Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Įvadas

"Microsoft" praneša apie naujos funkcijos – Išplėstinė autentifikavimo apsauga (EPA) pasiekiamumą "Windows" platformoje. Ši funkcija pagerina apsaugą ir kredencialų tvarkymą autentifikuojant tinklo ryšius naudojant integruotą "Windows" autentifikavimą (IWA).

Pats naujinimas tiesiogiai neapsaugo nuo konkrečių atakų, pvz., kredencialų persiuntimo, tačiau leidžia programoms pasirinkti EPS. Šis patarimo pranešimas kūrėjams ir sistemos administratoriams apie šią naują funkciją ir kaip ją galima įdiegti siekiant apsaugoti autentifikavimo kredencialus.

Daugiau informacijos žr. "Microsoft" saugos patarimo 973811.

Daugiau informacijos

Šis saugos naujinimas modifikuoja saugos palaikymo teikėjo sąsają (SSPI), kad pagerintų "Windows" autentifikavimo veikimą, kad kredencialai nebūtų lengvai peradresuojami įgalinus IWA.

Įgalinus EPA, autentifikavimo užklausos yra susietos su serverio sistemos sistemos pavadinimais (SPN), prie kurio klientas bando prisijungti, ir prie išorinio transportavimo lygmens saugos (TLS) kanalo, per kurį vykdomas IWA autentifikavimas.

Naujinimas įtraukia naują registro įrašą, kad būtų galima valdyti išplėstinę apsaugą:

  • Nustatykite registro SuppressExtendedProtection reikšmę.

    Registro raktas

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Reikšmė

    SuppressExtendedProtection

    Tipas

    REG_DWORD

    Duomenys

    0 Įgalina apsaugos technologiją.
    1 Papildoma apsauga išjungta.
    3 Išplėstinė apsauga išjungta, o "Kerberos" siunčiami kanalo susiejimai taip pat yra išjungti, net jei programa juos tiekia.

    Numatytoji reikšmė: 0x0

    Pastaba Problema, kuri kyla, kai EPA įjungta pagal numatytuosius parametrus yra aprašyta autentifikavimo triktį ne Windows NTLM arba Kerberos serverių temoje "Microsoft" svetainėje.

  • Nustatykite registro LmCompatibilityLevel reikšmę.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel į 3. Tai yra esamas raktas, įgalinantis "NTLMv2" autentifikavimą. EPA taikoma tik NTLMv2, "Kerberos", suvestinėms ir derybiniams autentifikavimo protokolams ir netaikoma NTLMv1.

Pastaba "Windows" kompiuteryje nustatę SuppressExtendedProtection ir LmCompatibilityLevel registro reikšmes, turite iš naujo paleisti kompiuterį.

Įgalinti išplėstinę apsaugą

Pastaba Pagal numatytuosius parametrus išplėstinė apsauga ir NTLMv2 yra įjungti visose palaikomose "Windows" versijose. Šį vadovą galite naudoti norėdami patikrinti, ar taip yra.

Svarbu Šiame skyriuje, metode ar užduotyje yra veiksmų, kurie nurodo, kaip modifikuoti registrą. Tačiau gali kilti rimtų problemų, jei netinkamai modifikuosite registrą. Todėl įsitikinkite, kad atidžiai atliekate šiuos veiksmus. Norėdami papildomai apsaugoti, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galite atkurti registrą, jei kyla problemų. Jei norite gauti daugiau informacijos apie tai, kaip sukurti atsarginę kopiją ir atkurti registrą, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

  • KB322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"

Norėdami įjungti išplėstinę apsaugą patys, kai atsisiunčiate ir įdiegiate savo platformos saugos naujinimą, atlikite šiuos veiksmus:

  1. Paleiskite registro rengyklę. Norėdami tai padaryti, spustelėkite Pradžia, Vykdyti, lauke Atidaryti įveskite regedit ir spustelėkite Gerai.

  2. Raskite ir spustelėkite šį dalinį registro raktą:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Patikrinkite, ar yra registro reikšmės SuppressExtendedProtection ir LmCompatibilityLevel .

    Jei registro reikšmių nėra, atlikite šiuos veiksmus, kad jas sukurtumėte:

    1. Pasirinkę dalinį registro raktą, kuris nurodytas atliekant 2 veiksmą, meniu Redagavimas nukreipkite žymiklį į Naujas, tada spustelėkite DWORD reikšmė.

    2. Įveskite SuppressExtendedProtection, tada paspauskite Enter.

    3. Pasirinkę dalinį registro raktą, kuris nurodytas atliekant 2 veiksmą, meniu Redagavimas nukreipkite žymiklį į Naujas, tada spustelėkite DWORD reikšmė.

    4. Įveskite LmCompatibilityLevel, tada paspauskite Enter.

  4. Spustelėdami pasirinkite Registro reikšmę SuppressExtendedProtection .

  5. Meniu Redagavimas spustelėkite Modifikuoti.

  6. Lauke Reikšmės duomenys įveskite 0, tada spustelėkite Gerai.

  7. Spustelėdami pasirinkite registro reikšmę LmCompatibilityLevel .

  8. Meniu Redagavimas spustelėkite Modifikuoti.

    Pastaba Šis veiksmas pakeičia NTLM autentifikavimo reikalavimus. Peržiūrėkite šį "Microsoft" žinių bazės straipsnį ir įsitikinkite, kad esate susipažinę su šiuo veikimo būdu.

    KB239869 Kaip įgalinti NTLM 2 autentifikavimą

  9. Lauke Reikšmės duomenys įveskite 3, tada spustelėkite Gerai.

  10. Išeikite iš registro rengyklės.

  11. Jei šiuos pakeitimus atliksite "Windows" kompiuteryje, prieš įsigaliojant pakeitimams, turite iš naujo paleisti kompiuterį.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×