Kirjaudu sisään Microsoft-tilillä
Kirjaudu sisään tai luo tili.
Hei,
Käytä toista tiliä.
Sinulla on useita tilejä
Valitse tili, jolla haluat kirjautua sisään.

Johdanto

Microsoft ilmoittaa uuden ominaisuuden, EPA(Extended Protection for Authentication), saatavuudesta Windows-ympäristössä. Tämä ominaisuus parantaa tunnistetietojen suojausta ja käsittelyä, kun verkkoyhteyksiä todennetaan integroidun Windows-todennuksen (IWA) avulla.

Itse päivitys ei suojaa suoraan tiettyjä hyökkäyksiä, kuten tunnistetietojen edelleenlähetystä, vastaan, mutta antaa sovelluksille mahdollisuuden osallistua EPA:han. Tämä ilmoitus kertoo kehittäjille ja järjestelmänvalvojille tästä uudesta toiminnosta ja siitä, miten se voidaan ottaa käyttöön todennustunnistetietojen suojaamiseksi.

Lisätietoja on Microsoft suojausilmoitusten 973811.

Lisätietoja

Tämä suojauspäivitys muokkaa SSPI (Security Support Provider Interface) -liittymää parantamaan Tapaa, jolla Windows-todennus toimii, jotta tunnistetietoja ei ole helppo lähettää edelleen, kun IWA on käytössä.

Kun EPA on käytössä, todennuspyynnöt sidotaan sekä asiakkaan muodostaman palvelimen palvelun päänimet (SPN) että ulompaan TLS (Transport Layer Security) -kanavaan, jolla IWA-todennus tapahtuu.

Päivitys lisää uuden rekisterimerkinnän Laajennetun suojauksen hallintaa varten:

  • Määritä rekisterin SuppressExtendedProtection-arvo .

    Rekisteriavaimen

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Arvo

    SuppressExtendedProtection

    Tyyppi

    REG_DWORD

    Tiedot

    0 Ottaa käyttöön suojausteknologian.
    1 Extended Protection on poistettu käytöstä.
    3 Extended Protection on poistettu käytöstä ja Kerberosin lähettämät kanavasidonnat poistetaan käytöstä, vaikka sovellus toimittaa ne.

    Oletusarvo: 0x0

    Huomautus Ongelma, joka ilmenee, kun EPA on oletusarvoisesti käytössä, on kuvattu Microsoft-sivuston muiden kuin Windows NTLM- tai Kerberos-palvelimien todennusvirheessä.

  • Määritä rekisterin LmCompatibilityLevel-arvo .

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevelkohtaan 3. Tämä on olemassa oleva avain, joka ottaa käyttöön NTLMv2-todennuksen. EPA koskee vain NTLMv2-, Kerberos-, digest- ja neuvottelutodennusprotokollia, eikä sitä sovelleta NTLMv1:een.

Huomautus Tietokone on käynnistettävä uudelleen, kun olet määrittänyt Windows-tietokoneen SuppressExtendedProtection - ja LmCompatibilityLevel-rekisteriarvot .

Laajennetun suojauksen ottaminen käyttöön

Huomautus Extended Protection ja NTLMv2 ovat oletusarvoisesti käytössä kaikissa tuetuissa Windows-versioissa. Tämän oppaan avulla voit varmistaa, että näin on.

Tärkeää Tässä osassa, menetelmässä tai tehtävässä on vaiheita, joissa kerrotaan, miten voit muokata rekisteriä. Rekisterin virheellinen muokkaaminen voi kuitenkin aiheuttaa vakavia ongelmia. Varmista siksi, että noudatat näitä ohjeita huolellisesti. Jos haluat lisäsuojauksen, varmuuskopioi rekisteri ennen sen muokkaamista. Tämän jälkeen voit palauttaa rekisterin, jos ongelma ilmenee. Saat lisätietoja rekisterin varmuuskopioinnista ja palauttamisesta napsauttamalla seuraavaa artikkelin numeroa, jolloin voit tarkastella artikkelia Microsoft Knowledge Base -tietokannassa:

  • KB322756 Rekisterin varmuuskopiointi ja palauttaminen Windowsissa

Voit ottaa Extended Protectionin käyttöön itse, kun olet ladannut ja asentanut käyttöympäristösi suojauspäivityksen, toimimalla seuraavasti:

  1. Käynnistä Rekisterieditori. Voit tehdä tämän valitsemalla Käynnistä, valitsemalla Suorita, kirjoittamalla regeditAvaa-ruutuun ja valitsemalla sitten OK.

  2. Etsi seuraava rekisterin aliavain ja napsauta sitä:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Varmista, että rekisteriarvot SuppressExtendedProtection ja LmCompatibilityLevel ovat olemassa.

    Jos rekisteriarvoja ei ole, luo ne seuraavasti:

    1. Kun vaiheessa 2 näkyvä rekisterin aliavain on valittuna, valitse Muokkaa-valikossaUusi ja valitse sitten DWORD-arvo.

    2. Kirjoita SuppressExtendedProtection ja paina sitten Enter-näppäintä.

    3. Kun vaiheessa 2 näkyvä rekisterin aliavain on valittuna, valitse Muokkaa-valikossaUusi ja valitse sitten DWORD-arvo.

    4. Kirjoita LmCompatibilityLevel ja paina sitten Enter-näppäintä.

  4. Valitse EstäExtendedProtection-rekisteriarvo napsauttamalla.

  5. Valitse Muokkaa-valikossaMuokkaa.

  6. Kirjoita Arvotiedot-ruutuun0 ja valitse sitten OK.

  7. Valitse LmCompatibilityLevel-rekisteriarvo napsauttamalla.

  8. Valitse Muokkaa-valikossaMuokkaa.

    Huomautus Tämä vaihe muuttaa NTLM-todennusvaatimuksia. Tutustu seuraavaan artikkeliin Microsoft Knowledge Base -tietokannassa varmistaaksesi, että tunnet tämän toiminnan.

    KB239869 NTLM 2 -todennuksen ottaminen käyttöön

  9. Kirjoita Arvotiedot-ruutuun3 ja valitse sitten OK.

  10. Sulje Rekisterieditori.

  11. Jos teet nämä muutokset Windows-tietokoneessa, tietokone on käynnistettävä uudelleen, ennen kuin muutokset tulevat voimaan.

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet

Oliko näistä tiedoista hyötyä?

Kuinka tyytyväinen olet käännöksen laatuun?
Mikä vaikutti kokemukseesi?
Kun valitset Lähetä, palautettasi käytetään Microsoftin tuotteiden ja palveluiden parantamiseen. IT-järjestelmänvalvojasi voi kerätä nämä tiedot. Tietosuojatiedot.

Kiitos palautteesta!

×