Добавить в корзинуПозвонить
Найти в Дзене
Windows 11, 10, etc
241 подписчик

⚙️ sysprep - и точка

2 мин
Я много лет проповедую sysprep в качестве обязательного этапа при подготовке образов для развёртывания, особенно в корпоративной среде. По большому счёту я транслирую рекомендации Microsoft. Чтобы действовать вопреки им, нужно хорошо представлять, в чём конкретно заключается обобщение образа. Но это невозможно, потому что компания никогда не публиковала полный список операций sysprep. ℹ️ При этом известно, что sysprep предотвращает дублирование SID компьютера. А исторически считалось, что наличие в одной сети ПК с одинаковыми SID может привести к непредсказуемым последствиям. Иногда я дискутировал в блоге и на форуме с отрицателями sysprep. Особенно в контексте раскатывания одного образа на абсолютно одинаковые конфигурации ПК. Их аргументы варьировались от "у нас и так всё работает" до "Руссинович же развенчал миф о дублировании SID ещё в 2009 году". И это почему-то становилось немедленным основанием для отказа от sysprep. Как-будто он больше ничего и не делает. ⏭️ Перемотаем в 202

⚙️ sysprep - и точка

Я много лет проповедую sysprep в качестве обязательного этапа при подготовке образов для развёртывания, особенно в корпоративной среде. По большому счёту я транслирую рекомендации Microsoft. Чтобы действовать вопреки им, нужно хорошо представлять, в чём конкретно заключается обобщение образа. Но это невозможно, потому что компания никогда не публиковала полный список операций sysprep.

ℹ️ При этом известно, что sysprep предотвращает дублирование SID компьютера. А исторически считалось, что наличие в одной сети ПК с одинаковыми SID может привести к непредсказуемым последствиям.

Иногда я дискутировал в блоге и на форуме с отрицателями sysprep. Особенно в контексте раскатывания одного образа на абсолютно одинаковые конфигурации ПК. Их аргументы варьировались от "у нас и так всё работает" до "Руссинович же развенчал миф о дублировании SID ещё в 2009 году". И это почему-то становилось немедленным основанием для отказа от sysprep. Как-будто он больше ничего и не делает.

⏭️ Перемотаем в 2026 год. 9 апреля в блоге Windows IT Pro выходит статья Hardening administrative actions: What IT pros need to know. В ней объясняется, что осенью 2025 года в Windows закрутили гайки безопасности. Это сделали с целью снизить риск эскалации привилегий - одобрение контроля учётных записей (UAC) без разрешения пользователя. А заодно, чтобы укрепить новую фичу Administrator Protection.

👉 Если очень упрощённо, до этого при каждой загрузке генерировался случайный SID машины, а теперь часть его фиксируется. И когда у двух машин в сети одинаковый SID, это отлавливается и блокируется в процессе аутентификации Kerberos и NTLM!

////

Возможно, дублирование SID не создавало заметных проблем с 2009 года. Зато они начались осенью 2025! И похоже, что за прошедшие полгода у Microsoft накопилась огромная масса клиентов, наступивших на грабли с аутентификацией. Например, с одинаковыми SID не получится даже расшарить папку по SMB 🙉

И Microsoft пошла на любопытные шаги:

1️⃣ Убрала возможность откатить это изменение посредством KIR (специальной групповой политикой).

2️⃣ Заменила KIR на некий твик реестра, который будет действовать до конца 2027 года. Однако не опубликовала его, а предложила запрашивать у техподдержки. Иначе все просто применят снижающий безопасность твик и забьют на меры из п. 3.

3️⃣ Однозначно рекомендовала:

a) клонировать образы только с sysprep

б) обработать sysprep все имеющиеся системы, которые были развёрнуты из не обобщённых образов

Вопрос смены SID можно было бы решить попроще. Например, реанимировав ту самую утилиту NewSID, которую Руссинович списал на пенсию в 2009 году. Но Microsoft не будет доставать её из чулана. Разумеется, сторонняя утилита SIDCHG тоже не поддерживается. Пользуйтесь sysprep!

И я уверен, что постоянные читатели с самого начала знали, какой картинкой закончится этот пост 😎