Windows OSImage 标准化操作建议

        微软在去年8月发布的非安全更新（KB5064081），以及9月的安全更新（KB5065426）对回环认证保护进行了加强，以防止未经授权的尝试绕过回环检测。这一举措将有效提升 Windows 的安全性。但对那些并未执行 Windows OSImgae 标准化操作的组织，例如使用了未经 Sysprep 的 OSImage，将会遭遇 Kerberos 和 NTLM 身份验证失败的问题，例如访问 SMB 共享或通过远程桌面连接时，将出现认证失败的情况，在目标机器中会有 LsaSrv ID 6167 事件记录。

        那么具体 Windows 内部发生了什么变化？！Windows 在 2025年8月和9月的更新中，对用户账户控制（UAC）与认证机制继续宁了深度加固，其核心目标是阻断利用认证伪影进行的权限提升攻击，关键变化主要体现在以下几个方面：

1. UAC 权限边界被强化，过去管理员账户登录后，某些操作可能在未明确同意的情况下被提升权限。现在所有管理操作都必须经过用户明确批准，减少隐式高权限路径。管理员保护也因此收益，进一步减少了自动高程。

2. 机器 ID 生成方式改变，过去机器 ID 每次启动都会重新生成，导致系统只能基于当前启动状态判断是否为回环认证。这导致攻击者可能利用重启前遗留的认证伪影绕过令牌过滤。但现在机器 ID 由跨启动持久部分和当前启动部分组成。Windows 能检测到不同机器间共享的跨启动部分，从而识别克隆系统。任何跨主机的机器 ID 不一致都会触发认证失败（LsaSrv 6167）。

        以上信息也证实了那些部署了未经 Sysprep 的 Windows 系统映像将成为高风险隐患，多个设备将会共享相同的安全标识（SID）和机器 ID 跨启动部分。组织中的桌面团队应当主动行动起来，调整部署策略严格执行 Windows 桌面标准化规范，停止使用那些没有经过 Sysprep 的 OSImage 和设备，并进行重新部署。

推荐官方文档：

• Hardening administrative actions: What IT pros need to know | Microsoft IT Pro Blog
• Sysprep (Generalize) a Windows installation | Microsoft Learn
• Administrator protection (preview) | Microsoft Learn
• The Microsoft policy for disk duplication of Windows installations | Microsoft Learn