Microsoft посилює вимоги до встановлення Windows 11

Минулого місяця Microsoft випустила оновлення Windows 11 2025 (версія 25H2), після чого оголосила, що оновлення функцій буде доступне для всіх користувачів Windows 11 або Windows 10 на підтримуваних системах.

Після запуску оновлення Microsoft також зробила кілька важливих оголошень, що стосуються офісних та корпоративних ПК. Останнє з них відбулося у другій половині минулого місяця, коли технологічний гігант оприлюднив повний список із 36 нових налаштувань, які ІТ-адміністратори можуть використовувати для керування та розгортання різних функцій у корпоративних системах Windows 11 25H2.

Якщо ви ІТ-адміністратор і плануєте встановити Windows 11 25H2 на свої пристрої, варто звернути увагу на деякі нюанси процесу інсталяції, особливо якщо ви використовуєте «гарячі» патчі.

Окрім цього, Microsoft внесла ще одну важливу зміну для офісних і корпоративних систем, яка стосується інсталяцій Windows 11 25H2, хоча вона може вплинути й на користувачів, що використовують ці функції вдома. Компанія підтвердила, що в оновленні Windows 11 2025 більше неможливо успішно автентифікувати пристрої за допомогою NTLM або Kerberos, якщо вони мають дублікати SID (ідентифікаторів безпеки). Ця зміна також поширюється на Windows 11 24H2, оскільки обидві версії мають спільну гілку обслуговування та кодову базу.

Microsoft зазначає, що користувачі можуть зіткнутися з такими проблемами, зокрема з помилками доступу до спільних мережевих дисків:

• багаторазові запити на введення облікових даних;
• відмова у доступі навіть із дійсними обліковими даними;
• повідомлення про помилки, як-от:
  • «Спроба входу не вдалася»;
  • «Не вдалося ввійти / ваші облікові дані не працюють»;
  • «Існує часткова невідповідність в ідентифікаторі машини»;
  • «Ім’я користувача або пароль неправильні»;
• неможливо отримати доступ до спільних мережевих папок через IP-адресу або ім’я хоста;
• не вдається встановити підключення до віддаленого робочого столу (RDP), зокрема до сеансів, ініційованих за допомогою рішень керування привілейованим доступом (PAM) або сторонніх інструментів;
• не працює кластеризація після відмови з повідомленням «Доступ заборонено».

У «Перегляді подій» (Event Viewer) також можуть з’являтися такі записи:

• у журналі безпеки — помилка SEC_E_NO_CREDENTIALS;
• у системному журналі — подія служби локального сервера авторизації безпеки (lsasrv.dll) з ідентифікатором 6167 та текстом повідомлення: «Ідентифікатор машини частково не відповідає дійсності». Це свідчить про те, що квиток або було змінено, або він належить до іншого сеансу завантаження.

Ця зміна є новим засобом безпеки, покликаним запобігти несанкціонованому доступу до потенційно обмежених файлів, до яких раніше можна було отримати доступ на іншій системі за допомогою дубліката SID. Microsoft рекомендує адміністраторам і користувачам використовувати Sysprep — вбудований інструмент Windows, який забезпечує унікальність SID під час клонування або дублювання ОС у Windows 11 версій 24H2 та 25H2, а також у Windows Server 2025.

Sysprep, по суті, «узагальнює» образ Windows, видаляючи дублікати SID та унікальну інформацію, специфічну для конкретного ПК. Докладніше про це можна прочитати у статті підтримки KB5070568 на офіційному сайті Microsoft.