Microsoft меняет систему безопасности Windows 11: устройства с дубликатами SID могут быть заблокированы для входа в систему

После выпуска обновления Windows 11 версии 25H2 компания Microsoft без лишнего шума внедрила важное изменение безопасности для устройств с дублирующимися идентификаторами безопасности (SID). Соответственно, устройства с Windows 11 версий 24H2 и 25H2 больше не будут поддерживать аутентификацию NTLM и Kerberos, если их SID совпадает с идентификатором другого устройства.

Это изменение призвано повысить безопасность пользователей и предотвратить атаки, связанные с несанкционированным клонированием системы. Однако новая политика также создаёт множество проблем, особенно для компаний, использующих большое количество компьютеров, развёрнутых на основе одной стандартной инсталляции.

(Иллюстрация)

Это ужесточение, в первую очередь, помогает предотвратить копирование или «клонирование» системы с исходной установки, сохраняя при этом идентификатор SID, который может быть использован злоумышленниками для получения несанкционированного доступа или распространения вредоносного ПО. Однако, согласно отзывам пользователей и ИТ-администраторов, последствия этой политики немалые.

После обновления до новой версии Windows 11 многие компьютеры столкнулись с постоянным запросом на вход в систему или сообщениями об ошибках, такими как «Попытка входа не удалась», «Вход не удался/ваши учётные данные не подошли» или «Идентификатор компьютера частично не совпадает», что приводит к перебоям в доступе к сетевым ресурсам. Некоторые устройства также блокируются при подключении к общим папкам, сетевым дискам или средствам удалённого рабочего стола.

Для предприятий, развертывающих системы в больших масштабах, использование нескольких компьютеров с одним и тем же установочным файлом, клонированным из файла ISO без прохождения этапа «обобщения», может привести к тому, что ряд устройств будут иметь дублирующиеся идентификаторы безопасности, что приведет к одновременным ошибкам аутентификации и напрямую повлияет на внутренние операции.

Рекомендации от Microsoft

В этой ситуации Microsoft рекомендует отдельным пользователям и администраторам предприятий использовать инструмент Sysprep (System Preparation Tool) для «обобщения» системы перед клонированием или развертыванием большого количества компьютеров. Этот инструмент помогает удалить старую идентификационную информацию, гарантируя каждому устройству уникальный идентификатор безопасности (SID) и стабильную работу во внутренней сети.

По данным Microsoft, несоблюдение правильного процесса создания образа системы может привести к многочисленным рискам безопасности, особенно в корпоративных средах, где сотни устройств подключены и совместно используют ресурсы. Представитель компании также предупредил, что намеренное сохранение устаревших версий операционной системы или игнорирование обновлений безопасности — это «открытая дверь» для хакеров.

Последствия и реакция пользователей

На международных технологических форумах многие администраторы выразили своё разочарование, когда после обновления Windows 11 на ряде устройств в системе возникли ошибки. Один пользователь поделился: «Это заставило нас пересмотреть весь процесс развёртывания новых машин. Если не исправить ситуацию, сотни устройств одновременно будут давать сбои при входе в систему, что приведёт к сбоям в работе».

Многие пользователи, использующие компьютеры-клоны жёстких дисков для быстрой установки, столкнулись с аналогичными проблемами, что вынудило многих временно вернуться к Windows 10 или отложить обновление. Однако Microsoft заявила, что это необходимый шаг для стандартизации системы безопасности и обеспечения уникального идентификатора каждого устройства, что поможет предотвратить будущие атаки.

Усилия Microsoft по обеспечению безопасности предпринимаются в ответ на призыв пользователей перейти на Windows 11 в связи с окончанием официальной поддержки Windows 10. Хотя Microsoft прекратила выпуск обновлений безопасности для старой операционной системы, компания постоянно добавляет новые стандарты безопасности в Windows 11, включая требование к чипу TPM 2.0, защиту ядра системы (HVCI), а теперь и уникальный механизм проверки SID для каждого устройства.

По мнению экспертов по кибербезопасности, этот шаг необходим в долгосрочной перспективе, поскольку он помогает снизить риск атак вредоносного ПО или несанкционированного доступа через клоны. Однако развёртывание без чёткого предупреждения привело к пассивности многих частных лиц и компаний, особенно тех, которые полагаются на модель быстрого развёртывания с использованием клонов.

Реализация Microsoft новых правил SID в Windows 11 24H2 и 25H2 представляет собой попытку усилить безопасность системы, но также создаёт трудности при управлении и развертывании синхронизированных устройств. Пользователям и компаниям необходимо заранее изучить процесс установки, чтобы убедиться, что каждый компьютер правильно «обобщён» перед использованием.

Хотя это изменение должно повысить безопасность в долгосрочной перспективе, его тихое внедрение без каких-либо предупреждений оставило многих пользователей в состоянии шока и недоумения, поскольку их системы внезапно перестали работать. Это суровое напоминание о том, что в мире технологий, где всё больше внимания уделяется безопасности, соблюдение правильных технических процедур — это не просто рекомендация, а обязательное условие безопасной работы.

Источник: https://doanhnghiepvn.vn/cong-nghe/microsoft-thay-doi-bao-mat-windows-11-may-trung-sid-co-the-bi-khoa-dang-nhap/20251103110013099