Microsoft wijzigt de beveiliging van Windows 11: apparaten met dubbele SID's kunnen worden geblokkeerd voor inloggen

Na de release van de update voor Windows 11 versie 25H2 heeft Microsoft in stilte een belangrijke beveiligingsaanpassing doorgevoerd voor apparaten met dubbele SID's (Security Identifiers). Hierdoor zullen Windows 11 24H2- en 25H2-apparaten geen NTLM- en Kerberos-authenticatie meer toestaan ​​als het apparaat dezelfde SID heeft als een ander apparaat.

Deze wijziging zou de gebruikersveiligheid moeten verhogen en aanvallen door onjuiste systeemkloning moeten voorkomen. Het nieuwe beleid veroorzaakt echter ook veel problemen, vooral voor bedrijven die een groot aantal computers gebruiken die op dezelfde standaardinstallatie zijn geïnstalleerd.

(Illustratie)

Deze aanscherping helpt allereerst te voorkomen dat het systeem wordt gekopieerd of "gekloond" vanuit de oorspronkelijke installatie, terwijl de SID-identificatie behouden blijft. Deze kan door kwaadwillenden worden misbruikt om ongeautoriseerde toegang te verkrijgen of malware te verspreiden. Volgens feedback van de gebruikerscommunity en IT-beheerders zijn de gevolgen van dit beleid echter niet gering.

Veel computers zijn na de update naar de nieuwe versie van Windows 11 in een situatie terechtgekomen waarin ze constant worden gevraagd in te loggen of foutmeldingen krijgen zoals "Aanmeldpoging mislukt", "Aanmelden mislukt/uw inloggegevens werken niet" of "De computer-ID komt gedeeltelijk niet overeen", waardoor de toegang tot netwerkbronnen wordt onderbroken. Sommige apparaten worden ook geblokkeerd bij het verbinden met gedeelde mappen, netwerkstations of Remote Desktop-tools.

Voor bedrijven die systemen op grote schaal implementeren, kunnen meerdere computers hetzelfde installatiebestand gebruiken dat is gekloond van een ISO-bestand zonder de stap 'generalisatie' te doorlopen. Hierdoor kunnen meerdere apparaten dubbele SID's hebben, wat leidt tot gelijktijdige authenticatiefouten en directe gevolgen heeft voor de interne bedrijfsvoering.

Aanbevelingen van Microsoft

In deze situatie raadt Microsoft individuele gebruikers en beheerders aan om Sysprep (System Preparation Tool) te gebruiken om het systeem te "generaliseren" voordat ze een groot aantal computers klonen of implementeren. Deze tool helpt oude identificatiegegevens te verwijderen, zodat elk apparaat een unieke SID heeft en stabiel kan functioneren op het interne netwerk.

Volgens Microsoft kan het niet volgen van het juiste systeemkopieproces leiden tot tal van beveiligingsrisico's, vooral in zakelijke omgevingen waar honderden apparaten met elkaar verbonden zijn en bronnen delen. De woordvoerder van het bedrijf waarschuwde er ook voor dat het opzettelijk onderhouden van verouderde versies van besturingssystemen of het negeren van beveiligingspatches een "open deur" is voor hackers om misbruik van te maken.

Gevolgen en gebruikersreacties

Op internationale technologieforums uitten veel beheerders hun frustratie toen een reeks apparaten in het systeem fouten tegenkwam na de update van Windows 11. Een gebruiker deelde: "Dit dwong ons om het hele implementatieproces van nieuwe machines te herzien. Als we niets doen, zullen honderden apparaten tegelijk inlogfouten vertonen en het werk verstoren."

Veel mensen die computers met een "harde schijfkloon" gebruiken voor snelle installaties, hebben soortgelijke problemen ondervonden, waardoor velen tijdelijk moesten terugkeren naar Windows 10 of de update moesten uitstellen. Microsoft zei echter dat dit een noodzakelijke stap is om het beveiligingssysteem te standaardiseren en ervoor te zorgen dat elk apparaat een unieke identificatiecode heeft, wat toekomstige aanvallen helpt voorkomen.

Microsofts beveiligingsinspanningen komen op hetzelfde moment dat het bedrijf gebruikers aanspoort om over te stappen op Windows 11, aangezien de officiële ondersteuning voor Windows 10 afloopt. Hoewel Microsoft is gestopt met het leveren van beveiligingsupdates voor het oudere besturingssysteem, heeft het gestaag meer beveiligingsstandaarden aan Windows 11 toegevoegd, waaronder een TPM 2.0-chipvereiste, systeemkernelbeveiliging (HVCI) en nu een uniek SID-controlemechanisme voor elk apparaat.

Volgens cybersecurityexperts is deze stap op de lange termijn noodzakelijk en helpt het het risico op aanvallen met malware of ongeautoriseerde toegang via klonen te verminderen. De implementatie zonder duidelijke waarschuwing heeft echter veel mensen en bedrijven passief gemaakt, met name die eenheden die afhankelijk zijn van het snelle implementatiemodel met klonen.

De implementatie van de nieuwe SID-regels door Microsoft op Windows 11 24H2 en 25H2 is een poging om de systeembeveiliging te versterken, maar brengt ook uitdagingen met zich mee bij het beheer en de implementatie van gesynchroniseerde apparaten. Gebruikers en bedrijven moeten het installatieproces vroegtijdig bekijken en ervoor zorgen dat elke computer correct is "gegeneraliseerd" vóór gebruik.

Hoewel deze wijziging de beveiliging op de lange termijn zou moeten verbeteren, heeft de stille uitrol zonder enige waarschuwing veel gebruikers geschokt en vol ongeloof achtergelaten, omdat hun systemen plotseling niet meer werken. Het is een harde herinnering dat in een steeds meer beveiligingsbewuste technische wereld het volgen van de juiste technische procedures niet slechts een aanbeveling is, maar een vereiste voor een veilige werking.

Bron: https://doanhnghiepvn.vn/cong-nghe/microsoft-thay-doi-bao-mat-windows-11-may-trung-sid-co-the-bi-khoa-dang-nhap/20251103110013099