Na de release van Windows 11-update versie 25H2 heeft Microsoft stilletjes een belangrijke beveiligingsaanpassing doorgevoerd voor apparaten met dubbele SID's (Security Identifiers). Hierdoor kunnen Windows 11 24H2- en 25H2-apparaten geen NTLM- en Kerberos-authenticatie meer uitvoeren als ze dezelfde SID delen met een ander apparaat.
Deze wijziging is bedoeld om de gebruikersbeveiliging te verbeteren en aanvallen door onjuiste systeemklonen te voorkomen. Het nieuwe beleid veroorzaakt echter ook veel problemen, met name voor bedrijven die een groot aantal computers gebruiken die vanuit dezelfde standaardinstallatie zijn geïmplementeerd.
(Illustratieve afbeelding)
Deze aanscherping dient voornamelijk om te voorkomen dat het systeem wordt gekopieerd of "gekloneerd" van de oorspronkelijke installatie, terwijl de SID-identificatiecode behouden blijft. Deze code zou door kwaadwillenden kunnen worden misbruikt voor ongeautoriseerde toegang of de verspreiding van malware. Volgens feedback van gebruikers en IT-beheerders zijn de gevolgen van dit beleid echter aanzienlijk.
Na de update naar de nieuwste versie van Windows 11 ondervinden veel computers problemen met aanhoudende aanmeldingspogingen of foutmeldingen zoals 'Aanmeldingspoging mislukt', 'Aanmelden mislukt/uw referenties werken niet' of 'Er is een gedeeltelijke mismatch in de machine-ID', waardoor de toegang tot netwerkbronnen wordt verstoord. Sommige apparaten kunnen ook geen verbinding meer maken met gedeelde mappen, netwerkstations of tools voor Extern bureaublad.
Voor bedrijven die systemen op grote schaal implementeren, kan het gebruik van een gekloond installatiebestand van een ISO-bestand door meerdere computers, zonder de "generalisatie"-stap te doorlopen, leiden tot dubbele SID's op talloze apparaten. Dit resulteert in wijdverspreide authenticatiefouten en heeft directe gevolgen voor de interne bedrijfsvoering.
Aanbeveling van Microsoft
Gezien deze situatie adviseert Microsoft individuele gebruikers en bedrijfsbeheerders om Sysprep (System Preparation Tool) te gebruiken om het systeem te generaliseren voordat computers in bulk worden gekloond of geïmplementeerd. Deze tool helpt bij het verwijderen van oude identificaties, zodat elk apparaat een unieke SID heeft en stabiel kan functioneren binnen het lokale netwerk.
Volgens Microsoft kan het niet correct uitvoeren van systeemimage-aanmaakprocedures leiden tot talrijke beveiligingsrisico's, met name in bedrijfsomgevingen waar honderden apparaten zijn verbonden en resources delen. Een vertegenwoordiger van het bedrijf waarschuwde bovendien dat het opzettelijk blijven gebruiken van verouderde besturingssysteemversies of het negeren van beveiligingspatches een "open deur" is voor hackers om misbruik van te maken.
Gevolgen en reacties van gebruikers
Op internationale technologiefora uitten veel beheerders hun frustratie over het feit dat talloze apparaten in hun systemen tegelijkertijd fouten vertoonden na de update naar Windows 11. Een gebruiker schreef: "Dit dwingt ons om ons hele implementatieproces voor nieuwe machines te herzien. Zonder aanpassingen zullen honderden apparaten tegelijkertijd inlogfouten ondervinden en het werk verstoren."
Veel gebruikers die "harde schijven kloonden" voor een snellere installatie, ondervonden soortgelijke problemen, waardoor velen tijdelijk terugkeerden naar Windows 10 of de update uitstelden. Microsoft verklaarde echter dat dit een noodzakelijke stap is om het beveiligingssysteem te standaardiseren en ervoor te zorgen dat elk apparaat een unieke identificatiecode heeft, wat helpt om toekomstige aanvallen te voorkomen.
Microsoft scherpt de beveiligingsmaatregelen aan nu het bedrijf gebruikers aanmoedigt om volledig over te stappen op Windows 11, aangezien de officiële ondersteuning voor Windows 10 bijna afloopt. Naast het stopzetten van beveiligingsupdates voor het oudere besturingssysteem, voegt Microsoft continu hogere beveiligingsnormen toe aan Windows 11 – waaronder een vereiste voor een TPM 2.0-chip, de High-Voltage System Protection (HVCI) kernelbeveiligingsmodus en nu ook een uniek SID-verificatiemechanisme voor elk apparaat.
Volgens cybersecurity-experts is deze stap op de lange termijn noodzakelijk om het risico op malware-aanvallen of ongeautoriseerde toegang via gekloonde systemen te verminderen. De implementatie zonder duidelijke waarschuwingen heeft echter veel particulieren en bedrijven overvallen, met name diegenen die afhankelijk zijn van snelle implementatiemodellen met behulp van klonen.
De implementatie door Microsoft van de nieuwe SID-regelgeving in Windows 11 24H2 en 25H2 toont een poging om de systeembeveiliging te versterken, maar brengt ook uitdagingen met zich mee bij het synchroon beheren en implementeren van apparaten. Gebruikers en bedrijven moeten hun installatieprocessen snel herzien en ervoor zorgen dat elke computer correct wordt "gegeneraliseerd" voordat deze in gebruik wordt genomen.
Hoewel deze wijziging de beveiliging op de lange termijn verbetert, heeft de stille uitrol zonder specifieke waarschuwing tot frustratie geleid bij veel gebruikers wanneer het systeem onverwacht de toegang verliest. Dit dient als een duidelijke herinnering dat in een steeds meer op beveiliging gerichte techwereld het naleven van de juiste technische procedures niet slechts een aanbeveling is, maar een vereiste voor een veilige werking.
Bron: https://doanhnghiepvn.vn/cong-nghe/microsoft-thay-doi-bao-mat-windows-11-may-trung-sid-co-the-bi-khoa-dang-nhap/20251103110013099
Reactie (0)