Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Introduzione

Microsoft annuncia la disponibilità di una nuova funzionalità, Protezione estesa per l'autenticazione (EPA), nella piattaforma Windows. Questa funzionalità migliora la protezione e la gestione delle credenziali durante l'autenticazione delle connessioni di rete tramite autenticazione integrata di Windows (IWA).L'aggiornamento stesso non fornisce direttamente protezione da attacchi specifici come l'inoltro delle credenziali, ma consente alle applicazioni di acconsentire esplicitamente all'EPA. Questo avviso illustra agli sviluppatori e agli amministratori di sistema questa nuova funzionalità e come può essere distribuita per proteggere le credenziali di autenticazione.This advisory briefs developers and system administrators on this new functionality and how it can be deployed to help protect authentication credentials.Per altre informazioni, vedi l'avviso di sicurezza Microsoft 973811.

Altre informazioni

Questo aggiornamento della sicurezza modifica l'interfaccia SSPI (Security Support Provider Interface) per migliorare il funzionamento di autenticazione di Windows in modo che le credenziali non vengano facilmente inoltrate quando IWA è abilitato.Quando ePA è abilitata, le richieste di autenticazione sono associate sia ai nomi delle entità servizio (SPN) del server a cui il client tenta di connettersi e al canale TLS (Transport Layer Security) esterno su cui avviene l'autenticazione IWA.

L'aggiornamento aggiunge una nuova voce del Registro di sistema per gestire la protezione estesa:

  • Impostare il valore SuppressExtendedProtection del Registro di sistema.

    Chiave del Registro di sistema

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Valore

    SuppressExtendedProtection

    Tipo

    REG_DWORD

    Dati

    0 Abilita la tecnologia di protezione.1 La protezione estesa è disabilitata.3 La protezione estesa è disabilitata e anche i binding di canale inviati da Kerberos vengono disabilitati, anche se forniti dall'applicazione.

    Valore predefinito: 0x0

    Nota Un problema che si verifica quando l'EPA è abilitato per impostazione predefinita è descritto nell'argomento Errore di autenticazione da server non Windows NTLM o Kerberos nel sito Web Microsoft.

  • Impostare il valore LmCompatibilityLevel del Registro di sistema.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel a 3. Questa è una chiave esistente che abilita l'autenticazione NTLMv2. L'EPA si applica solo ai protocolli di autenticazione NTLMv2, Kerberos, digest e negoziazione e non a NTLMv1.

Nota È necessario riavviare il computer dopo aver impostato i valori del Registro di sistema SuppressExtendedProtection e LmCompatibilityLevel in un computer Windows.

Abilita protezione estesa

Nota Per impostazione predefinita, protezione estesa e NTLMv2 sono entrambi abilitati in tutte le versioni supportate di Windows. Puoi usare questa guida per verificare che sia così.

Importante Questa sezione, metodo o attività contiene i passaggi che indicano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Pertanto, assicurarsi di seguire attentamente questi passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo caso, è possibile ripristinare il Registro di sistema in caso di problemi. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

  • KB322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows

Per abilitare personalmente la protezione estesa dopo aver scaricato e installato l'aggiornamento della sicurezza per la piattaforma, segui questi passaggi:

  1. Avviare l'editor del Registro di sistema. A questo scopo, fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.

  2. Individuare e quindi fare clic sulla sottochiave del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Verificare che i valori del Registro di sistema SuppressExtendedProtection e LmCompatibilityLevel siano presenti.Se i valori del Registro di sistema non sono presenti, seguire questa procedura per crearli:

    1. Con la sottochiave del Registro di sistema elencata nel passaggio 2 selezionata, scegliere Nuovo dal menu Modifica e quindi fare clic su Valore DWORD.

    2. Digitare SuppressExtendedProtection e quindi premere INVIO.

    3. Con la sottochiave del Registro di sistema elencata nel passaggio 2 selezionata, scegliere Nuovo dal menu Modifica e quindi fare clic su Valore DWORD.

    4. Digitare LmCompatibilityLevel e quindi premere INVIO.

  4. Fare clic per selezionare il valore del Registro di sistema SuppressExtendedProtection .

  5. Scegliere Modifica dal menu Modifica.

  6. Nella casella Dati valore digitare 0 e quindi fare clic su OK.

  7. Fare clic per selezionare il valore del Registro di sistema LmCompatibilityLevel .

  8. Scegliere Modifica dal menu Modifica.Nota Questo passaggio modifica i requisiti di autenticazione NTLM. Leggi il seguente articolo della Microsoft Knowledge Base per assicurarti di avere familiarità con questo comportamento.

    KB239869 Come abilitare l'autenticazione NTLM 2

  9. Nella casella Dati valore digitare 3 e quindi fare clic su OK.

  10. Uscire dall'editor del Registro di sistema.

  11. Se si apportano queste modifiche in un computer Windows, è necessario riavviare il computer prima che le modifiche dia effetto.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.