m365jp.net

SHD / MC Checker

MC1275343 | Hardening administrative actions: Windows imaging, cloning, and auth workflows

MC1275343 | Hardening administrative actions: Windows imaging, cloning, and auth workflows
Classification stayInformed
Last Updated 04/09/2026 17:01:43
Start Time 04/09/2026 17:01:38
End Time 04/09/2027 17:01:38
Message Content
Administrative actions are undergoing hardening changes that might require operational change to support your organization’s security posture. With the August 2025 Windows non-security update, devices were hardened against unauthorized attempts to bypass loopback detection. However, if you’ve cloned machines without Sysprep, you might see Kerberos and NTLM authentication failures. This is by design. The recommended solution is to rebuild affected devices using supported imaging methods. A temporary workaround is also available. 
 
When will this happen:
  • September 2025 and later: Windows security updates include hardening changes that strengthen the trust boundary between identity, authentication, and User Account Control (UAC).
  • April 2026 and later: Windows security updates include a temporary workaround for machines cloned without Sysprep. This registry-based compatibility option isn’t recommended. It reduces security protections introduced by recent updates.
  • End of 2027: The temporary workaround expires. 
 
How this will affect your organization:
This affects your organization if: 
  • You manage devices on Windows 11, version 24H2 and later or Windows Server 2025.
  • You installed the August 2025 non-security update or September 2025 security update (or later) on these devices.
  • You notice Kerberos or NTLM authentication failures. These failures surface as LsaSrv Event ID 6167 in the System event log of the target machine.
You need to adjust your strategy to clone Windows images.
 
What you need to do to prepare:
Take the following actions: 
  • Stop any automation that clones devices without Sysprep. If not addressed, devices end up with duplicate security IDs (SIDs).
  • Rebuild all devices with duplicate SIDs from scratch, then run Sysprep. It’s not sufficient to unjoin devices and run Sysprep. 
  • If needed for transition only, temporarily roll back the hardening change with a registry-based option. Please contact Microsoft Commercial Customer Service and Support (CSS) to get information about this registry value. 
 
Additional information:
Machine Translation
管理上の操作は強化変更が進められており、組織のセキュリティ体制を支援するために運用上の変更が必要になる場合があります。 2025年8月の Windows 非セキュリティアップデートにより、 デバイス はループバック検出を回避しようとする不正 な試みに対して 強化 されました 。 しかし、 Sysprepなしで マシンをクローンした場合 、KerberosやNTLM認証の失敗が起こる可能性があります。これは 設計上のものです。 推奨される解決策は、対応可能なイメージング手法で影響を受けたデバイスを再構築することです。 一時的な回避策 もあります。 
 
これはいつ実現しますか:
  • 2025年9月 以降:Windows のセキュリティ アップデートには、アイデンティティ、認証、ユーザーアカウント制御(UAC)間の信頼境界を強化する強化変更が含まれています。
  • 2026年4月 以降:Windows セキュリティ アップデートには、Sysprepなし のクローンマシン向けの一時的な回避策 が含まれています。この レジストリベースの互換性 オプション は推奨されません 。これは最近のアップデートによって導入されたセキュリティ保護を弱めます。
  • 2027年末:一時的な回避策が期限切れ。 
 
これがあなたの組織にどのような影響を与えるか:
これは以下の場合に組織に影響を与える。 
  • Windows 11、バージョン24H2以降、またはWindows Server 2025でデバイスを管理します。
  • これらのデバイスに2025年8月の非セキュリティアップデート、または2025年9月のセキュリティアップデート(またはそれ以降)をインストールしました。
  • KerberosやNTLMの認証失敗に気づくでしょう。これらの障害は、ターゲットマシンのシステムイベントログ にLsaSrv イベントID 6167として現れます。
Windowsイメージのクローン戦略を 調整する必要があります。
 
準備のためにやるべきこと:
以下の行動を取ってください。 
  • Sysprepなしでデバイスのクローン を行う自動化は停止してください。アドレスがなければ、デバイスは重複したセキュリティID(SID)を持つことになります。
  • 複製SIDを持つすべてのデバイスを一から再構築し、その後Sysprepを実行します。 デバイスをアンジョインしてSysprepを実行するだけでは不十分です。 
  • 移行のみが必要な場合は、 レジストリベースの オプションで一時的にハードニング変更をロールバックしてください。 このレジストリ値に関する情報については 、Microsoft Commercial Customer Service and Support(CSS )にお問い合わせください。 
詳細と手順については、「 強化管理措置:IT専門家が知っておくべきこと」をご覧ください。 
 
追加 情報:
Post Views: 5

m365jp.net