Beskrivelse af opdateringen, som implementerer udvidet beskyttelse ved godkendelse i servertjenesten

I denne artikel beskrives en ikke-sikkerhedsrelateret opdatering, som implementerer udvidet beskyttelse ved godkendelse i servertjenesten.

Hvis udvidet beskyttelse af godkendelse er aktiveret, bindes godkendelsesanmodninger til SPN (Service Principal Name) for den server, som klienten forsøger at oprette forbindelse til.

Hvis du vil have adgang til at bruge de funktioner, der er indeholdt i denne opdatering, skal Windows 7, Windows 2008 R2 eller opdatering 968389 være installeret på computeren.Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

968389 Udvidet beskyttelse i forbindelse med godkendelse

INTRODUKTION

Oplysninger om opdatering

Den engelske (USA) version af denne opdatering installerer filer med de filattributter, der findes i følgende tabeller. Datoerne og klokkeslættene for disse filer er angivet i UTC-format (Universal Time Coordinates). Datoerne og klokkeslættene for filerne vises på din lokale computer i den lokale tid med din aktuelle indstilling for sommertid. Datoerne og klokkeslættene kan desuden blive ændret, når du udfører bestemte handlinger på filerne.

Bemærkninger til filoplysninger for Windows XP og Windows Server 2003

  • De filer, der gælder for en bestemt servicegren (QFE, GDR), er angivet i kolonnen "Servicegren".

  • GDR-servicegrene indeholder kun de programrettelser, der er alment tilgængelige og udgivet til at løse kendte, meget alvorlige problemer. QFE-servicegrene indeholder både hotfix og alment tilgængelige programrettelser.

  • Ud over de filer, der er angivet i disse tabeller, installerer denne opdatering også en tilhørende sikkerhedskatalogfil (KBnummer.cat), som signeres med en digital Microsoft-signatur.

Alle understøttede x86-baserede versioner af Windows XP SP3

Alle understøttede x86-baserede versioner af Windows Server 2003 SP2

Alle understøttede x64-baserede versioner af Windows Server 2003 SP2

Alle understøttede IA-64-baserede versioner af Windows Server 2003 SP2

Note om filoplysninger for Windows Vista og Windows Server 2008

  • Filversionsnummeret angiver, hvilke filer der gælder for et bestemt produkt, SR_Level (RTM, SPn), og en bestemt servicegren (LDR, GDR), som vist i følgende tabel.

    Version

    Produkt

    SR-niveau

    Servicegren

    6.0.600 0.16xxx

    Windows Vista

    RTM

    GDR

    6.0.600 0.20xxx

    Windows Vista

    RTM

    LDR

    6.0.600 1.18xxx

    Windows Vista og Windows Server 2008

    SP1

    GDR

    6.0.600 1.22xxx

    Windows Vista og Windows Server 2008

    SP1

    LDR

    6.0.600 2.18xxx

    Windows Vista og Windows Server 2008

    SP2

    GDR

    6.0.600 2.22xxx

    Windows Vista og Windows Server 2008

    SP2

    LDR

  • GDR-servicegrene indeholder kun de programrettelser, der er alment tilgængelige og udgivet til at løse kendte, meget alvorlige problemer. LDR-servicegrene indeholder både hotfixes og alment tilgængelige programrettelser.

  • Service Pack 1 er integreret i originalversionen af Windows Server 2008. Derfor gælder filerne for RTM-milepælen kun for Windows Vista. Filer for RTM-milepælen har et versionsnummer af typen 6.0.0000.xxxxx.

  • De MANIFEST-filer (.manifest) og MUM-filer (.mum), der installeres i de enkelte miljøer, er angivet separat i afsnittet "Oplysninger om flere filer til Windows Server 2008 og Windows Vista". MUM- og MANIFEST-filer og de tilhørende sikkerhedskatalogfiler (.cat) er afgørende for at kunne vedligeholde tilstanden for de opdaterede komponenter. Sikkerhedskatalogfiler, hvor attributterne ikke er angivet, signeres med en digital Microsoft-signatur.

Alle understøttede x86-baserede versioner af Windows Server 2008 og Windows Vista

Alle understøttede x64-baserede versioner af Windows Server 2008 og Windows Vista

Alle understøttede IA-64-baserede versioner af Windows Server 2008

Oplysninger om flere filer til Windows Vista og Windows Server 2008

Flere filer til alle understøttede x86-baserede versioner af Windows Vista og Windows Server 2008
Flere filer til alle understøttede x64-baserede versioner af Windows Vista og Windows Server 2008
Yderligere filer for alle understøttede IA-64-baserede versioner af Windows Server 2008
Note om filoplysninger for Windows 7 og Windows Server 2008 R2
  • Filversionsnummeret angiver, hvilke filer der gælder for et bestemt produkt, en bestemt milepæl (RTM, SPn) og en bestemt servicegren (LDR, GDR), som vist i følgende tabel:

    Version

    Produkt

    Milepæl

    Servicegren

    6.1.760 0,16xxx

    Windows 7 og Windows Server 2008 R2

    RTM

    GDR

    6.1.760 0.20xxx

    Windows 7 og Windows Server 2008 R2

    RTM

    LDR

  • GDR-servicegrene indeholder kun de programrettelser, der er alment tilgængelige og udgivet til at løse kendte, meget alvorlige problemer. LDR-servicegrene indeholder både hotfixes og alment tilgængelige programrettelser.

  • De MANIFEST-filer (.manifest) og MUM-filer (.mum), der installeres i de enkelte miljøer, er angivet separat i afsnittet "Oplysninger om flere filer til Windows Server 2008 R2 og Windows 7". MUM- og MANIFEST-filer og de tilhørende sikkerhedskatalogfiler (.cat) er afgørende for at kunne vedligeholde tilstanden for de opdaterede komponenter. Sikkerhedskatalogfiler, hvor attributterne ikke er angivet, signeres med en digital Microsoft-signatur.

Alle understøttede x86-baserede versioner af Windows 7
Alle understøttede x64-baserede versioner af Windows 7 og Windows Server 2008 R2
Alle understøttede IA-64-baserede versioner af Windows Server 2008 R2

Oplysninger om flere filer til Windows 7 og Windows Server 2008 R2

Flere filer til alle understøttede x86-baserede versioner af Windows 7
Flere filer til alle understøttede x64-baserede versioner af Windows 7 og Windows Server 2008 R2
Yderligere filer for alle understøttede IA-64-baserede versioner af Windows Server 2008 R2

Yderligere Information

Flere oplysninger om denne opdatering

  • Hvad er udvidet beskyttelse?

    Denne sikkerhedsopdatering indeholder en rettelse med dybtgående beskyttelse, som gør det muligt at anvende udvidet beskyttelse på SMB-serveren. Denne funktion er deaktiveret som standard. For at sikre at du kender konsekvenserne af disse ændringer, skal du læse denne artikel og følge sikkerhedsanvisningerne nøje. De indeholder en detaljeret beskrivelse af udvidet beskyttelse:

    973811 Microsoft Security Advisory: Udvidet beskyttelse ved godkendelse

  • Hvordan aktiverer jeg udvidet beskyttelse på computeren?

    Før du aktiverer udvidet beskyttelse, skal du kontrollere, at følgende opdatering er installeret både på klient- og servercomputerne:

    968389 Udvidet beskyttelse i forbindelse med godkendelseFor at aktivere udvidet beskyttelse ved godkendelse i servertjenesten skal du sikre, at denne opdatering installeres på serveren.

    Bemærk!

    • Den indstilling, der aktiverer udvidet beskyttelse på klientsiden, er en indstilling, der gælder for hele systemet. Når indstillingen aktiveres, aktiveres udvidet beskyttelse for alle komponenter på klientcomputeren.

    • På en server skal udvidet beskyttelse aktiveres individuelt for den enkelte komponent. Kontrollér, at alle klientkomponenter til en bestemt server opdateres til udvidet beskyttelse, før aktivering på serveren. Ellers kan der opstå fejl i godkendelsen. Når du har installeret begge opdateringer, skal du aktivere udvidet beskyttelse på klientcomputeren og servercomputeren.

    Følgende ændringer er påkrævet, før du kan aktivere udvidet beskyttelse på computeren:

    Vigtigt! I det følgende kan du se, hvordan du redigerer registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Du skal derfor være meget omhyggelig med at følge den angivne fremgangsmåde. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

    322756 Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows

    • Hvis computeren er en SMB-klient:

      Kontrollér, at værdierne SuppressExtendedProtection og LmCompatibilityLevel er angivet i følgende undernøgle i registreringsdatabasen:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSAHvis værdierne ikke findes i registreringsdatabasen, skal du benytte følgende fremgangsmåde for at oprette dem:

      1. Start Registreringseditor.

      2. Find følgende undernøgle i registreringsdatabasen, og klik på den:

        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

      3. Peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.

      4. Skriv SuppressExtendedProtection, og tryk derefter på Enter.

      5. Klik på Rediger i menuen Rediger.

      6. Skriv 0, og klik derefter på OK.

      7. Peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.

      8. Skriv LmCompatibilityLevel, og tryk derefter på Enter.

      9. Klik på Rediger i menuen Rediger.

        Bemærk! Med denne fremgangsmåde ændres kravene til NTLM-godkendelse. Før du ændrer en NTLM-godkendelsesanmodning, skal du sikre, at du kender funktionsmåden. Du kan finde flere oplysninger i artikel 239869 i Microsoft Knowledge Base (http://support.microsoft.com/kb/239869/ ): "Sådan aktiveres NTLM 2-godkendelse". Artiklen er evt. på engelsk.

      10. Skriv 3, og klik derefter på OK.

      11. Afslut Registreringseditor.

    • På en SMB-server:

      Før du angiver beskyttelsesfremmende tilstande, skal du læse følgende MSDN-artikel:

      http://msdn.microsoft.com/da-dk/library/dd767318.aspxBenyt følgende fremgangsmåde for at angive beskyttelsesfremmende tilstande på en SMB-server:

      1. Start Registreringseditor.

      2. Find følgende undernøgle i registreringsdatabasen, og klik på den:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

      3. Peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.

      4. Skriv SmbServerNameHardeningLevel, og tryk derefter på Enter.

      5. Klik på Rediger i menuen Rediger.

      6. Angiv en af følgende værdier i registreringsdatabasen, afhængigt af kravene til SMB-serveren, og klik derefter på OK:

        • Legacy: Tillad alle typer klienter. Indstil SmbServerNameHardeningLevel til 0.

        • Partial (Legacy + EP): Tillad klienter, som ikke sender noget SPN-navn (Service Principal Name), eller tillad klienter, som sender det korrekte SPN-navn. Indstil SmbServerNameHardeningLevel til 1.

        • Fully Hardened (kun EP): Tillad klienter, som sender det korrekte SPN-navn. Indstil SmbServerNameHardeningLevel til 2.

      7. Afslut Registreringseditor.

      På Windows XP-, Windows Server 2003-, Windows Vista- og Windows 2008-platforme træder denne indstilling ikke i kraft, før computeren er blevet genstartet.

  • Når du installerer denne pakke

    Standardværdien for SmbServerNameHardeningLevel er 0. Du skal oprette denne nøgle manuelt og angive den relevante værdi på baggrund af den valgte beskyttelsesfremmende tilstand. Du kan tilføje værdien i registreringsdatabasen ved at benytte den fremgangsmåde, der er beskrevet under "Hvordan aktiverer jeg udvidet beskyttelse på computeren?" tidligere i denne artikel.

    • Følgende SPN-navne er tilladt som standard på en SMB-server:

      • SMB-serveren tillader som standard følgende navne og IP-versioner:

        • "localhost" som en streng på engelsk

        • Alle varianter af IP (IPv4 og IPv6) for din egen server eller computer

        • 127.0.0.1 & ::1

        • Værtsnavn i NetBIOS-format

        • Værtsnavn i FQDN-format

        • (Kun Failover-klyngenoder) Klyngeværtsnavn i NetBIOS-format

        • (Kun Failover-klyngenoder) Klyngeværtsnavn i FQDN-format

      • Hvis administratoren vælger at tillade andre SPN-navne, kan vedkommende tilføje flere navne ved at benytte nedenstående fremgangsmåde. Navnet konverteres ikke fra NetBIOS til FQDN eller fra FQDN til NetBIOS.

        Hvis du vil tilføje flere navne, skal du benytte følgende fremgangsmåde:

        1. Start Registreringseditor.

        2. Find følgende undernøgle i registreringsdatabasen, og klik på den:

          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

        3. Peg på Ny i menuen Rediger, og klik på Multistrengværdi.

        4. Skriv SrvAllowedServerNames, og tryk derefter på ENTER.

        5. Klik på Rediger i menuen Rediger.

        6. Tilføj værtsnavnene i FQDN-format, værtsnavne i NetBIOS format eller de IP-adresser, der skal tillades som SPN'er, og klik derefter på OK.

        7. Afslut Registreringseditor.

      • Kun på Windows Server 2003 forespørger serveren på IPV6-adresserne og optæller dem.

        Der vil være en forsinkelse mellem det tidspunkt, hvor en computers IPv6-adresse ændres, og det tidspunkt, hvor en SMB-server accepterer forbindelser på den nye IPv6-adresse, hvis serveren er hærdet. Maksimumværdien for denne forsinkelse styres af polling-intervallet. Det styres af registreringsdatabaseværdien IPv6Polltime og antager standarden 5 minutter, hvis intet er angivet.

        Benyt følgende fremgangsmåde for at indstille pollingintervallet for IPv6-adresser:

        1. Start Registreringseditor.

        2. Find følgende undernøgle i registreringsdatabasen, og klik på den:

          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

        3. Peg på Ny i menuen Rediger, og klik derefter på DWORD-værdi.

        4. Skriv IPv6Polltime, og tryk derefter på Enter.

        5. Klik på Rediger i menuen Rediger.

        6. Indstil registrereingsdatabaseværdien til den ønskede timeout i minutter, og klik derefter på OK.

        7. Afslut Registreringseditor.

        Denne funktionsmåde gælder ikke, hvis du tilgår SMB-serveren via IPv4-adresser, NetBIOS-værtsnavne eller FQDN-værtsnavne.

SPN-overvågning

  • På Windows 7 og Windows Server 2008 R2 genereres SPN-accept- og afvisningshændelser i sikkerhedshændelsesloggen i henhold til serverens overvågningspolitik for Objektadgang (eller Objektadgang\Overvåg filshare i konfigurationen af avanceret overvågningspolitik). Som standard er overvågning af disse hændelser deaktiveret for både accept go afvisning på disse platforme.

    SPN-overvågningsposter har hændelses-id 5168 og et format, der ligner det følgende:

    Spn check for SMB/SMB2 fails. Emne: Sikkerheds-id:         <Sid> -kontonavn:        <Konto>  Kontodomæne:      <Domæne>  Logon-id:            <LUID>  SPN: SPN-navn:            <SPN>  Fejlkode:          <Status>  Serveroplysninger: Servernavne:        <liste over registrerede navne>  Konfigurerede navne:    <liste over konfigurerede navne>  IP-adresser:        <liste over alle computer-IP-adresser> 
  • På Windows Vista, Windows Server 2008, Windows XP og Windows Server 2003 logføres kun SPN-fejlhændelser, uanset den konfigurerede overvågningspolitik på serveren.

    Hvis godkendelse mislykkes på disse platforme på en hærdet server pga. en afvist SPN, logføres der en advarsel med hændelses-id 2028 i systemloggen i følgende format:

    Godkendelse mislykkedes for SMB v( <protokolnr.> ). Serveren regsistrerede ugyldig eller NULL SPN ( <SPN> ) under godkendelse af SPN på hærdet niveau ( <hærdningsniveau> ) 

Fejlfinding

  • Forekomsten af "NULL" SPN i hændelsesloggen kan betyde, at den pakke, der er beskrevet i Knowledge Base-artikel 973811, ikke er installeret på klienten. Hvis 973811 er installeret på klienten, er registrereingsdatabaseværdien SuppressExtendedProtection muligvis ikke indstillet korrekt.

  • Hvis du ikke kan få adgang til en hærdet computer vha. et "forventet" navn, f.eks. et alias, skal du kontrollere, at aliasset findes i registreringsdatabaseværdien SrvAllowedServerNames. Du kan finde oplysninger om, hvordan du gør dette, i afsnittet "Når du installerer denne pakke".

Ikke-understøttede scenarier

  • Du kan ikke åbne en SMB-server ved hjælp af et aliasnavn. Du skal tilføje aliasnavnet i værdien SrvAllowedServerNames i registreringsdatabasen. Du kan finde oplysninger om, hvordan du gør dette, i afsnittet "Når du installerer denne pakke".

  • På computere, der kører Windows XP med simpel fildeling aktiveret, er filer ikke længere tilgængelige, efter at du ændrer SmbServerNameHardeningLevel til 2.

    Bemærk! Simpel fildeling er som standard aktiveret på alle Windows XP-systemer, der ikke er knyttet til et domæne.Følg de relevante trin for at løse problemet:

    1. Indstil SmbServerNameHardeningLevel til 0 eller 1 for fortsat at tillade anonyme forbindelser til SMB-serveren.

    2. Kun Windows XP Professional og Windows XP 64-Bit Edition

      Deaktiver simpel fildeling, og kræv godkendelse for at åbne filer. Du kan finde flere oplysninger om, hvordan du deaktiverer simpel fildeling på Windows XP Professional, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

      307874 Sådan deaktiveres enkel fildeling, og sådan tildeles tilladelser til en delt mappe i Windows XP

  • Tjenester, der kører i LocalService-kontoen eller som på anden måde forsøger at oprette en anonym forbindelse til en server, hvor SmbServerNameHardeningLevel er indstillet til 2 (fully hardened), mislykkes.

    Følg nedenstående trin for at løse problemet:

    • I de tilfælde, hvor begge computere er tilknyttet samme domæne eller domæner, der er tillid til, skal du køre påvirkede tjenester fra kontoen NetworkService og påvirkede programmer fra domænebrugerkonti.

    • I tilfælde uden domæner skal du indstille SmbServerNameHardeningLevel til 0 eller 1 på serveren.

  • Adgang til hærdede SMB-servershare vha. IPv6-adresser med et område/zone-id understøttes ikke.

    Bemærk! Adgang til hærdet SMB-server vha. FQDN-værtsnavn eller NetBIOS-værtsnavn med IPv6 som transport påvirkes ikke.For at løse problemet kan du tilføje den relevante IPv6-adresse uden område/zone-id, f.eks. delen "%xx", i registreringsdatabasenøglen SrvAllowedServerNames. Du kan finde oplysninger om, hvordan du gør dette, i afsnittet "Når du installerer denne pakke".

  • Adgang til hærdet SMB-server fra SMB-klientimplementeringer, der ikke understøtter udvidet beskyttelse/SPN, understøttes ikke.

  • Windows 2000-baserede computere kan ikke få adgang til SMB-servere, hvor SmbServerNameHardeningLevel er indstillet til 1 eller 2.

    Windows 2000-baserede klienter sender et forkert SPN-navn ved godkendelse til en SMB-server vha. Kerberos-protokollen. For at løse dette problem, skal du tilføje poster på serverens SrvAllowedServerNames liste i formatet HOST/alias for alle serverværtsnavn i NetBIOS-format, for alle serverværtsnavn i FQDN-format og for alle server-IP-adresser, der skal være tilgængelige for Windows 2000-baserede computere. Du kan finde oplysninger om, hvordan du gør dette, i afsnittet "Når du installerer denne pakke".

  • Ældre klienter, f.eks. Windows NT 4.0 og tidligere, kan ikke få adgang til SMB-servere, hvor SmbServerNameHardeningLevel er 1 eller 2.

    For at beskytte SMB-servere mod videresendelse af legitimationsoplysninger, skal SMB-klienter understøtte GSS-godkendelse (RFC2743) for at kunne få adgang til SMB-servere, hvor SmbServerNameHardeningLevel er indstillet til 1 eller 2. (Windows 2000 og nyere versioner af Windows understøtter GSS-godkendelse via SMB).

    På SMB-servere, som skal tilgås af klienter, der ikke understøtter GSS-understøttelse, skal SmbServerNameHardeningLevel være indstillet til standarden 0.

Referencer

Har du brug for mere hjælp?

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Deltag i Microsoft insiders

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×