Po wydaniu aktualizacji systemu Windows 11 w wersji 25H2, Microsoft po cichu wprowadził istotną zmianę w zabezpieczeniach dla urządzeń z duplikatami identyfikatorów zabezpieczeń (SID). W związku z tym urządzenia z systemem Windows 11 w wersjach 24H2 i 25H2 nie będą już obsługiwać uwierzytelniania NTLM i Kerberos, jeśli będą miały ten sam identyfikator SID co inne urządzenie.
Ta zmiana ma na celu zwiększenie bezpieczeństwa użytkowników i zapobieganie atakom wynikającym z nieprawidłowego klonowania systemów. Nowa polityka stwarza jednak również wiele problemów, zwłaszcza dla firm korzystających z dużej liczby komputerów wdrożonych w ramach tej samej standardowej instalacji.
(Ilustracja)
To zaostrzenie ma przede wszystkim zapobiegać kopiowaniu lub „klonowaniu” systemu z oryginalnej instalacji, zachowując jednocześnie identyfikator SID, który mógłby zostać wykorzystany przez osoby o złych intencjach do nieautoryzowanego dostępu lub dystrybucji złośliwego oprogramowania. Jednak, według opinii społeczności użytkowników i administratorów IT, konsekwencje tej polityki są znaczące.
Na wielu komputerach po aktualizacji do najnowszej wersji systemu Windows 11 pojawiały się ciągłe żądania logowania lub komunikaty o błędach, takie jak „Nieudana próba logowania”, „Logowanie nieudane/Twoje dane uwierzytelniające nie działają” lub „Identyfikator komputera jest częściowo niezgodny”, co utrudniało dostęp do zasobów sieciowych. Niektóre urządzenia miały również zablokowane połączenie z folderami współdzielonymi, dyskami sieciowymi lub narzędziami pulpitu zdalnego.
W przypadku firm wdrażających systemy na dużą skalę korzystanie przez wiele komputerów z klonowanego pliku instalacyjnego z pliku ISO bez przechodzenia przez etap „uogólnienia” może prowadzić do duplikowania identyfikatorów SID na wielu urządzeniach. Może to skutkować licznymi błędami uwierzytelniania i mieć bezpośredni wpływ na wewnętrzne operacje.
Rekomendacja firmy Microsoft
W tej sytuacji Microsoft zaleca, aby użytkownicy indywidualni i administratorzy firm korzystali z narzędzia Sysprep (System Preparation Tool) w celu generalizacji systemu przed klonowaniem lub masowym wdrażaniem komputerów. Narzędzie to pomaga usunąć stare identyfikatory, zapewniając każdemu urządzeniu unikalny identyfikator SID i stabilną pracę w sieci lokalnej.
Według Microsoftu, nieprzestrzeganie właściwych procedur tworzenia obrazów systemu może prowadzić do licznych zagrożeń bezpieczeństwa, szczególnie w środowiskach korporacyjnych, gdzie setki urządzeń jest połączonych i współdzieli zasoby. Przedstawiciel firmy ostrzegł również, że celowe utrzymywanie przestarzałych wersji systemu operacyjnego lub ignorowanie poprawek bezpieczeństwa to „otwarte drzwi” dla hakerów.
Konsekwencje i reakcje użytkowników
Na międzynarodowych forach technologicznych wielu administratorów wyraziło frustrację, ponieważ wiele urządzeń w ich systemach jednocześnie doświadczało błędów po aktualizacji do systemu Windows 11. Jeden z użytkowników stwierdził: „To zmusza nas do przeglądu całego procesu wdrażania nowych maszyn. Bez odpowiednich korekt setki urządzeń będą jednocześnie doświadczać błędów logowania i zakłócać pracę”.
Wiele osób korzystających z „klonowanych dysków twardych” w celu szybszej instalacji również napotkało podobne problemy, co skłoniło wielu do tymczasowego powrotu do systemu Windows 10 lub odłożenia aktualizacji. Microsoft stwierdził jednak, że jest to niezbędny krok w celu ujednolicenia systemu bezpieczeństwa i zapewnienia każdemu urządzeniu unikalnego identyfikatora, co pomoże zapobiec przyszłym atakom.
Zaostrzenie środków bezpieczeństwa przez Microsoft ma miejsce w momencie, gdy firma namawia użytkowników do całkowitego przejścia na system Windows 11, ponieważ oficjalne wsparcie dla systemu Windows 10 zbliża się do końca. Oprócz zaprzestania aktualizacji zabezpieczeń dla starszego systemu operacyjnego, Microsoft stale podnosi standardy bezpieczeństwa w systemie Windows 11 – w tym wymóg stosowania układu TPM 2.0, tryb ochrony jądra HVCI (High-Voltage System Protection), a teraz także unikalny mechanizm weryfikacji SID dla każdego urządzenia.
Według ekspertów ds. cyberbezpieczeństwa, ten krok jest konieczny w perspektywie długoterminowej, ponieważ pomaga zmniejszyć ryzyko ataków złośliwego oprogramowania lub nieautoryzowanego dostępu za pośrednictwem systemów klonowanych. Jednak wdrażanie bez wyraźnych ostrzeżeń zaskoczyło wiele osób i firm, zwłaszcza tych, które polegają na modelach szybkiego wdrażania z wykorzystaniem klonów.
Wdrożenie przez firmę Microsoft nowych przepisów dotyczących identyfikatorów SID w systemach Windows 11 24H2 i 25H2 świadczy o dążeniu do wzmocnienia bezpieczeństwa systemu, ale jednocześnie stwarza wyzwania w zakresie synchronicznego zarządzania i wdrażania urządzeń. Użytkownicy i firmy muszą regularnie weryfikować procesy instalacyjne, upewniając się, że każdy komputer jest odpowiednio „uogólniony” przed użyciem.
Chociaż ta zmiana zwiększa bezpieczeństwo w dłuższej perspektywie, jej ciche wdrożenie bez wyraźnego ostrzeżenia frustruje wielu użytkowników, gdy system niespodziewanie traci dostęp. Stanowi to dobitne przypomnienie, że w świecie technologii, w którym coraz większą wagę przywiązuje się do bezpieczeństwa, przestrzeganie właściwych procedur technicznych to nie tylko zalecenie – to wręcz obowiązek dla bezpiecznego działania.
Źródło: https://doanhnghiepvn.vn/cong-nghe/microsoft-thay-doi-bao-mat-windows-11-may-trung-sid-co-the-bi-khoa-dang-nhap/20251103110013099
Komentarz (0)