Der Hinweis, den Microsoft gestern bereitgestellt hat, betrifft Windows 11 und Windows Server 2025. Hauptsächlich werden hier aber ITs angesprochen, die Windows-Images für die Bereitstellung vorbereiten. Denn mit dem Update im August 2025 bzw. September 2025 hat Microsoft Sicherheitsverbesserungen integriert, die eine Rechteausweitung und unbefugten Zugriff auf Windows-Geräte verringern.
Speziell geht es um Windows-Geräte, die mithilfe von Automatisierung oder Vorlagen für virtuelle Maschinen bereitgestellt wurden oder werden. Bisher wurden diese Methoden akzeptiert, wenn kein Sysprep ausgeführt wurde. Nach den Updates im August / September 2025 kann es bei diesen geklonten Systemen zu Problemen kommen. Dazu zählen Authentifizierungsfehler zwischen Computern oder Authentifizierung mit New Technology LAN Manager (NTLM) oder zwischen Computern auftreten, die nicht einer Domäne angehören.
„Diese Updates verstärken die Schutzmaßnahmen gegen Loopback-Authentifizierung. Sie tragen dazu bei, dass die Kerberos-Authentifizierung über Betriebssystem-Neustarts hinweg enger an den aktuellen Systemzustand gebunden ist. Bisher konnten Authentifizierungsartefakte über Neustarts hinweg bestehen bleiben, sodass Vorgänge mit erhöhten Rechten ohne ausdrückliche Zustimmung des Benutzers ausgeführt werden konnten. Die aktuelle Absicherung trägt dazu bei, dieses Risiko zu verringern.“
Microsoft fasst die Änderungen so zusammen
- Vor dem Update im August 2025
- Die Maschinen-ID wurde bei jedem Neustart neu generiert.
- Die Loopback-Erkennung stützte sich vollständig auf den Status pro Systemstart.
- Persistente Authentifizierungsartefakte konnten die Token-Filterung umgehen.
- Nach dem Update im August 2025
- Die Maschinen-ID kombiniert Komponenten pro Systemstart und systemstartübergreifende Komponenten.
- Die Loopback-Erkennung bleibt auch nach Neustarts erhalten.
- Persistente Authentifizierungsartefakte werden zuverlässig abgelehnt.
Microsoft empfiehlt dringend, jegliche Automatisierung zu beenden, die Geräte ohne Sysprep klont. Ansonsten können diese Geräte eine doppelte Sicherheits-IDs (SIDs) aufweisen. Sollte man solche Geräte haben, müssen sie von Grund auf neu erstellt und anschließend Sysprep ausgeführt werden.
Workaround bis Ende 2027
Bis Ende 2027 stellt Microsoft einen Workaround zur Verfügung, der die Abhärtung verhindert. „Wichtig! Diese Problemumgehung ersetzt die auf dem „Known Issue Rollback“ (KIR) basierende Gruppenrichtlinieneinstellung. Diese Einstellungen wurden zwischen August 2025 und März 2026 über Windows-Updates bereitgestellt, um den Loopback-Schutz zu deaktivieren.“ Der Registry-Key wird über einen Helpdesk-Fall bereitgestellt.
Wer sich die kompletteund ausführliche Beschreibung in aller Ruhe durchlesen möchte:
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 25H2 26200. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
