Microsoft impose désormais l'unicité des identifiants de sécurité sur les versions Windows 11 25H2 et 24H2. Cette nouvelle contrainte technique obligatoire chamboule l'authentification réseau et risque de compliquer la vie de nombreux administrateurs système.
Microsoft vient de glisser assez discrètement un changement majeur dans Windows 11. Avec les versions 25H2 et 24H2 du système d'exploitation, terminé les petits arrangements avec la sécurité, puisque le système refuse à présent d'authentifier les machines qui partagent le même identifiant de sécurité. Un virage strict qui pourrait bien provoquer quelques sueurs froides dans les services informatiques, surtout pour ceux qui ont l'habitude de cloner leurs installations à la chaîne.
Microsoft détecte et bloque les installations Windows 11 avec identifiants identiques
Chaque ordinateur Windows possède normalement un identifiant unique appelé SID (Security Identifier), une sorte de carte d'identité numérique. Le problème ? Quand les entreprises clonent une installation Windows pour gagner du temps, elles copient aussi le SID. Du coup, plusieurs machines se baladent avec exactement la même identité sur le réseau. Et Microsoft vient de dire stop à cette pratique sur Windows 11 25H2, 24H2 et Server 2025.
Avec des identifiants dupliqués, un système pouvait potentiellement accéder à des fichiers sensibles en se faisant passer pour un autre. Le genre de brèche que les pirates adorent exploiter. Microsoft a donc modifié les protocoles d'authentification réseau NTLM et Kerberos pour qu'ils refusent désormais les SID dupliqués. Les deux versions concernées, 24H2 et 25H2, partagent la même base de code, ce qui explique pourquoi elles héritent toutes deux de cette restriction.
Ce changement confirme la tendance bienvenue qu'a Microsoft à moderniser la sécurité de Windows. L'entreprise a notamment abandonné le protocole de chiffrement devenu trop vulnérable. Et le blocage des SID (identificateurs de sécurité) dupliqués suit la même logique, à savoir éliminer les failles de sécurité, même si cela oblige les entreprises à revoir leurs méthodes de travail.
Quand Windows 11 bloque l'accès réseau sans prévenir les utilisateurs
Le problème, c'est que les utilisateurs découvrent ce blocage sans avertissement. D'abord, Windows redemande sans cesse les identifiants de connexion. Ensuite apparaissent des messages d'erreur peu explicites : « Login failed » (connexion échouée), « <your credentials didn't work » (vos informations d'identification n'ont pas fonctionné), ou encore « partial mismatch in the machine ID ». Difficile de faire le lien avec un problème de SID dupliqué quand on tape pourtant le bon mot de passe.
Les problèmes se multiplient ensuite au niveau réseau. Les dossiers partagés deviennent inaccessibles, que ce soit par adresse IP ou par nom d'hôte. Les connexions Bureau à distance échouent systématiquement, même celles qui passent par des solutions PAM ou des outils tiers. Les systèmes de basculement automatique affichent également un message « access denied » (accès refusé). Les administrateurs peuvent toutefois repérer la cause dans l'observateur d'événements. L'erreur SEC_E_NO_CREDENTIALS ou l'événement 6167 signalent directement le problème de SID.
Microsoft conseille donc de ressortir l'utilitaire Sysprep, un outil Windows souvent oublié au fond de la boîte à outils. Il permet de nettoyer une installation Windows de toutes ses spécificités pour la rendre réutilisable proprement, en lui attribuant un nouvel identifiant unique à chaque déploiement. C'est certes une étape supplémentaire dans le processus d'installation, mais c'est le prix à payer pour éviter les blocages.
Source : Neowin
)
