Nicolai Busekist
Microsoft har skabt en del opmærksomhed omkring sig selv efter ophøret af understøttelsen af Windows 10, men denne gang er det andre brugere, der bliver ramt.
Med den nye Windows 11-opdatering 25H2 har Microsoft indført en ganske markant sikkerhedsmæssig ændring. Systemer med identiske computer-SID’er bliver fremover blokeret, hvilket kan ende med at skabe store problemer ved klonede installationer.
Microsoft udsendte i oktober den store Windows 11-opdatering 2025 (version 25H2). Ifølge mediet Neowin indeholder opdateringen ikke kun nye funktioner, men også en betydelig ændring i, hvordan Windows installeres og anvendes i både virksomheder og private miljøer.
Ifølge Neowin er det nu ikke længere muligt at godkende enheder med identiske computer-SID’er (Security Identifiers). Ændringen gælder både for Windows 11 version 25H2 og 24H2, da begge bygger på den samme kodebase.
Den nye sikkerhedsregel forhindrer, at flere systemer med duplikerede SID’er får adgang til delte netværksdrev eller fjernskrivebord. På den måde vil Microsoft forhindre uautoriseret adgang til følsomme data, som tidligere kunne ske ved kloning af Windows-installationer.
Brugere, der installerer Windows 11 25H2 eller anvender klonede systemer, kan ifølge Neowin opleve følgende problemer:
- Gentagne anmodninger om at logge ind trods korrekte adgangsoplysninger
- Fejlmeddelelser som ‘Login failed’ eller ‘Your credentials didn’t work’
- Manglende adgang til delte netværksmapper eller fjernskrivebord
- Fejl ved failover-klynger (‘Access denied’)
- Logposter med ‘SEC_E_NO_CREDENTIALS’ eller ‘partial mismatch in the machine ID’
For at undgå disse problemer anbefaler Microsoft, at man fremover anvender Sysprep, når man opretter eller kloner Windows-installationer. Dette værktøj, som er en del af Windows, bruges til at ‘generalisere’ systemafbildninger og samtidig sikre, at hver installation får en unik SID.
Ifølge Neowin beskriver Microsoft ændringen i et nyt supportdokument (KB5070568) på sin hjemmeside. Målet er at sikre, at NTLM- og Kerberos-logins fremover kun fungerer på entydigt identificerbare enheder, hvilket er et vigtigt skridt mod øget sikkerhed i virksomhedsnetværk.
Med det nye krav styrker Microsoft beskyttelsen af følsomme data og gør ældre metoder til kloning uden Sysprep stort set ubrugelige.
Især IT-administratorer og erfarne brugere bør være opmærksomme på ændringen, hvis de opsætter flere Windows-enheder eller duplikerer virtuelle maskiner.
