Keine Zusammenfassung verfügbar
Administrative Aktionen werden gehärtet, was möglicherweise operative Änderungen erfordert, um die Sicherheitslage Ihrer Organisation zu unterstützen. Mit dem Windows-Non-Security-Update im August 2025 wurden Geräte gegen unautorisierte Versuche gehärtet, die Loopback-Erkennung zu umgehen. Wenn Sie jedoch Maschinen ohne Sysprep geklont haben, können Kerberos- und NTLM-Authentifizierungsfehler auftreten. Dies ist beabsichtigt. Die empfohlene Lösung besteht darin, betroffene Geräte mit unterstützten Imaging-Methoden neu aufzusetzen. Eine temporäre Übergangslösung ist ebenfalls verfügbar.
Wann dies erfolgt:
- Ab September 2025: Windows-Sicherheitsupdates enthalten Härtungsmaßnahmen, die die Vertrauensgrenze zwischen Identität, Authentifizierung und User Account Control (UAC) stärken.
- Ab April 2026: Windows-Sicherheitsupdates enthalten eine temporäre Übergangslösung für Maschinen, die ohne Sysprep geklont wurden. Diese registrierungsbasierte Kompatibilitätsoption wird nicht empfohlen, da sie die durch aktuelle Updates eingeführten Sicherheitsmaßnahmen reduziert.
- Ende 2027: Die temporäre Übergangslösung läuft aus.
Auswirkungen auf Ihre Organisation:
Dies betrifft Ihre Organisation, wenn:
- Sie Geräte mit Windows 11, Version 24H2 und höher oder Windows Server 2025 verwalten.
- Sie auf diesen Geräten das Non-Security-Update vom August 2025 oder das Sicherheitsupdate vom September 2025 (oder neuer) installiert haben.
- Sie Kerberos- oder NTLM-Authentifizierungsfehler feststellen. Diese Fehler erscheinen als LsaSrv Ereignis-ID 6167 im System-Ereignisprotokoll der Zielmaschine.
Sie müssen Ihre Strategie zum Klonen von Windows-Images anpassen.
Vorbereitende Maßnahmen:
Führen Sie folgende Schritte durch:
- Stoppen Sie jegliche Automatisierung, die Geräte ohne Sysprep klont. Andernfalls erhalten Geräte doppelte Sicherheits-IDs (SIDs).
- Setzen Sie alle Geräte mit doppelten SIDs komplett neu auf und führen Sie anschließend Sysprep aus. Es ist nicht ausreichend, die Geräte nur aus der Domäne zu entfernen und dann Sysprep zu verwenden.
- Falls für den Übergang erforderlich, rollen Sie die Härtungsmaßnahme vorübergehend mit einer registrierungsbasierten Option zurück. Bitte kontaktieren Sie Microsoft Commercial Customer Service and Support (CSS) für Informationen zu diesem Registrierungseintrag.
Für Details und Anleitungen lesen Sie bitte Hardening administrative actions: What IT pros need to know.
Zusätzliche Informationen:
- Hardening administrative actions: What IT pros need to know
- KB5070568: Kerberos- und NTLM-Authentifizierungsfehler aufgrund doppelter SIDs
- KB5068222: Stärkung des Administratorenschutzes und der Kerberos-Authentifizierung
- Microsoft-Richtlinie zur Festplatten-Duplikation von Windows-Installationen
- Sysprep
