La compañía Microsoft ha introducido un cambio silencioso pero trascendental en Windows 11 25H2 (también en la versión 24H2) que está afectando a empresas y usuarios avanzados. Desde la última actualización, el sistema ya no no permite autenticaciones en NTLM ni Kerberos cuando existen SID duplicados, se trata de un ajuste que refuerza la seguridad interna de los equipos, pero que también puede causar dolores de cabeza a los administradores de TI si no lo tienen previsto.
Este cambio, aunque poco publicitado, responde a una nueva medida de protección más estricta contra accesos no autorizados en entornos corporativos. Según los Redmond, los equipos con identificadores de seguridad duplicados pueden experimentar errores de acceso a carpetas compartidas, fallos en el inicio de sesión o bloqueos en conexiones RDP, algo que antes pasaba inadvertido en muchos usuarios.
Windows 11 25H2 obliga al uso de SID únicos en instalaciones empresariales
La compañía ha confirmado que el nuevo sistema de validación bloqueará cualquier autenticación basada en SID duplicados tanto en Windows 11 24H2 como en la versión 25H2, debido a que ambas versiones comparten la misma base de código. Este cambio viene a impactar directamente en la forma en que se gestionan las imágenes del sistema en entornos empresariales.
Ya no es posible autenticar correctamente dispositivos en NTLM y Kerberos con SID de equipo duplicados en la actualización de Windows 11 2025”, detalla el documento técnico de Microsoft.
Esta modificación puede generar una lista de problemas recurrentes: desde solicitudes constantes de credenciales hasta errores de acceso remoto o imposibilidad de abrir unidades compartidas. En el Visor de eventos también pueden aparecer alertas como: Existe una discrepancia parcial en el ID del equipo o el error SEC_E_NO_CREDENTIALS, que confirman el conflicto de SID.
Una medida de seguridad necesaria, pero con impacto técnico
Aunque este endurecimiento puede parecer un obstáculo para los administradores, Microsoft argumenta que el objetivo es proteger archivos restringidos y evitar que sistemas clonados con SIDs idénticos obtengan acceso indebido a los recursos corporativos.
Para evitar estos errores, la compañía recomienda el uso de Sysprep, una herramienta nativa de Windows que «generaliza» una imagen del sistema eliminando los identificadores duplicados y datos específicos del equipo antes de clonar o desplegar nuevas instalaciones.
Con este proceso se garantiza que cada dispositivo tenga un SID único, requisito indispensable desde ahora para que los sistemas basados en Windows 11 (25H2, 24H2 y Server 2025), puedan autenticarse correctamente dentro de redes empresariales o domésticas avanzadas.
Para finalizar, la actualización marca una clara dirección: los Redmond quieren consolidar una capa adicional de seguridad en entornos de autenticación, aun si eso implica ajustes adicionales para los administradores. La uniformidad del SID ya no es opcional, sino una obligación técnica en la nueva era de Windows 11.