RequireAsChecksum-rekisterimerkinnän muokkaaminen tietoturvapäivityksen 899587 asentamisen jälkeen

Windows XP:n tuki on päättynyt

Microsoft lopetti Windows XP:n tuen 8.4.2014. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Windows Server 2003:n tuki päättyi 14.7.2015

Microsoft lopetti Windows Server 2003:n tuen 14.7.2015. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Tämä artikkeli on arkistoitu. Se tarjotaan "sellaisenaan", eikä sitä päivitetä enää.
Tärkeää Tässä artikkelissa käsitellään rekisterin muokkaamista. Muista varmuuskopioida rekisteri ennen sen muokkaamista. Varmista, että osaat palauttaa rekisterin, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta, palauttamisesta ja muokkaamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
256986 Microsoft Windowsin rekisterin kuvaus
ESITTELY
Tässä artikkelissa on tietoja RequireAsChecksum-rekisterimerkinnän muokkaamisesta. Tämä rekisterimerkintä auttaa parantamaan suojausta Microsoftin tietoturvapäivityksen 899587 asentamisen jälkeen. Tämän tietoturvapäivityksen kuvaus on tietoturvatiedotteessa MS05-042.

Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
899587 MS05-042: Kerberos-heikkoudet saattavat mahdollistaa palveluneston, tietojen paljastumisen ja tunnistetietojen väärentämisen
Enemmän tietoa
Varoitus Vakavia ongelmia saattaa ilmetä, jos muokkaat rekisteriä virheellisesti Rekisterieditorilla tai jollakin muulla tavalla. Näiden ongelmien ilmetessä saatat joutua asentamaan käyttöjärjestelmäsi uudelleen. Microsoft ei takaa, että nämä ongelmat voidaan ratkaista. Muokkaat rekisteriä omalla vastuulla.

Tietoturvapäivitys 899587 sisältää joitakin tietoturvaan liittyviä toiminnallisuuden muutoksia. Tietoturvatiedotteen MS05-042 päivitys korjaa ulkoisesti raportoidut tietoturvaheikkoudet. Tietoturvatiedotteen MS05-042 heikkouksien tietojen osissa kuvattujen muutosten lisäksi tietoturvapäivitys 899587 sisältää uuden toiminnallisuuden muutoksen. Valinnainen (mutta suositeltu) RequireAsChecksum-rekisterimerkintä on lisätty, jotta mahdollisilta tulevilta PKINIT-heikkouksilta voidaan suojautua entistä paremmin. RequireAsChecksum-rekisterimerkintä sijaitsee seuraavissa rekisterin aliavaimissa:
  • Microsoft Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Microsoft Windows 2000 ja Microsoft Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

RequireAsChecksum-rekisterimerkinnän mahdolliset arvot ovat seuraavat:
  • RequireAsChecksum = 1 tai jokin muu nollasta poikkeava arvo
    Kun tämä asetus on käytössä, asiakastietokone hyväksyy älykorttikirjautumisen toimialueen ohjauskoneesta vain sellaiset vastaukset, jotka ovat uusimman PKINIT-version (PKINIT-27) mukaisia.
  • RequireAsChecksum = 0
    Kun tämä asetus on poistettu käytöstä, asiakastietokone hyväksyy kaikki vastaukset, jotka ovat uuden version tai vanhempien versioiden mukaisia.
Huomautus Jos tätä rekisterimerkintää ei ole, tietokone toimii kuin tämä asetus olisi poistettu käytöstä.

Älykorttikirjautuminen epäonnistuu, kun kaikki seuraavat ehdot toteutuvat:
  • Asiakastietokone käynnistää kirjautumisyrityksen.
  • Asiakastietokoneeseen on asennettu tietoturvapäivitys 899587.
  • RequireAsChecksum-rekisterimerkinnän arvoksi on asiakaskoneessa määritetty 1.
  • Todennuspyyntöön vastaavassa toimialueen ohjauskoneessa ei ole asennettuna tietoturvapäivitystä 899587.
Microsoft suosittelee, että otat rekisteriasetuksen käyttöön asiakastietokoneissa vasta sen jälkeen, kun tietoturvapäivitys 899587 on asennettu kaikkiin toimialueella oleviin toimialueen ohjauskoneisiin.

Huomautus Sinun on käynnistettävä Windows 2000 -tietokone uudelleen tämän rekisterimerkinnän muokkaamisen jälkeen. Uudelleenkäynnistystä ei kuitenkaan vaadita Windows XP- tai Windows Server 2003 -tietokoneissa.
Ominaisuudet

Artikkelin tunnus: 904766 – Viimeisin tarkistus: 01/16/2015 16:38:53 – Versio: 1.1

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity KB904766
Palaute