Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Úvod

Microsoft oznamuje dostupnost nové funkce rozšířené ochrany pro ověřování (EPA) na platformě Windows. Tato funkce vylepšuje ochranu a zpracování přihlašovacích údajů při ověřování síťových připojení pomocí integrovaného ověřování systému Windows (IWA).

Aktualizace sama o sobě neposkytuje přímo ochranu před konkrétními útoky, jako je předávání přihlašovacích údajů, ale umožňuje aplikacím, aby se přihlásily k EPA. Tento poradce informuje vývojáře a správce systému o této nové funkci a o tom, jak ji lze nasadit, aby se chránila přihlašovací údaje ověřování.

Další informace najdete v tématu Microsoft 973811 Poradce pro zabezpečení.

Další informace

Tato aktualizace zabezpečení upravuje rozhraní SSPI (Security Support Provider Interface) a vylepšuje způsob, jakým funguje ověřování systému Windows, aby se přihlašovací údaje při povolení IWA nepřesílaly.

Pokud je povolená služba EPA, jsou žádosti o ověření vázány jak na hlavní názvy služby (SPN) serveru, ke kterému se klient pokouší připojit, tak k vnějšímu kanálu TLS (Transport Layer Security), přes který probíhá ověřování IWA.

Aktualizace přidá novou položku registru pro správu rozšířené ochrany:

  • Nastavte hodnotu registru SuppressExtendedProtection .

    Klíč registru

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Hodnota

    SuppressExtendedProtection

    Typ

    REG_DWORD

    Data

    0 Umožňuje technologii ochrany.
    1 Rozšířená ochrana je zakázaná.
    3 Rozšířená ochrana je zakázaná a vazby kanálů odesílané protokolem Kerberos jsou také zakázány, i když je aplikace poskytuje.

    Výchozí hodnota: 0x0

    Poznámka Problém, ke kterému dochází při povolení protokolu EPA ve výchozím nastavení, je popsán v tématu Selhání ověřování ze serverů NTLM nebo Kerberos jiného systému než Windows na webu Microsoft.

  • Nastavte hodnotu LmCompatibilityLevel registru.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel3. Toto je existující klíč, který umožňuje ověřování NTLMv2. PROTOKOL EPA se vztahuje pouze na ověřovací protokoly NTLMv2, Kerberos, digest a vyjednávání a nevztahuje se na protokol NTLMv1.

Poznámka Po nastavení hodnot registru SuppressExtendedProtection a LmCompatibilityLevel v počítači se systémem Windows je nutné restartovat počítač.

Povolit rozšířenou ochranu

Poznámka Ve výchozím nastavení jsou ve všech podporovaných verzích systému Windows povoleny rozšířené ochrany i protokol NTLMv2. V tomto průvodci můžete ověřit, jestli tomu tak je.

Důležité Tato část, metoda nebo úloha obsahuje kroky, které vám poví, jak upravit registr. Pokud však registr upravíte nesprávně, může dojít k vážným problémům. Proto se ujistěte, že tyto kroky postupujete pečlivě. Chcete-li přidat ochranu, zálohujte registr před jeho úpravou. Pak můžete registr obnovit, pokud dojde k problému. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft:

  • KB322756 Jak zálohovat a obnovit registr ve Windows

Pokud chcete rozšířenou ochranu povolit sami po stažení a instalaci aktualizace zabezpečení pro vaši platformu, postupujte takto:

  1. Spusťte Editor registru. Uděláte to tak, že kliknete na Start, kliknete na Spustit, do pole Otevřít zadáte regedit a pak kliknete na OK.

  2. Vyhledejte následující podklíč registru a klikněte na ho:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Ověřte, že jsou k dispozici hodnoty registru SuppressExtendedProtection a LmCompatibilityLevel .

    Pokud hodnoty registru nejsou k dispozici, vytvořte je následujícím postupem:

    1. S vybraným podklíčem registru, který je uveden v kroku 2, přejděte v nabídce Úpravy na Nový a potom klikněte na Hodnota DWORD.

    2. Zadejte SuppressExtendedProtection a stiskněte klávesu Enter.

    3. S vybraným podklíčem registru, který je uveden v kroku 2, přejděte v nabídce Úpravy na Nový a potom klikněte na Hodnota DWORD.

    4. Zadejte LmCompatibilityLevel a stiskněte klávesu Enter.

  4. Kliknutím vyberte hodnotu registru SuppressExtendedProtection .

  5. V nabídce Úpravy klikněte na Změnit.

  6. Do pole Údaj hodnoty zadejte 0 a klikněte na OK.

  7. Kliknutím vyberte hodnotu registru LmCompatibilityLevel .

  8. V nabídce Úpravy klikněte na Změnit.

    Poznámka Tento krok změní požadavky na ověřování NTLM. Projděte si následující článek ve znalostní bázi Microsoft Knowledge Base a ujistěte se, že jste s tímto chováním obeznámeni.

    KB239869 Povolení ověřování NTLM 2

  9. Do pole Údaj hodnoty zadejte 3 a klikněte na OK.

  10. Ukončete Editor registru.

  11. Pokud tyto změny provedete na počítači se systémem Windows, je nutné restartovat počítač před tím, než se změny projeví.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×