微软已在 Windows 11 24H2 和 25H2(即 2024 和 2025 功能更新)中强制实施一项新的安全策略:禁止使用重复的计算机安全标识符(SID)。
该变更适用于所有设备,包括企业办公系统与家庭用户,且同样适用于 Windows Server 2025。由于 24H2 与 25H2 共享相同的服务分支,两项更新均受此策略影响。
问题背景
过去,用户或管理员在克隆 Windows 系统(如通过磁盘镜像复制)时,若未使用 Sysprep 工具,会导致多台设备拥有完全相同的计算机 SID。虽然 Windows 本地功能通常不受影响,但在企业环境中,这种重复 SID 会绕过部分基于身份的安全控制,可能被用于非法访问共享资源。
为堵住这一漏洞,微软在新版系统中严格校验 SID 与 Kerberos/NTLM 认证上下文的一致性。若检测到重复或不匹配的机器标识,系统将拒绝身份验证请求。
可能出现的错误现象
用户或应用在访问网络资源时将遇到以下问题:
- 反复弹出凭据输入提示;
- 即使输入正确账号密码,仍显示“登录失败”“凭据无效”;
- 无法通过 IP 或主机名访问共享文件夹;
- 远程桌面(RDP)连接失败,包括通过 PAM 或第三方工具发起的会话;
- 故障转移群集报“访问被拒绝”;
- 事件查看器中记录以下关键错误:
- 安全日志:
SEC_E_NO_CREDENTIALS - 系统日志(lsasrv.dll):事件 ID
6167,提示“机器 ID 存在部分不匹配。这表明票证要么被篡改,要么属于不同的引导会话。”
- 安全日志:
微软官方建议:必须使用 Sysprep
微软明确要求,在执行以下操作时必须使用 Sysprep:
- 克隆 Windows 镜像;
- 批量部署系统;
- 复制虚拟机模板。
Sysprep(System Preparation Tool)会“泛化”Windows 安装,移除原设备的唯一信息(包括 SID、计算机名、激活状态等),确保每台新设备启动时生成全新、唯一的标识符。
详细操作指南请参考微软官方支持文档:KB5070568。
评论