Windows OSImage 标准化操作建议
微软在去年8月发布的非安全更新(KB5064081),以及9月的安全更新(KB5065426)对回环认证保护进行了加强,以防止未经授权的尝试绕过回环检测。这一举措将有效提升 Windows 的安全性。但对那些并未执行 Windows OSImgae 标准化操作的组织,例如使用了未经 Sysprep 的 OSImage,将会遭遇 Kerberos 和 NTLM 身份验证失败的问题,例如访问 SMB 共享或通过远程桌面连接时,将出现认证失败的情况,在目标机器中会有 LsaSrv ID 6167 事件记录。
那么具体 Windows 内部发生了什么变化?!Windows 在 2025年8月和9月的更新中,对用户账户控制(UAC)与认证机制继续宁了深度加固,其核心目标是阻断利用认证伪影进行的权限提升攻击,关键变化主要体现在以下几个方面:
1. UAC 权限边界被强化,过去管理员账户登录后,某些操作可能在未明确同意的情况下被提升权限。现在所有管理操作都必须经过用户明确批准,减少隐式高权限路径。管理员保护也因此收益,进一步减少了自动高程。
2. 机器 ID 生成方式改变,过去机器 ID 每次启动都会重新生成,导致系统只能基于当前启动状态判断是否为回环认证。这导致攻击者可能利用重启前遗留的认证伪影绕过令牌过滤。但现在机器 ID 由跨启动持久部分和当前启动部分组成。Windows 能检测到不同机器间共享的跨启动部分,从而识别克隆系统。任何跨主机的机器 ID 不一致都会触发认证失败(LsaSrv 6167)。
以上信息也证实了那些部署了未经 Sysprep 的 Windows 系统映像将成为高风险隐患,多个设备将会共享相同的安全标识(SID)和机器 ID 跨启动部分。组织中的桌面团队应当主动行动起来,调整部署策略严格执行 Windows 桌面标准化规范,停止使用那些没有经过 Sysprep 的 OSImage 和设备,并进行重新部署。
推荐官方文档:
