Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

المقدمة

تعلن Microsoft عن توفر ميزة جديدة، الحماية الموسعة للمصادقة (EPA)، على النظام الأساسي ل Windows. تعمل هذه الميزة على تحسين حماية بيانات الاعتماد ومعالجتها عند مصادقة اتصالات الشبكة باستخدام مصادقة Windows المتكاملة (IWA).لا يوفر التحديث نفسه الحماية مباشرة من هجمات معينة مثل إعادة توجيه بيانات الاعتماد ولكنه يسمح للتطبيقات بالاشتراك في EPA. يطلع هذا النصائح المطورين ومسؤولي النظام على هذه الوظيفة الجديدة وكيف يمكن نشرها للمساعدة في حماية بيانات اعتماد المصادقة.لمزيد من المعلومات، راجع 973811 Microsoft Security Advisory.

مزيد من المعلومات

يعدل تحديث الأمان هذا واجهة موفر دعم الأمان (SSPI) لتحسين الطريقة التي تعمل بها مصادقة Windows بحيث لا تتم إعادة توجيه بيانات الاعتماد بسهولة عند تمكين IWA.عند تمكين EPA، تكون طلبات المصادقة مرتبطة بكل من الأسماء الأساسية للخدمة (SPN) للخادم الذي يحاول العميل الاتصال به وبقناة أمان طبقة النقل الخارجية (TLS) التي تحدث عبرها مصادقة IWA.

يضيف التحديث إدخال سجل جديد لإدارة الحماية الموسعة:

  • قم بتعيين قيمة Registry SuppressExtendedProtection .

    مفتاح التسجيل

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    ‏‏القيمة

    SuppressExtendedProtection

    النوع

    Reg_dword

    بيانات

    0 تمكين تقنية الحماية.1 تم تعطيل "الحماية الموسعة".3 يتم تعطيل "الحماية الموسعة" ويتم أيضا تعطيل روابط القنوات المرسلة بواسطة Kerberos، حتى إذا كان التطبيق يوفرها.

    القيمة الافتراضية: 0x0

    ‏ملاحظة يتم وصف المشكلة التي تحدث عند تمكين EPA بشكل افتراضي في فشل المصادقة من موضوع خوادم NTLM أو Kerberos غير Windows على موقع Microsoft على الويب.

  • تعيين قيمة السجل LmCompatibilityLevel .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel إلى 3. هذا مفتاح موجود يمكن مصادقة NTLMv2. تنطبق EPA فقط على بروتوكولات مصادقة NTLMv2 وKerberos والملخص والتفاوض ولا تنطبق على NTLMv1.

‏ملاحظة يجب إعادة تشغيل الكمبيوتر بعد تعيين قيم التسجيل SuppressExtendedProtectionوLmCompatibilityLevel على كمبيوتر Windows.

تمكين الحماية الموسعة

‏ملاحظة بشكل افتراضي، يتم تمكين الحماية الموسعة وNTLMv2 في جميع الإصدارات المدعومة من Windows. يمكنك استخدام هذا الدليل للتحقق من أن هذه هي الحالة.

هام يحتوي هذا القسم أو الأسلوب أو المهمة على خطوات تخبرك بكيفية تعديل السجل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل السجل بشكل غير صحيح. لذلك، تأكد من اتباع هذه الخطوات بعناية. لمزيد من الحماية، قم بنسخ السجل احتياطيا قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية إجراء نسخ احتياطي للسجل واستعادته، انقر فوق رقم المقالة التالي لعرض المقالة في Microsoft Knowledge Base:

  • KB322756 كيفية نسخ السجل احتياطيا واستعادته في Windows

لتمكين "الحماية الموسعة" بنفسك بعد تنزيل وتثبيت تحديث الأمان للنظام الأساسي الخاص بك، اتبع الخطوات التالية:

  1. ابدأ تشغيل محرر السجل. للقيام بذلك، انقر فوق بدء، وانقر فوق تشغيل، واكتب regedit في المربع فتح ، ثم انقر فوق موافق.

  2. حدد موقع المفتاح الفرعي للسجل التالي ثم انقر فوقه:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. تحقق من وجود قيم التسجيل SuppressExtendedProtectionوLmCompatibilityLevel .إذا لم تكن قيم التسجيل موجودة، فاتبع الخطوات التالية لإنشائها:

    1. مع تحديد مفتاح التسجيل الفرعي المدرج في الخطوة 2، في القائمة تحرير ، أشر إلى جديد، ثم انقر فوق قيمة DWORD.

    2. اكتب SuppressExtendedProtection، ثم اضغط على Enter.

    3. مع تحديد مفتاح التسجيل الفرعي المدرج في الخطوة 2، في القائمة تحرير ، أشر إلى جديد، ثم انقر فوق قيمة DWORD.

    4. اكتب LmCompatibilityLevel، ثم اضغط على Enter.

  4. انقر لتحديد قيمة سجل SuppressExtendedProtection .

  5. في القائمة تحرير ، انقر فوق تعديل.

  6. في مربع بيانات القيمة ، اكتب 0، ثم انقر فوق موافق.

  7. انقر لتحديد قيمة سجل LmCompatibilityLevel .

  8. في القائمة تحرير ، انقر فوق تعديل.ملاحظه تغير هذه الخطوة متطلبات مصادقة NTLM. يرجى مراجعة المقالة التالية في Microsoft Knowledge Base للتأكد من أنك على دراية بهذا السلوك.

    KB239869 كيفية تمكين مصادقة NTLM 2

  9. في مربع بيانات القيمة ، اكتب 3، ثم انقر فوق موافق.

  10. إنهاء محرر السجل.

  11. إذا قمت بإجراء هذه التغييرات على كمبيوتر Windows، فيجب إعادة تشغيل الكمبيوتر قبل أن تسري التغييرات.

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

اكتشاف المجتمع

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.

طرح أسئلة في Microsoft Community

مجتمع Microsoft التقني

مشتركو Windows Insider

المشاركون في برنامج Microsoft 365 Insider