A Microsoft megváltoztatja a Windows 11 biztonságát: A duplikált SID-vel rendelkező gépekről kizárható a bejelentkezési hozzáférés.

A Windows 11 25H2-es frissítésének megjelenését követően a Microsoft csendben jelentős biztonsági módosítást hajtott végre a duplikált SID-vel (biztonsági azonosítókkal) rendelkező eszközökön. Ennek megfelelően a Windows 11 24H2 és 25H2 rendszerű eszközei a továbbiakban nem engedélyezik az NTLM és Kerberos hitelesítést, ha ugyanazt az SID-t használják egy másik eszközzel.

Ez a változás a felhasználói biztonság növelését és a nem megfelelő rendszerklónozásból eredő támadások megelőzését célozza. Az új szabályzat azonban számos problémát is okoz, különösen azoknak a vállalkozásoknak, amelyek nagyszámú, ugyanabból a szabványos telepítésből telepített számítógépet használnak.

(Szemléltető kép)

Ez a szigorítás elsősorban a rendszer eredeti telepítésből való másolásának vagy „klónozásának” megakadályozását segíti, miközben megőrzi a SID azonosítót, amelyet rosszindulatú szereplők kihasználhatnak jogosulatlan hozzáférésre vagy rosszindulatú programok terjesztésére. A felhasználói közösség és az informatikai rendszergazdák visszajelzései szerint azonban ennek a szabályzatnak jelentős következményei vannak.

Sok számítógép a Windows 11 legújabb verziójára való frissítés után folyamatos bejelentkezési kéréseket tapasztalt, vagy olyan hibaüzeneteket jelenített meg, mint például a „Bejelentkezési kísérlet sikertelen”, a „Bejelentkezés sikertelen/a hitelesítő adatok nem működtek” vagy a „Részlegesen eltér a gép azonosítója”, ami megzavarta a hálózati erőforrásokhoz való hozzáférést. Egyes eszközök esetében a rendszer blokkolta a megosztott mappákhoz, hálózati meghajtókhoz vagy távoli asztali eszközökhöz való csatlakozást is.

A nagyméretű rendszereket telepítő vállalkozások számára, ha több számítógép is klónozott telepítőfájlt használ egy ISO fájlból anélkül, hogy átesne az „általánosítás” lépésén, az számos eszközön duplikált SID-ekhez vezethet, ami széles körű hitelesítési hibákat eredményez, és közvetlenül befolyásolja a belső működést.

Ajánlás a Microsofttól

Tekintettel erre a helyzetre, a Microsoft azt javasolja, hogy az egyéni felhasználók és az üzleti rendszergazdák a Sysprep (Rendszer-előkészítő eszköz) segítségével általánosítsák a rendszert, mielőtt tömeges számítógépeket klónoznának vagy telepítenének. Ez az eszköz segít eltávolítani a régi azonosítókat, biztosítva, hogy minden eszköz egyedi SID-vel rendelkezzen, és stabilan működjön a helyi hálózaton belül.

A Microsoft szerint a megfelelő rendszerkép-létrehozási eljárások be nem tartása számos biztonsági kockázathoz vezethet, különösen vállalati környezetekben, ahol több száz eszköz csatlakozik egymáshoz és oszt meg erőforrásokat. A cég képviselője arra is figyelmeztetett, hogy az elavult operációsrendszer-verziók szándékos fenntartása vagy a biztonsági javítások figyelmen kívül hagyása „nyitott kaput” jelent a hackerek számára.

Következmények és felhasználói reakciók

Nemzetközi technológiai fórumokon számos rendszergazda csalódottságának adott hangot, mivel rendszereikben számos eszközön egyszerre tapasztaltak hibákat a Windows 11-re való frissítés után. Egy felhasználó megosztotta: „Ez arra kényszerít minket, hogy felülvizsgáljuk a teljes új gép telepítési folyamatát. Módosítások nélkül több száz eszközön fognak egyszerre bejelentkezési hibák jelentkezni, és ez megzavarja a munkát.”

Sokan, akik a gyorsabb telepítés érdekében „klónozott merevlemezeket” használtak, hasonló problémákkal szembesültek, ami miatt sokan ideiglenesen visszatértek a Windows 10-hez, vagy elhalasztották a frissítést. A Microsoft azonban kijelentette, hogy ez egy szükséges lépés a biztonsági rendszer szabványosítása és annak biztosítása érdekében, hogy minden eszköz egyedi azonosítóval rendelkezzen, ami segít megelőzni a jövőbeni támadásokat.

A Microsoft biztonsági intézkedéseinek szigorítása egybeesik azzal, hogy a vállalat arra ösztönzi a felhasználókat, hogy teljes mértékben Windows 11-re váltsanak, mivel a Windows 10 hivatalos támogatásának vége felé közeledik. A régebbi operációs rendszerek biztonsági frissítéseinek megszüntetése mellett a Microsoft folyamatosan magasabb biztonsági szabványokat ad a Windows 11-hez – beleértve a TPM 2.0 chipkövetelményt, a High-Voltage System Protection (HVCI) kernel védelmi módot, és mostantól minden eszközhöz egyedi SID-ellenőrzési mechanizmust.

Kiberbiztonsági szakértők szerint ez a lépés hosszú távon szükséges, mivel segít csökkenteni a rosszindulatú támadások vagy a klónozott rendszereken keresztüli jogosulatlan hozzáférés kockázatát. Az egyértelmű figyelmeztetések nélküli telepítés azonban sok magánszemélyt és vállalkozást váratlanul ért, különösen azokat, amelyek a klónokat használó gyors telepítési modellekre támaszkodnak.

A Microsoft új SID-szabályozásainak bevezetése a Windows 11 24H2 és 25H2 rendszeren a rendszerbiztonság megerősítésére irányuló erőfeszítéseket mutatja, de kihívásokat is jelent az eszközök szinkron kezelése és telepítése terén. A felhasználóknak és a vállalkozásoknak haladéktalanul felül kell vizsgálniuk a telepítési folyamataikat, biztosítva, hogy minden számítógép használat előtt megfelelően „általánosított” legyen.

Bár ez a változás hosszú távon fokozza a biztonságot, a csendes, külön figyelmeztetés nélküli bevezetés sok felhasználót frusztrálttá tett, amikor a rendszer váratlanul elveszíti a hozzáférést. Ez komoly emlékeztetőül szolgál arra, hogy egy egyre biztonságtudatosabb technológiai világban a megfelelő technikai eljárások betartása nem csupán ajánlás – hanem kötelező a biztonságos működéshez.

Forrás: https://doanhnghiepvn.vn/cong-nghe/microsoft-thay-doi-bao-mat-windows-11-may-trung-sid-co-the-bi-khoa-dang-nhap/20251103110013099