如何在安装安全更新 899587 后修改 RequireAsChecksum 注册表项

文章翻译 文章翻译
文章编号: 904766 - 查看本文应用于的产品
重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
展开全部 | 关闭全部

简介

本文包含有关如何修改 RequireAsChecksum 注册表项的信息。该注册表项有助于在安装 Microsoft 安全更新 899587 后加强保护。安全公告 MS05-042 中介绍了该安全更新。

有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
899587 MS05-042:Kerberos 中的漏洞可能导致拒绝服务、信息泄露和欺骗

更多信息

警告:注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

安全更新 899587 中包含一些与安全有关的功能更改。安全公告 MS05-042 消除了几个外部报告的安全漏洞。但是,除了安全公告 MS05-042 的每个“漏洞详细资料”部分中所列的更改外,899587 安全更新中还包括另一处功能更改。添加了可选(但建议使用)的注册表项 (RequireAsChecksum) 来帮助加强防范将来可能出现的与 PKINIT 有关的漏洞。RequireAsChecksum 注册表项位于以下注册表子项下:
  • Microsoft Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Microsoft Windows 2000 和 Microsoft Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

RequireAsChecksum 注册表项可能的值如下:
  • RequireAsChecksum = 1 或任何其他非零值
    启用该设置时,客户端只接受域控制器对智能卡登录所作的与最新 PKINIT 修正版 (PKINIT-27) 兼容的答复。
  • RequireAsChecksum = 0
    禁用该设置时,客户端接受与新或旧修正版兼容的答复。
注意:如果该注册表项不存在,计算机会认为该设置被禁用了。

下列所有条件都成立时,智能卡登录失败:
  • 客户端尝试登录
  • 客户端上安装了安全更新 899587。
  • 客户端上 RequireAsChecksum 注册表项的值设置为 1。
  • 答复身份验证请求的域控制器未安装安全更新 899587。
建议仅当在域中的所有域控制器上都部署了安全更新 899587 后,再在客户机上启用该注册表设置。

注意:修改该注册表项后,必须重新启动基于 Windows 2000 的计算机。但是,对于运行 Windows XP 或 Windows Server 2003 的计算机则无需重新启动。

属性

文章编号: 904766 - 最后修改: 2005年8月11日 - 修订: 1.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbhowto kbinfo kbsecurity KB904766
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com