מבוא
Microsoft מכריזה על הזמינות של תכונה חדשה, הגנה מורחבת לאימות (EPA), פלטפורמת Windows. תכונה זו משפרת את ההגנה והטיפול באישורים בעת אימות חיבורי רשת באמצעות אימות משולב של Windows (IWA).
העדכון עצמו אינו מספק הגנה ישירות מפני תקיפות ספציפיות כגון העברת אישורים, אך מאפשר לאפליקציות להצטרף ל- EPA. תקציר מינורית זה לגבי מפתחים ומנהלי מערכת בפונקציונליות חדשה זו וכיצד ניתן לפרוס אותה כדי לסייע בהגנה על אישורי האימות.
לקבלת מידע נוסף, ראה Microsoft בנושא אבטחה מינורית 973811.
מידע נוסף
עדכון אבטחה זה משנה את ממשק ספק התמיכה של האבטחה (SSPI) כדי לשפר את אופן הפעולה של אימות Windows כך שלא ניתן להעביר אישורים בקלות כאשר IWA זמין.
כאשר EPA זמין, בקשות אימות מאוגדות הן לשמות ראשיים של שירות (SPN) של השרת שהלקוח מנסה להתחבר אל ערוץ Transport Layer Security (TLS) המרוחק שאליו מתרחש אימות IWA.
העדכון מוסיף ערך רישום חדש לניהול הגנה מורחבת:
-
הגדר את הערך SuppressExtendedProtection של הרישום.
מפתח רישום
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
ערך
SuppressExtendedProtection
סוג
REG_DWORD
נתונים
0 מאפשר טכנולוגיית הגנה.
1 הגנה מורחבת אינה זמינה.
3 הגנה מורחבת אינה זמינה ואיגודי ערוץ הנשלחים על-ידי Kerberos גם הם אינם זמינים, גם אם היישום מספק אותם.ערך ברירת מחדל: 0x0
הערה בעיה שמתרחשת כאשר EPA מופעל כברירת מחדל מתוארת בנושא כשל אימות משרתים שאינם Windows NTLM או Kerberos באתר האינטרנט Microsoft זה.
-
הגדר את ערך LmCompatibilityLevel של הרישום.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevelל-3. זהו מפתח קיים המאפשר אימות NTLMv2. EPA חל רק על פרוטוקולי אימות NTLMv2, Kerberos, digest ואימות משא ומתן ואימות שאינו חל על NTLMv1.
הערה עליך להפעיל מחדש את המחשב לאחר הגדרת ערכי הרישום SuppressExtendedProtection ו- LmCompatibilityLevel במחשב Windows.
הפוך הגנה מורחבת לזמינה
הערה כברירת מחדל, הגנה מורחבת ו- NTLMv2 זמינים שניהם בכל הגירסאות הנתמכות של Windows. באפשרותך להשתמש במדריך זה כדי לוודא שזה המקרה.
חשוב סעיף, שיטה או משימה אלה מכילים שלבים שמסבירים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד לבצע שלבים אלה בזהירות. לקבלת הגנה נוספת, גבה את הרישום לפני שתשנה אותו. לאחר מכן, תוכל לשחזר את הרישום במקרה של בעיה. לקבלת מידע נוסף אודות אופן גיבוי ושחזור הרישום, לחץ על מספר המאמר הבא כדי להציג את המאמר Microsoft Knowledge Base:
-
מספר KB322756 כיצד לגבות ולשחזר את הרישום ב- Windows
כדי להפוך את ההגנה המורחבת לזמינה לאחר ההורדה וההתקנה של עדכון האבטחה עבור הפלטפורמה שלך, בצע את הפעולות הבאות:
-
הפעל את עורך הרישום. לשם כך, לחץ על התחל, לחץ על הפעלה, הקלד regeditבתיבה פתח ולאחר מכן לחץ על אישור.
-
אתר את מפתח המשנה הבא של הרישום ולחץ עליו:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
ודא שערכו של הרישום SuppressExtendedProtection ו- LmCompatibilityLevel קיימים.
אם ערכי הרישום אינם קיימים, בצע שלבים אלה כדי ליצור אותם:-
כאשר מפתח המשנה של הרישום שמופיע בשלב 2 נבחר, בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.
-
הקלד SuppressExtendedProtection ולאחר מכן הקש Enter.
-
כאשר מפתח המשנה של הרישום שמופיע בשלב 2 נבחר, בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.
-
הקלד LmCompatibilityLevel ולאחר מכן הקש Enter.
-
-
לחץ כדי לבחור את ערך הרישום SuppressExtendedProtection .
-
בתפריט עריכה , לחץ על שנה.
-
בתיבה נתוני ערך , הקלד 0 ולאחר מכן לחץ על אישור.
-
לחץ כדי לבחור את ערך הרישום LmCompatibilityLevel .
-
בתפריט עריכה , לחץ על שנה.
הערה שלב זה משנה את דרישות האימות של NTLM. עיין במאמר הבא במאמר Microsoft Knowledge Base כדי לוודא שאתה מכיר אופן פעולה זה.מספר KB239869 כיצד להפוך אימות NTLM 2 לזמין
-
בתיבה נתוני ערך , הקלד 3 ולאחר מכן לחץ על אישור.
-
צא מעורך הרישום.
-
אם תבצע שינויים אלה במחשב Windows, עליך להפעיל מחדש את המחשב לפני שהשינויים ייכנסו לתוקף.
