doi-bao-mat-windows-11-may-trung-sid-co-the-bi-khoa-dang-nhap/20251103110013099