Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Sissejuhatus

Microsoft annab windowsi platvormil ülevaate uue funktsiooni laiendatud autentimiskaitse (EPA) kättesaadavusest. See funktsioon parandab identimisteabe kaitset ja töötlemist võrguühenduste autentimisel integreeritud Windowsi autentimise (IWA) abil.

Värskendus ise ei paku otse kaitset konkreetsete rünnakute eest, nagu identimisteabe edastamine, kuid võimaldab rakendustel nõustuda EPA-ga. See nõuandla annab arendajatele ja süsteemiadministraatoritele ülevaate sellest uuest funktsioonist ja sellest, kuidas seda saab autentimisteabe kaitsmiseks juurutada.

Lisateavet leiate Microsoft turbenõuandla 973811.

Lisateave

Turbevärskendus muudab turbetoe pakkuja liidest (SSPI), et täiustada Windowsi autentimise tööviisi nii, et identimisteavet ei edastataks hõlpsalt, kui IWA on lubatud.

Kui EPA on lubatud, on autentimistaotlused seotud nii selle serveri teenusesubjektide nimedega (SPN), millega klient proovib ühendust luua, kui ka välisele transpordikihi turbe (TLS) kanalile, mille kaudu IWA autentimine toimub.

Värskendus lisab laiendatud kaitse haldamiseks uue registrikirje:

  • Määrake registri SuppressExtendedProtection väärtus.

    Registrivõti

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Väärtus

    SuppressExtendedProtection

    Tüüp

    REG_DWORD

    Andmed

    0 Lubab kaitsetehnoloogia.
    1 Laiendatud kaitse on keelatud.
    3 Laiendatud kaitse on keelatud ja Kerberose saadetud kanaliköited keelatakse ka siis, kui rakendus need tarnib.

    Vaikeväärtus: 0x0

    Märkus Probleemi, mis ilmneb, kui EPA on vaikimisi lubatud, on kirjeldatud Microsoft veebisaidi teemas Autentimistõrge mitte-Windows NTLM-ist või Kerberose serveritest.

  • Määrake registri LmCompatibilityLevel väärtus.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel kuni 3. See on olemasolev võti, mis lubab NTLMv2 autentimise. EPA kehtib ainult NTLMv2, Kerberose, digesti ja läbirääkimiste autentimise protokollide kohta ning ei kehti NTLMv1 kohta.

Märkus Pärast Windowsi arvutis registriväärtuste SuppressExtendedProtection ja LmCompatibilityLevel määramist peate arvuti taaskäivitama.

Laiendatud kaitse lubamine

Märkus Laiendatud kaitse ja NTLMv2 on vaikimisi kõigis Windowsi toetatud versioonides lubatud. Selle juhendi abil saate kontrollida, kas see on nii.

Tähtis See jaotis, meetod või ülesanne sisaldab etappe, mis annavad teile teada, kuidas registrit muuta. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Seetõttu veenduge, et järgite neid juhiseid hoolikalt. Täiendava kaitse saamiseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake teabebaasi Microsoft artikli kuvamiseks järgmist artiklinumbrit.

  • KB322756 Registri varundamine ja taastamine Windowsis

Kui soovite laiendatud kaitse pärast oma platvormi turbevärskenduse allalaadimist ja installimist ise lubada, tehke järgmist.

  1. Käivitage registriredaktor. Selleks klõpsake nuppu Start, siis käsku Käivita, tippige väljale Ava käsk regedit ja seejärel klõpsake nuppu OK.

  2. Otsige üles järgmine registri alamvõti ja klõpsake seda:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Veenduge, et registriväärtused SuppressExtendedProtection ja LmCompatibilityLevel oleksid olemas.

    Kui registriväärtusi pole, tehke nende loomiseks järgmist.

    1. Kui registri alamvõti on loetletud juhises 2, osutage menüüs Redigeeri käsule Uus ja seejärel klõpsake käsku DWORD-väärtus.

    2. Tippige tekst SuppressExtendedProtection ja vajutage sisestusklahvi (Enter).

    3. Kui registri alamvõti on loetletud juhises 2, osutage menüüs Redigeeri käsule Uus ja seejärel klõpsake käsku DWORD-väärtus.

    4. Tippige tekst LmCompatibilityLevel ja vajutage sisestusklahvi (Enter).

  4. Klõpsake registriväärtuse SuppressExtendedProtection valimiseks.

  5. Klõpsake menüü Redigeeri käsku Muuda.

  6. Tippige väljale Väärtuseandmedväärtus 0 ja seejärel klõpsake nuppu OK.

  7. Klõpsake registriväärtuse LmCompatibilityLevel valimiseks.

  8. Klõpsake menüü Redigeeri käsku Muuda.

    Märkus See toiming muudab NTLM-autentimisnõudeid. Veendumaks, et olete sellise käitumisega tuttav, lugege Microsoft teabebaasi järgmist artiklit.

    KB239869 NTLM 2 autentimise lubamine

  9. Tippige väljale Väärtuseandmedväärtus 3 ja klõpsake nuppu OK.

  10. Sulgege registriredaktor.

  11. Kui teete need muudatused Windowsi arvutis, peate enne muudatuste jõustumist arvuti taaskäivitama.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×