Windows вышибает из сети: одно обновление — и весь офис в оффлайне

Microsoft подтвердила ошибки входа в Windows 11 и Server 2025 после августовских патчей

С конца августа 2025 года пользователи Windows столкнулись с неожиданной проблемой: после установки последних обновлений система начала выдавать ошибки при входе в сеть, подключении к удалённому рабочему столу и доступе к общим ресурсам. Как подтвердила Microsoft, сбои связаны с механизмом идентификаторов безопасности (Security Identifiers, SID), которые используются системой для управления доступом и проверкой подлинности учётных записей.

Что случилось

Проблема появилась после обновлений Windows, выпущенных 29 августа 2025 года. Новые патчи усилили внутреннюю проверку SID — уникальных буквенно-цифровых кодов, которые идентифицируют пользователей, группы и устройства в системе. Если на компьютере присутствуют дублирующиеся SID, Windows теперь блокирует аутентификацию, считая её небезопасной.

"Вы можете столкнуться с ошибками аутентификации Kerberos и NTLM на устройствах с дублирующими идентификаторами безопасности (SID)", — пояснила Microsoft в документе поддержки.

Это изменение затронуло Windows 11 версии 24H2 и 25H2, а также Windows Server 2025.

Как проявляется ошибка

Системные администраторы и пользователи сообщают о множестве симптомов:

невозможность подключиться к удалённому рабочему столу (RDP);
сбои входа в систему даже с действительными учётными данными;
сообщения вида "Отказано в доступе", "Попытка входа не удалась", "Неверное имя пользователя или пароль";
сбой сетевой аутентификации и невозможность обращения к файловым или принтерным ресурсам;
ошибки SEC_E_NO_CREDENTIALS в Event Viewer и сбои в службе LSA (Local Security Authority).

В корпоративных сетях это приводит к тому, что компьютеры с одинаковыми SID не могут подтвердить свою подлинность в домене, а учётные записи пользователей оказываются заблокированы даже при правильных данных.

Почему это происходит

При клонировании или дублировании установки Windows без подготовки через утилиту Sysprep система может создавать одинаковые SID на нескольких устройствах. Это удобно при быстром развёртывании образов, но противоречит политике безопасности Microsoft.

После августовских обновлений Windows теперь строго проверяет уникальность SID — в том числе на уровне Kerberos и NTLM. Если система обнаруживает дубликат, она блокирует аутентификацию.

"Уникальность идентификатора безопасности, обеспечиваемая Sysprep, необходима для дублирования ОС в Windows 11 версий 24H2 и 25H2, а также в Windows Server 2025 после установки обновлений Windows 29 августа 2025 года и позднее", — отмечает Microsoft.

Какие версии Windows затронуты

Операционная система	Версия	Затронута
Windows 11	24H2	✅
Windows 11	25H2	✅
Windows Server	2025	✅
Windows 10	22H2 и ниже	❌ (не затронута)

Возможные последствия для бизнеса

Для корпоративных сетей проблема может оказаться критической. Дублирующиеся SID часто встречаются в компаниях, где образы Windows клонируются для быстрого развёртывания рабочих станций. После обновления такие системы начинают конфликтовать между собой, нарушая доступ к домену Active Directory и общим ресурсам.

Это означает:

невозможность централизованного входа пользователей;
проблемы с проверкой подлинности Kerberos;
сбои в работе серверов файлового доступа и принтеров;
остановку бизнес-процессов, зависящих от сетевых учётных записей.

Как исправить проблему

Microsoft предлагает несколько решений в зависимости от ситуации.

1. Использовать Sysprep при подготовке образов

Перед клонированием системы следует выполнить утилиту Sysprep, которая сбрасывает уникальные параметры, включая SID, и генерирует новый при первой загрузке. Это гарантирует корректную идентификацию устройства.

2. Пересобрать системы с дублирующими SID

Для уже развёрнутых систем Microsoft рекомендует пересобрать или переустановить Windows, используя поддерживаемые методы дублирования. Это трудоёмкий, но надёжный вариант.

3. Временное решение через групповую политику

IT-администраторы могут запросить у Microsoft специальный пакет групповой политики, который временно отключает строгую проверку SID. Однако для его получения требуется обращение в службу поддержки Microsoft для бизнеса.

Ошибка → Последствие → Альтернатива

• Ошибка: клонировать систему без подготовки Sysprep.
• Последствие: одинаковые SID на нескольких машинах, сбои Kerberos и NTLM.
• Альтернатива: использовать официальные инструменты подготовки образов (MDT, WDS, SCCM).

• Ошибка: обновить систему без проверки SID.
• Последствие: полная потеря аутентификации и сетевых доступов.
• Альтернатива: перед обновлением проверить уникальность SID через PsGetSid из пакета Sysinternals.

А что если обновления откатить?

Microsoft не рекомендует удалять последние патчи: они включают критические исправления безопасности. Однако временный откат может вернуть работоспособность до устранения дубликатов SID. Для этого нужно:

Удалить обновления, выпущенные после 29 августа.
Проверить SID и устранить дубликаты.
Повторно установить обновления.

Это решение допустимо только как временная мера.

Плюсы и минусы новых мер безопасности

Плюсы	Минусы
Повышение защиты от SID-коллизий и подмены учётных записей	Риск сбоев в корпоративных сетях
Более точный контроль Kerberos и NTLM	Необходимость пересборки старых систем
Улучшенный аудит безопасности	Сложности для IT-администраторов при массовых развёртываниях
Защита от атак с дублированными образами	Временные простои при внедрении

FAQ

Как узнать, есть ли у системы дублирующий SID?
Можно использовать утилиту PsGetSid (Sysinternals). Если значения SID совпадают на двух компьютерах — это дубликат.

Можно ли обойти проблему без переустановки?
Только временно — через групповую политику, предоставляемую Microsoft по запросу.

Когда выйдет обновление с исправлением?
Microsoft пока не объявила даты. Компания рекомендует IT-специалистам следить за обновлениями в разделе Windows Release Health.

Мифы и правда

Миф: дублирующие SID безвредны, если устройства не в домене.
Правда: даже в автономных сетях это может вызвать ошибки доступа и NTLM.

Миф: проблема касается только Windows Server.
Правда: затронуты и клиентские версии Windows 11.

Миф: Sysprep устарел и не обязателен.
Правда: Microsoft подтверждает, что без него клонирование систем больше не поддерживается.

Исторический контекст

• 2021 — Microsoft усиливает проверку Kerberos для корпоративных сетей.
• 2023 — внедрение расширенных средств защиты NTLM.
• 2025 — новые обновления Windows усилили проверку уникальности SID.

3 интересных факта

SID впервые появился в Windows NT 3.1 в 1993 году и используется до сих пор.
Каждый SID содержит уникальный компонент — Relative Identifier (RID), который создаётся при установке системы.
Дублирующие SID могут вызвать проблемы даже при доступе к локальным файлам с ограничениями ACL.