Microsoft сделала обязательным новое требование безопасности для установок Windows 11 версий 25H2 и 24H2

30 сентября 2025 года Microsoft выпустила крупное обновление Windows 11, версия 25H2 (2025 Update), в уже октябре объявила, что установить его теперь могут все пользователи Windows 11 и Windows 10 на совместимых устройствах. С тех пор компания представила несколько важных изменений, касающихся корпоративных и офисных компьютеров под управлением новой версии системы.

Недавно Microsoft опубликовала список из 36 новых параметров, которые ИТ-администраторы могут использовать для управления функциями в корпоративных установках Windows 11, версия 25H2. С полным списком можно ознакомиться в отдельной статье на сайте Microsoft.

Компания также напомнила администраторам, что при установке Windows 11, версия 25H2 на офисных ПК важно учитывать особенности обновления с активным Hotpatch, чтобы избежать проблем с применением исправлений в процессе установки.

Новое обязательное требование для Windows 11 24H2 и 25H2

Помимо этого, Microsoft внесла ещё одно важное изменение, которое теперь затрагивает не только корпоративные, но и домашние системы. Компания подтвердила, что начиная с Windows 11, версия 25H2 (и также 24H2, так как обе версии используют общий код и ветку обслуживания), устройства больше не смогут проходить успешную аутентификацию по NTLM и Kerberos, если они имеют дублирующийся идентификатор безопасности компьютера (SID).

Это означает, что при клонировании или тиражировании Windows без корректной подготовки образа могут возникнуть серьёзные ошибки при доступе к сетевым ресурсам. Microsoft отмечает, что пользователи могут столкнуться со следующими симптомами:

• Постоянные запросы на ввод учётных данных.
• Отказ в доступе к сетевым папкам по IP-адресу или имени хоста.
• Ошибки аутентификации, такие как:
  • «Login attempt failed»;
  • «Your credentials didn’t work»;
  • «There is a partial mismatch in the machine ID»;
  • «The username or password is incorrect».
• Невозможность установить подключение по удалённому рабочему столу (в том числе через RDP или PAM-системы).
• Ошибки в работе кластеров отказоустойчивости с сообщением «Access denied».
• Журнал событий Windows может содержать следующие записи:
  • Ошибка SEC_E_NO_CREDENTIALS в журнале безопасности.
  • Событие Event ID 6167 (lsasrv.dll) в системном журнале с текстом: «There is a partial mismatch in the machine ID». Это указывает, что тикет был изменён или принадлежит другой сессии загрузки.

Причина изменений и рекомендации Microsoft

Новое требование связано с усилением защиты от несанкционированного доступа к файлам и сетевым ресурсам, которые ранее могли быть доступны при использовании клонированных систем с одинаковыми SID. Microsoft рекомендует администраторам и продвинутым пользователям использовать встроенный инструмент Sysprep для подготовки и клонирования образов Windows 11 версий 24H2, 25H2 и Windows Server 2025.

Sysprep позволяет «обобщить» установку Windows — удалить уникальные данные компьютера, включая идентификаторы безопасности, чтобы каждая новая система имела собственный уникальный SID.

«Используйте Sysprep перед созданием или клонированием образов Windows, чтобы избежать конфликтов SID и ошибок аутентификации в сетевых средах», — отмечает Microsoft.

Подробнее об изменении можно прочитать в официальной статье KB5070568 на сайте Microsoft.