Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Introduktion

Microsoft annoncerer tilgængeligheden af en ny funktion, Extended Protection for Authentication (EPA), på Windows-platformen. Denne funktion forbedrer beskyttelsen og håndteringen af legitimationsoplysninger, når du godkender netværksforbindelser ved hjælp af integreret Windows-godkendelse (IWA).

Selve opdateringen giver ikke direkte beskyttelse mod specifikke angreb som videresendelse af legitimationsoplysninger, men giver mulighed for, at applikationer kan tilmelde sig EPA. Denne vejledning orienterer udviklere og systemadministratorer om denne nye funktionalitet, og hvordan den kan installeres for at beskytte legitimationsoplysninger til godkendelse.

Du kan få mere at vide under Microsoft Security Advisory-973811.

Flere oplysninger

Denne sikkerhedsopdatering ændrer SSPI (Security Support Provider Interface) for at forbedre den måde, Windows-godkendelse fungerer på, så legitimationsoplysninger ikke let videresendes, når IWA er aktiveret.

Når EPA er aktiveret, er godkendelsesanmodninger bundet til både SERVICE Principal Names (SPN) for den server, klienten forsøger at oprette forbindelse til og til den ydre TLS-kanal (Transport Layer Security), hvor IWA-godkendelsen forekommer.

Opdateringen tilføjer en ny post i registreringsdatabasen for at administrere Udvidet beskyttelse:

  • Angiv registreringsdatabasen SuppressExtendedProtection-værdien .

    Registreringsdatabasenøgle

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Værdi

    SuppressExtendedProtection

    Type

    REG_DWORD

    Data

    0 Aktiverer beskyttelsesteknologi.
    1 Udvidet beskyttelse er deaktiveret.
    3 Udvidet beskyttelse er deaktiveret, og kanalbindinger, der sendes af Kerberos, deaktiveres også, selvom programmet leverer dem.

    Standardværdi: 0x0

    Bemærk! Et problem, der opstår, når EPA er aktiveret som standard, er beskrevet i emnet Godkendelsesfejl fra ikke-Windows NTLM- eller Kerberos-servere på Microsoft websted.

  • Angiv værdien LmCompatibilityLevel i registreringsdatabasen.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel til 3. Dette er en eksisterende nøgle, der aktiverer NTLMv2-godkendelse. EPA gælder kun for NTLMv2-, Kerberos-, digest- og forhandlingsgodkendelsesprotokoller og gælder ikke for NTLMv1.

Bemærk! Du skal genstarte computeren, når du har angivet registreringsdatabaseværdierne SuppressExtendedProtection og LmCompatibilityLevel på en Windows-computer.

Aktivér udvidet beskyttelse

Bemærk! Udvidet beskyttelse og NTLMv2 er som standard begge aktiveret i alle understøttede versioner af Windows. Du kan bruge denne vejledning til at bekræfte, at det er tilfældet.

Vigtigt! Dette afsnit, denne metode eller denne opgave indeholder trin, der fortæller dig, hvordan du redigerer registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis du redigerer registreringsdatabasen forkert. Derfor skal du sørge for at følge disse trin omhyggeligt. Du kan få ekstra beskyttelse ved at sikkerhedskopiere registreringsdatabasen, før du redigerer den. Derefter kan du gendanne registreringsdatabasen, hvis der opstår et problem. Flere oplysninger om, hvordan du sikkerhedskopier og gendanner registreringsdatabasen, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

  • KB322756 Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows

Hvis du selv vil aktivere Udvidet beskyttelse, når du har downloadet og installeret sikkerhedsopdateringen til din platform, skal du følge disse trin:

  1. Start Registreringseditor. Det gør du ved at klikke på Start, klikke på Kør, skrive regedit i feltet Åbn og derefter klikke på OK.

  2. Find og klik derefter på følgende undernøgle i registreringsdatabasen:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Kontrollér, at registreringsdatabaseværdierne SuppressExtendedProtection og LmCompatibilityLevel er til stede.

    Hvis registreringsdatabaseværdierne ikke findes, skal du følge disse trin for at oprette dem:

    1. Med den undernøgle i registreringsdatabasen, der er angivet i trin 2 markeret, skal du pege på Ny i menuen Rediger og derefter klikke på DWORD-værdi.

    2. Skriv SuppressExtendedProtection, og tryk derefter på Enter.

    3. Med den undernøgle i registreringsdatabasen, der er angivet i trin 2 markeret, skal du pege på Ny i menuen Rediger og derefter klikke på DWORD-værdi.

    4. Skriv LmCompatibilityLevel, og tryk derefter på Enter.

  4. Klik for at vælge registreringsdatabaseværdien SuppressExtendedProtection .

  5. Klik på Rediger i menuen Rediger.

  6. Skriv 0 i feltet Værdidata, og klik derefter på OK.

  7. Klik for at vælge registreringsdatabaseværdien LmCompatibilityLevel .

  8. Klik på Rediger i menuen Rediger.

    Bemærk Dette trin ændrer kravene til NTLM-godkendelse. Læs følgende artikel i Microsoft Knowledge Base for at sikre, at du kender denne funktionsmåde.

    KB239869 Sådan aktiveres NTLM 2-godkendelse

  9. Skriv 3 i feltet Værdidata, og klik derefter på OK.

  10. Afslut Registreringseditor.

  11. Hvis du foretager disse ændringer på en Windows-computer, skal du genstarte computeren, før ændringerne træder i kraft.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×