Windows 11アップデートバージョン25H2のリリースに伴い、マイクロソフトはSID(セキュリティ識別子)が重複するデバイスに対する重要なセキュリティ調整を密かに実施しました。そのため、Windows 11 24H2および25H2デバイスでは、他のデバイスと同じSIDを共有している場合、NTLM認証およびKerberos認証が使用できなくなります。
この変更は、ユーザーのセキュリティを強化し、不正なシステムクローンによる攻撃を防止することを目的としています。しかし、この新しいポリシーは、特に同じ標準インストール環境から多数のコンピュータを展開している企業にとって、多くの問題を引き起こしています。
(イメージ画像)
この規制強化は主に、SID識別子を保持したままシステムが元のインストールからコピーまたは「クローン」されることを防ぐことを目的としています。SID識別子は、悪意のある攻撃者によって不正アクセスやマルウェア配布に悪用される可能性があるためです。しかし、ユーザーコミュニティやIT管理者からのフィードバックによると、このポリシーの影響は重大です。
最新バージョンのWindows 11にアップデートした後、多くのコンピューターでログイン要求が繰り返し表示されたり、「ログイン試行に失敗しました」「ログインに失敗しました/認証情報が機能しませんでした」「マシンIDに部分的な不一致があります」などのエラーメッセージが表示されたりして、ネットワークリソースへのアクセスが妨げられる問題が発生しています。また、一部のデバイスでは、共有フォルダー、ネットワークドライブ、リモートデスクトップツールへの接続がブロックされるケースも発生しています。
大規模なシステム展開を行う企業にとって、ISOファイルからクローンしたインストールファイルを「一般化」の手順を経ずに複数のコンピュータで使用すると、多数のデバイスでSIDが重複し、広範囲にわたる認証エラーが発生し、社内業務に直接的な影響を与える可能性があります。
マイクロソフトからの推奨事項
このような状況を踏まえ、マイクロソフトは、個々のユーザーおよび企業管理者に対し、コンピューターのクローン作成や一括展開を行う前に、Sysprep(システム準備ツール)を使用してシステムを一般化することを推奨しています。このツールは、古い識別子を削除し、各デバイスが固有のSIDを持ち、ローカルネットワーク内で安定して動作することを保証します。
マイクロソフトによると、適切なシステムイメージ作成手順に従わないと、特に数百台のデバイスが接続されリソースを共有する企業環境において、数多くのセキュリティリスクが生じる可能性がある。同社の担当者はまた、意図的に古いバージョンのオペレーティングシステムを維持したり、セキュリティパッチを無視したりすることは、ハッカーに悪用される「扉を開ける」ことになると警告した。
結果とユーザーの反応
国際的なテクノロジーフォーラムでは、多くの管理者が、Windows 11へのアップデート後にシステム内の多数のデバイスで同時にエラーが発生したことに不満を表明した。あるユーザーは、「これにより、新しいマシンの展開プロセス全体を見直さざるを得なくなりました。調整を行わないと、数百台のデバイスで同時にログインエラーが発生し、業務が中断されます」と述べている。
インストールを高速化するために「クローンハードドライブ」を使用していた多くのユーザーも同様の問題に遭遇し、一時的にWindows 10に戻したり、アップデートを延期したりする事態となった。しかし、マイクロソフトは、これはセキュリティシステムを標準化し、各デバイスに固有の識別子を持たせることで、将来の攻撃を防ぐために必要な措置であると述べている。
マイクロソフトがセキュリティ対策を強化している背景には、Windows 10の公式サポート終了が近づいていることから、ユーザーにWindows 11への完全移行を促していることがある。マイクロソフトは、旧バージョンのオペレーティングシステムに対するセキュリティアップデートの提供を終了するとともに、Windows 11にTPM 2.0チップの必須要件、高電圧システム保護(HVCI)カーネル保護モード、そして今回新たに導入されたデバイスごとの固有のSID検証メカニズムなど、より高いセキュリティ基準を継続的に追加している。
サイバーセキュリティ専門家によると、この措置は長期的には必要であり、クローンシステムを介したマルウェア攻撃や不正アクセスのリスクを軽減するのに役立つという。しかし、明確な警告なしに導入されたため、多くの個人や企業、特にクローンを用いた迅速な導入モデルに依存している企業は不意を突かれた形となった。
MicrosoftがWindows 11 24H2および25H2で新しいSID規制を導入したことは、システムセキュリティの強化を目指す取り組みであると同時に、デバイスの同期的な管理と展開における課題も生じさせています。ユーザーと企業は、各コンピュータが使用前に適切に「汎用化」されていることを確認するため、インストールプロセスを速やかに見直す必要があります。
この変更は長期的にはセキュリティを強化するものの、事前の警告なしにひっそりと実施されたため、システムへのアクセスが予期せず失われた際に多くのユーザーが不満を抱くことになった。これは、セキュリティ意識がますます高まるテクノロジーの世界において、適切な技術手順の遵守は単なる推奨事項ではなく、安全な運用に不可欠なものであることを改めて痛感させる出来事である。
出典: https://doanhnghiepvn.vn/cong-nghe/microsoft-thay-doi-bao-mat-windows-11-may-trung-sid-co-the-bi-khoa-dang-nhap/20251103110013099
コメント (0)