Introduzione
Microsoft annuncia la disponibilità di una nuova funzionalità, Protezione estesa per l'autenticazione (EPA), nella piattaforma Windows. Questa funzionalità migliora la protezione e la gestione delle credenziali durante l'autenticazione delle connessioni di rete tramite autenticazione integrata di Windows (IWA).l'avviso di sicurezza Microsoft 973811.
L'aggiornamento stesso non fornisce direttamente protezione da attacchi specifici come l'inoltro delle credenziali, ma consente alle applicazioni di acconsentire esplicitamente all'EPA. Questo avviso illustra agli sviluppatori e agli amministratori di sistema questa nuova funzionalità e come può essere distribuita per proteggere le credenziali di autenticazione.This advisory briefs developers and system administrators on this new functionality and how it can be deployed to help protect authentication credentials. Per altre informazioni, vediAltre informazioni
Questo aggiornamento della sicurezza modifica l'interfaccia SSPI (Security Support Provider Interface) per migliorare il funzionamento di autenticazione di Windows in modo che le credenziali non vengano facilmente inoltrate quando IWA è abilitato.
Quando ePA è abilitata, le richieste di autenticazione sono associate sia ai nomi delle entità servizio (SPN) del server a cui il client tenta di connettersi e al canale TLS (Transport Layer Security) esterno su cui avviene l'autenticazione IWA.L'aggiornamento aggiunge una nuova voce del Registro di sistema per gestire la protezione estesa:
-
Impostare il valore SuppressExtendedProtection del Registro di sistema.
Chiave del Registro di sistema
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Valore
SuppressExtendedProtection
Tipo
REG_DWORD
Dati
0 Abilita la tecnologia di protezione.
1 La protezione estesa è disabilitata. 3 La protezione estesa è disabilitata e anche i binding di canale inviati da Kerberos vengono disabilitati, anche se forniti dall'applicazione.Valore predefinito: 0x0
Nota Un problema che si verifica quando l'EPA è abilitato per impostazione predefinita è descritto nell'argomento Errore di autenticazione da server non Windows NTLM o Kerberos nel sito Web Microsoft.
-
Impostare il valore LmCompatibilityLevel del Registro di sistema.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel a 3. Questa è una chiave esistente che abilita l'autenticazione NTLMv2. L'EPA si applica solo ai protocolli di autenticazione NTLMv2, Kerberos, digest e negoziazione e non a NTLMv1.
Nota È necessario riavviare il computer dopo aver impostato i valori del Registro di sistema SuppressExtendedProtection e LmCompatibilityLevel in un computer Windows.
Abilita protezione estesa
Nota Per impostazione predefinita, protezione estesa e NTLMv2 sono entrambi abilitati in tutte le versioni supportate di Windows. Puoi usare questa guida per verificare che sia così.
Importante Questa sezione, metodo o attività contiene i passaggi che indicano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Pertanto, assicurarsi di seguire attentamente questi passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo caso, è possibile ripristinare il Registro di sistema in caso di problemi. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
-
KB322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows
Per abilitare personalmente la protezione estesa dopo aver scaricato e installato l'aggiornamento della sicurezza per la piattaforma, segui questi passaggi:
-
Avviare l'editor del Registro di sistema. A questo scopo, fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.
-
Individuare e quindi fare clic sulla sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Verificare che i valori del Registro di sistema SuppressExtendedProtection e LmCompatibilityLevel siano presenti.
Se i valori del Registro di sistema non sono presenti, seguire questa procedura per crearli:-
Con la sottochiave del Registro di sistema elencata nel passaggio 2 selezionata, scegliere Nuovo dal menu Modifica e quindi fare clic su Valore DWORD.
-
Digitare SuppressExtendedProtection e quindi premere INVIO.
-
Con la sottochiave del Registro di sistema elencata nel passaggio 2 selezionata, scegliere Nuovo dal menu Modifica e quindi fare clic su Valore DWORD.
-
Digitare LmCompatibilityLevel e quindi premere INVIO.
-
-
Fare clic per selezionare il valore del Registro di sistema SuppressExtendedProtection .
-
Scegliere Modifica dal menu Modifica.
-
Nella casella Dati valore digitare 0 e quindi fare clic su OK.
-
Fare clic per selezionare il valore del Registro di sistema LmCompatibilityLevel .
-
Scegliere Modifica dal menu Modifica.
Nota Questo passaggio modifica i requisiti di autenticazione NTLM. Leggi il seguente articolo della Microsoft Knowledge Base per assicurarti di avere familiarità con questo comportamento.KB239869 Come abilitare l'autenticazione NTLM 2
-
Nella casella Dati valore digitare 3 e quindi fare clic su OK.
-
Uscire dall'editor del Registro di sistema.
-
Se si apportano queste modifiche in un computer Windows, è necessario riavviare il computer prima che le modifiche dia effetto.