Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Einführung

Microsoft kündigt die Verfügbarkeit eines neuen Features, des erweiterten Schutzes für die Authentifizierung (EPA), auf der Windows-Plattform an. Diese Funktion verbessert den Schutz und die Handhabung von Anmeldeinformationen bei der Authentifizierung von Netzwerkverbindungen mit Hilfe der integrierten Windows-Authentifizierung (IWA). Das Update selbst bietet keinen direkten Schutz vor bestimmten Angriffen wie der Weiterleitung von Anmeldeinformationen, ermöglicht es jedoch Anwendungen, sich für EPA anzumelden. Dieser Hinweis informiert Entwickler und Systemadministratoren über diese neue Funktionalität und wie sie zum Schutz von Authentifizierungsdaten eingesetzt werden kann. Weitere Informationen finden Sie unter Microsoft-Sicherheitsempfehlung 973811.

Weitere Informationen

Dieses Sicherheitsupdate ändert das Security Support Provider Interface (SSPI), um die Funktionsweise der Windows-Authentifizierung so zu verbessern, dass Anmeldeinformationen nicht einfach weitergeleitet werden, wenn IWA aktiviert ist. Wenn EPA aktiviert ist, werden Authentifizierungsanfragen sowohl an die Dienstprinzipalnamen (SPN) des Servers, mit dem der Client eine Verbindung herzustellen versucht, als auch an den äußeren Transport Layer Security (TLS)-Kanal gebunden, über den die IWA-Authentifizierung erfolgt.

Das Update fügt einen neuen Registrierungseintrag zum Verwalten des erweiterten Schutzes hinzu:

  • Legen Sie den Registrierungswert SuppressExtendedProtection fest.

    Registrierungsschlüssel

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Wert

    SuppressExtendedProtection

    Typ

    REG_DWORD

    Daten

    0 Aktiviert die Schutztechnologie.1 Erweiterter Schutz ist deaktiviert.3 Der erweiterte Schutz ist deaktiviert, und von Kerberos gesendete Kanalbindungen sind ebenfalls deaktiviert, auch wenn sie von der Anwendung bereitgestellt werden.

    Standardwert: 0x0

    Hinweis Ein Problem, das auftritt, wenn EPA standardmäßig aktiviert ist, wird im Thema Authentifizierungsfehler von Nicht-Windows-NTLM- oder Kerberos-Servernauf der Microsoft-Website beschrieben.

  • Legen Sie den Wert für die Registrierung LmCompatibilityLevel fest.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel auf3. Dies ist ein vorhandener Schlüssel, der die NTLMv2-Authentifizierung aktiviert. EPA gilt nur für NTLMv2-, Kerberos-, Digest- und Aushandlungs-Authentifizierungsprotokolle und gilt nicht für NTLMv1.

Hinweis Sie müssen den Computer neu starten, nachdem Sie die Registrierungswerte SuppressExtendedProtection und LmCompatibilityLevel auf einem Windows-Computer festgelegt haben.

Erweiterten Schutz aktivieren

Hinweis Standardmäßig sind der erweiterte Schutz und NTLMv2 in allen unterstützten Versionen von Windows aktiviert. Mithilfe dieses Leitfadens können Sie überprüfen, ob dies der Fall ist.

Wichtig Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

  • KB322756 Sichern und Wiederherstellen der Registrierung in Windows

Führen Sie die folgenden Schritte aus, um den erweiterten Schutz selbst zu aktivieren, nachdem Sie das Sicherheitsupdate für Ihre Plattform heruntergeladen und installiert haben:

  1. Starten Sie den Registrierungs-Editor. Klicken Sie hierzu auf Start, klicken Sie auf Ausführen, geben Sie regedit in das Feld Öffnen ein, und klicken Sie dann auf OK.

  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Überprüfen Sie, ob die Registrierungswerte SuppressExtendedProtection und LmCompatibilityLevel vorhanden sind. Wenn die Registrierungswerte nicht vorhanden sind, führen Sie die folgenden Schritte aus, um sie zu erstellen:

    1. Zeigen Sie bei ausgewähltem Registrierungsunterschlüssel, der in Schritt 2 aufgeführt ist, im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.

    2. Geben Sie SuppressExtendedProtectionein, und drücken Sie dann die EINGABETASTE.

    3. Zeigen Sie bei ausgewähltem Registrierungsunterschlüssel, der in Schritt 2 aufgeführt ist, im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.

    4. Geben Sie LmCompatibilityLevelein, und drücken Sie dann die EINGABETASTE.

  4. Klicken Sie, um den Registrierungswert SuppressExtendedProtection auszuwählen.

  5. Klicken Sie im Menü Bearbeiten auf Ändern.

  6. Geben Sie in das Datenfeld Wert den Wert 0 ein, und klicken Sie dann auf OK.

  7. Klicken Sie, um den Registrierungswert LmCompatibilityLevel auszuwählen.

  8. Klicken Sie im Menü Bearbeiten auf Ändern.Hinweis Dieser Schritt ändert die NTLM-Authentifizierungsanforderungen. Lesen Sie den folgenden Artikel in der Microsoft Knowledge Base, um sicherzustellen, dass Sie mit diesem Verhalten vertraut sind.

    KB239869 Aktivieren der NTLM 2-Authentifizierung

  9. Geben Sie im FeldWertdaten3ein, und klicken Sie dann auf OK.

  10. Beenden Sie den Registrierungs-Editor.

  11. Wenn Sie diese Änderungen auf einem Windows-Computer vornehmen, müssen Sie den Computer neu starten, bevor die Änderungen wirksam werden.

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.