Windows 11 アップデート バージョン 25H2 のリリース後、Microsoft は重複した SID(セキュリティ識別子)を持つデバイスに対する重要なセキュリティ調整をひそかに実装しました。これにより、Windows 11 24H2 および 25H2 デバイスは、他のデバイスと同じ SID を共有している場合、NTLM 認証および Kerberos 認証を許可しなくなります。
この変更は、ユーザーのセキュリティを強化し、不適切なシステム複製による攻撃を防ぐことを目的としています。しかし、この新しいポリシーは、特に同じ標準インストールから多数のコンピューターを展開している企業にとって、多くの問題を引き起こしています。
(イメージ)
この強化は、SID識別子を保持したままシステムが元のインストールからコピーまたは「クローン」されることを防ぐことを主な目的としています。SID識別子は、悪意のある攻撃者による不正アクセスやマルウェアの拡散に悪用される可能性があります。しかしながら、ユーザーコミュニティやIT管理者からのフィードバックによると、このポリシーの影響は重大です。
多くのコンピューターで、最新バージョンのWindows 11にアップデート後、ログイン要求が頻繁に発生したり、「ログインに失敗しました」「ログインに失敗しました/資格情報が機能しません」「マシンIDが部分的に一致しません」といったエラーメッセージが表示され、ネットワークリソースへのアクセスが中断される問題が発生しています。また、一部のデバイスでは、共有フォルダ、ネットワークドライブ、リモートデスクトップツールへの接続がブロックされています。
大規模にシステムを展開している企業では、「一般化」手順を踏まずに複数のコンピューターで ISO ファイルから複製されたインストール ファイルを使用すると、多数のデバイスで SID が重複し、認証エラーが広範囲に発生して、社内業務に直接影響する可能性があります。
Microsoftからの推奨
このような状況を踏まえ、Microsoftは、個々のユーザーとビジネス管理者に対し、コンピューターのクローン作成や一括展開を行う前に、Sysprep(システム準備ツール)を使用してシステムを一般化することを推奨しています。このツールは、古い識別子を削除し、各デバイスに固有のSIDを割り当て、ローカルネットワーク内で安定して動作できるようにします。
マイクロソフトによると、適切なシステムイメージ作成手順に従わないと、特に数百台のデバイスが接続されリソースを共有するエンタープライズ環境において、多くのセキュリティリスクにつながる可能性があるとのことです。また、同社の担当者は、意図的に古いバージョンのOSを維持したり、セキュリティパッチを無視したりすることは、ハッカーにとって「無防備な扉」となる可能性があると警告しています。
結果とユーザーの反応
国際的な技術フォーラムでは、Windows 11へのアップデート後にシステム内の多数のデバイスで同時にエラーが発生したことに、多くの管理者が不満を表明していました。あるユーザーは、「これにより、新しいマシンの展開プロセス全体を見直さざるを得なくなりました。調整を行わなければ、数百台のデバイスで同時にログインエラーが発生し、業務に支障をきたすことになります」と述べています。
インストールを高速化するために「クローンハードドライブ」を使用していた多くのユーザーも同様の問題に遭遇し、一時的にWindows 10に戻したり、アップデートを延期したりしました。しかし、マイクロソフトは、これはセキュリティシステムを標準化し、各デバイスに固有の識別子を持たせることで将来の攻撃を防ぐために必要なステップであると述べています。
Microsoftは、Windows 10の公式サポート終了が迫っていることを受け、ユーザーに対しWindows 11への完全移行を推奨する中で、セキュリティ対策を強化しています。旧OSのセキュリティアップデートの提供を終了する一方で、MicrosoftはWindows 11にTPM 2.0チップの搭載要件、高電圧システム保護(HVCI)カーネル保護モード、そして新たにデバイスごとに固有のSID検証メカニズムなど、より高度なセキュリティ基準を継続的に追加しています。
サイバーセキュリティの専門家によると、この対策は長期的には必要であり、クローンシステムを介したマルウェア攻撃や不正アクセスのリスクを軽減するのに役立ちます。しかし、明確な警告なしに導入されたことで、多くの個人や企業、特にクローンを用いた迅速な導入モデルに依存している企業は、油断を余儀なくされています。
MicrosoftがWindows 11 24H2および25H2に新しいSID規則を導入したことは、システムセキュリティ強化への取り組みを示すものですが、同時にデバイスの管理と導入を同期的に行う上で課題も生じています。ユーザーと企業は、インストールプロセスを速やかに見直し、各コンピューターが使用前に適切に「一般化」されていることを確認する必要があります。
この変更は長期的にはセキュリティを強化するものですが、具体的な警告なしにひっそりと導入されたため、予期せずシステムにアクセスできなくなり、多くのユーザーが不満を抱いています。これは、セキュリティ意識がますます高まっているテクノロジーの世界において、適切な技術手順の遵守は単なる推奨事項ではなく、安全な運用のために必須であることを強く示唆しています。
出典: https://doanhnghiepvn.vn/cong-nghe/microsoft-thay-doi-bao-mat-windows-11-may-trung-sid-co-the-bi-khoa-dang-nhap/20251103110013099
コメント (0)