Въведение
Microsoft обявява наличността на нова функция – Разширена защита за удостоверяване (EPA) – на платформата Windows. Тази функция подобрява защитата и обработката на идентификационни данни при удостоверяване на мрежови връзки с помощта на интегрирано windows удостоверяване (IWA).
Самата актуализация не предоставя директно защита срещу определени атаки, като например препращане на идентификационни данни, но позволява на приложенията да се включат в EPA. Тази препоръка информира разработчиците и системните администратори за тази нова функционалност и как тя може да бъде разположена, за да помогне за защитата на идентификационните данни за удостоверяване.
За повече информация вижте 973811 "Съвети за защитата" Microsoft.
Още информация
Тази актуализация на защитата променя интерфейса на доставчика на поддръжка за защита (SSPI) за подобряване на начина, по който удостоверяването на Windows работи, така че идентификационните данни да не се препращат лесно, когато IWA е разрешен.
Когато EPA е разрешен, заявките за удостоверяване са обвързани както с главните имена на услугата (SPN) на сървъра, към който клиентът се опитва да се свърже, така и към външния канал на защитата на транспортния слой (TLS), по който възниква IWA удостоверяване.
Актуализацията добавя нов запис в системния регистър за управление на разширената защита:
-
Задайте стойността за SuppressExtendedProtection на системния регистър.
Ключ от системния регистър
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Стойност
SuppressExtendedProtection
Тип
REG_DWORD
Данни
0 Разрешава технология за защита.
1 Разширената защита е забранена.
3 Разширената защита е забранена и обвързванията на каналите, изпратени от Kerberos, също се забраняват дори ако приложението ги доставя.Стойност по подразбиране: 0x0
Забележка Проблем, който възниква, когато EPA е разрешен по подразбиране, е описан в темата Неуспешно удостоверяване от сървъри, които не са на Windows NTLM или Kerberos на уеб сайта Microsoft.
-
Задайте стойността LmCompatibilityLevel на системния регистър.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel на 3. Това е съществуващ ключ, който разрешава NTLMv2 удостоверяване. EPA се отнася само за протоколи за удостоверяване NTLMv2, Kerberos, digest и negotiation и не се отнася за NTLMv1.
Забележка Трябва да рестартирате компютъра, след като сте задали Стойностите на системния регистър SuppressExtendedProtection и LmCompatibilityLevel на компютър с Windows.
Разрешаване на разширена защита
Забележка По подразбиране и Разширената защита, и NTLMv2 са разрешени във всички поддържани версии на Windows. Можете да използвате това ръководство, за да проверите дали случаят е такъв.
Важно Тази секция, метод или задача съдържа стъпки, които ви казват как да промените системния регистър. Ако обаче промените системния регистър неправилно, е възможно да възникнат сериозни проблеми. Затова следвайте тези стъпки внимателно. За допълнителна защита архивирайте системния регистър, преди да го промените. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация как да архивирате и възстановите системния регистър щракнете върху следния номер на статия в базата знания на Microsoft:
-
KB322756 Как се архивира и възстановява системният регистър в Windows
За да разрешите разширената защита сами, след като изтеглите и инсталирате актуализацията на защитата за вашата платформа, изпълнете следните стъпки:
-
Стартирайте редактора на системния регистър. За да направите това, щракнете върху Старт, щракнете върху Изпълнение, въведете regedit в полето Отвори и след това щракнете върху OK.
-
Намерете и след това щракнете върху следния подключ от системния регистър:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Уверете се, че стойностите в системния регистър SuppressExtendedProtection и LmCompatibilityLevel са налични.
Ако стойностите в системния регистър не са налични, изпълнете следните стъпки, за да ги създадете:-
Когато подключът на системния регистър е в списъка на стъпка 2, в менюто Редактиране посочете Създай и след това щракнете върху DWORD стойност.
-
Въведете SuppressExtendedProtection, след което натиснете Enter.
-
Когато подключът на системния регистър е в списъка на стъпка 2, в менюто Редактиране посочете Създай и след това щракнете върху DWORD стойност.
-
Въведете LmCompatibilityLevel, след което натиснете Enter.
-
-
Щракнете, за да изберете стойността в системния регистър SuppressExtendedProtection .
-
В менюто Редактиране щракнете върху Модифицирай.
-
В полето Данни за стойността въведете 0 и след това щракнете върху OK.
-
Щракнете, за да изберете стойността на системния регистър LmCompatibilityLevel .
-
В менюто Редактиране щракнете върху Модифицирай.
Забележка Тази стъпка променя изискванията за NTLM удостоверяване. Прегледайте следната статия в базата знания на Microsoft, за да се уверите, че сте запознати с това поведение.KB239869 Как да разрешите удостоверяване на NTLM 2
-
В полето Данни за стойността въведете 3 и след това щракнете върху OK.
-
Излезте от редактора на системния регистър.
-
Ако направите тези промени на компютър с Windows, трябва да рестартирате компютъра, преди промените да влязат в сила.
