Jak zmodyfikować wpis rejestru RequireAsChecksum po zainstalowaniu aktualizacji zabezpieczeń 899587

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 904766 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ważne Ten artykuł zawiera informacje dotyczące sposobu modyfikowania rejestru. Przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Należy upewnić się, że znany jest sposób przywracania rejestru w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows
Rozwiń wszystko | Zwiń wszystko

WPROWADZENIE

Ten artykuł zawiera informacje dotyczące sposobu modyfikowania wpisu rejestru RequireAsChecksum. Ten wpis rejestru ułatwia zapewnienie dodatkowej ochrony po zainstalowaniu aktualizacji zabezpieczeń 899587 firmy Microsoft. Ta aktualizacja zabezpieczeń jest udokumentowana w biuletynie MS05-042 dotyczącym zabezpieczeń.

Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
899587 Luki w protokole Kerberos umożliwiają odmowę usługi, ujawnienie informacji i fałszowanie

Więcej informacji

Ostrzeżenie Niepoprawne modyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może być przyczyną poważnych problemów. Mogą one wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym zmodyfikowaniem rejestru będzie możliwe. Możesz modyfikować rejestr na własną odpowiedzialność.

W aktualizacji zabezpieczeń 899587 uwzględniono niektóre zmiany funkcji związane z zabezpieczeniami. W biuletynie MS05-042 dotyczącym zabezpieczeń omówiono luki w zabezpieczeniach zgłoszone przez źródła zewnętrzne. Oprócz zmian wymienionych w każdej sekcji „Szczegółowe informacje dotyczące luki w zabezpieczeniach” biuletynu MS05-042 dotyczącego zabezpieczeń w aktualizacji zabezpieczeń 899587 uwzględniono jednak dodatkową zmianę funkcji. Dodano opcjonalny, jednak zalecany wpis rejestru (RequireAsChecksum), aby ułatwić zapewnienie dodatkowej ochrony przed potencjalnymi lukami w zabezpieczeniach, związanymi z mechanizmem PKINIT, które mogą wystąpić w przyszłości. Wpis rejestru RequireAsChecksum znajduje się w następujących podkluczach rejestru:
  • System Microsoft Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Systemy Microsoft Windows 2000 i Microsoft Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

Możliwe wartości dla wpisu rejestru RequireAsChecksum są następujące:
  • RequireAsChecksum = 1 lub inna wartość różna od zera
    Jeżeli to ustawienie jest włączone, komputer kliencki akceptuje tylko odpowiedzi zgodne z najnowszą wersją mechanizmu PKINIT (PKINIT-27) z kontrolera domeny, związane z logowaniem przy użyciu karty inteligentnej.
  • RequireAsChecksum = 0
    Jeżeli to ustawienie jest wyłączone, komputer klienci akceptuje odpowiedzi zgodne z nową wersją lub starszymi wersjami.
Uwaga Jeżeli ten wpis nie zostanie umieszczony w rejestrze, komputer funkcjonuje, tak jak po wyłączeniu tego ustawienia.

Logowanie przy użyciu karty inteligentnej kończy się niepowodzeniem wówczas, gdy spełnione są wszystkie następujące warunki:
  • Próba logowania jest inicjowana przez komputer kliencki.
  • Aktualizacja zabezpieczeń 899587 jest zainstalowana na komputerze klienckim.
  • Na komputerze klienckim skonfigurowano wartość wpisu rejestru RequireAsChecksum równą 1.
  • Na kontrolerze domeny, odpowiadającym na żądanie dotyczące uwierzytelniania, nie zainstalowano aktualizacji zabezpieczeń 899587.
Firma Microsoft zaleca włączenie tego ustawienia w rejestrze na komputerach klienckich dopiero po wdrożeniu aktualizacji zabezpieczeń 899587 na wszystkich kontrolerach domeny w danej domenie.

Uwaga Po zmodyfikowaniu tego wpisu rejestru należy ponownie uruchomić komputer z systemem Windows 2000. Ponowne uruchamianie komputera nie jest jednak wymagane w przypadku komputerów, na których jest uruchomiony system Windows XP lub system Windows Server 2003.

Właściwości

Numer ID artykułu: 904766 - Ostatnia weryfikacja: 12 sierpnia 2005 - Weryfikacja: 1.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Słowa kluczowe: 
kbhowto kbinfo kbsecurity KB904766

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com