Windows 11 25H2 bloque les PC clonés avec des identifiants en double

Microsoft a discrètement introduit un changement important dans la dernière mise à jour visant Windows 11 25H2 et 24H2.  Elle peut avoir des conséquences importantes pour les entreprises comme pour les utilisateurs avancés. Désormais, les systèmes dotés d’identifiants de sécurité en double, appelés SID pour Security Identifier, ne peuvent plus être authentifiés sous Windows 11.

Cette mesure passée presque inaperçue marque un tournant dans la stratégie de sécurité du géant. Selon les informations rapportées cette nouvelle règle vise à empêcher qu’un même identifiant système soit utilisé sur plusieurs ordinateurs. Jusqu’à présent, il était possible de cloner un disque dur ou de déployer plusieurs installations identiques de Windows sans modifier le SID. Ces machines pouvaient ensuite se connecter sans problème à un réseau via des protocoles comme NTLM ou Kerberos, ce qui représentait un risque potentiel d’accès non autorisé à des données confidentielles.

Des connexions désormais bloquées

Avec Windows 11 25H2 et 24H2 cette faille est désormais colmatée. Les systèmes clonés avec des SID identiques ne pourront plus ouvrir de partages réseau ni établir de connexions à distance.

Les machines concernées verront apparaître des messages d’erreur de type « Accès refusé » ou « Échec de la connexion », et l’Observateur d’événements signalera des anomalies liées à l’« ID de la machine ».

Les entreprises devront adapter leurs procédures

Les administrateurs système et les services informatiques sont invités à vérifier leurs processus de déploiement. Pour éviter tout blocage, Microsoft recommande d’utiliser Sysprep, l’outil interne de préparation de systèmes Windows. Ce dernier permet de « généraliser » une installation avant sa duplication, en supprimant tous les identifiants uniques afin que chaque nouvelle machine obtienne automatiquement son propre SID lors de la première configuration.