Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Ievads

Microsoft paziņo par jauna līdzekļa paplašināto aizsardzību (Extended Protection for Authentication — EPA) pieejamību Windows platformā. Šis līdzeklis uzlabo akreditācijas datu aizsardzību un apstrādi, autentificējot tīkla savienojumus, izmantojot integrēto Windows autentifikāciju (IWA).

Pats atjauninājums nenodrošina tiešu aizsardzību pret noteiktiem uzbrukumiem, piemēram, akreditācijas datu pārsūtīšanu, bet ļauj lietojumprogrammām izvēlēties PIEDALĪTIES EPA. Šis ieteikums sniedz informāciju izstrādātājiem un sistēmas administratoriem par šo jauno funkcionalitāti un to, kā to izvietot, lai palīdzētu aizsargāt autentifikācijas akreditācijas datus.

Papildinformāciju skatiet rakstā Microsoft drošības konsultāciju 973811.

Papildinformācija

Šis drošības atjauninājums modificē drošības atbalsta pakalpojumu sniedzēja interfeisu (SSPI), lai uzlabotu Windows autentifikācijas darbību un akreditācijas dati pēc IWA iespējošanas nebūtu vienkārši pārsūtīti.

Ja epa ir iespējots, autentifikācijas pieprasījumi ir saistīti ar servera pakalpojumu pamatnosauciem (Service Principal Names — SPN), un klients mēģina izveidot savienojumu ar ārējo transporta slāņa drošības (TLS) kanālu, kurā tiek veikta IWA autentifikācija.

Atjauninājums pievieno jaunu reģistra ierakstu paplašinātās aizsardzības pārvaldīšanai:

  • Iestatiet reģistra SuppressExtendedProtection vērtību.

    Reģistra atslēga

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Vērtība

    SuppressExtendedProtection

    Veids

    REG_DWORD

    Dati

    0 Iespējo aizsardzības tehnoloģiju.
    1 Paplašinātā aizsardzība ir atspējota.
    3 Paplašinātā aizsardzība ir atspējota, un Kerberos nosūtītie kanālu saistīumi arī tiek atspējoti pat tad, ja lietojumprogramma tos nodrošina.

    Noklusējuma vērtība: 0x0

    Piezīme Problēma, kas rodas, ja EPA ir iespējota pēc noklusējuma, ir aprakstīta tēmā Autentifikācijas kļūme no serveriem, kas nav Windows NTLM vai Kerberos serveri Microsoft vietnē.

  • Iestatiet reģistra LmCompatibilityLevel vērtību.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLeveluz 3. Šī ir esoša atslēga, kas iespējo NTLMv2 autentifikāciju. EPA attiecas tikai uz NTLMv2, Kerberos, īssavilkumu un sarunas autentifikācijas protokolu un neattiecas uz NTLMv1.

Piezīme Pēc reģistra SuppressExtendedProtection un LmCompatibilityLevel iestatīšanas Windows datorā ir jārestartē dators.

Iespējot paplašināto aizsardzību

Piezīme Pēc noklusējuma visās atbalstītās Windows versijās ir iespējota paplašinātā aizsardzība un NTLMv2. Varat izmantot šo rokasgrāmatu, lai pārbaudītu, vai tā ir.

Svarīgi Šajā sadaļā, metodē vai uzdevumā ir ietvertas darbības, kas jāveic, lai modificētu reģistru. Tomēr, nepareizi modificējot reģistru, iespējamas nopietnas problēmas. Tāpēc tālāk norādītās darbības jāveic uzmanīgi. Lai nodrošinātu papildu aizsardzību, dublējiet reģistru, pirms to modificējat. Pēc tam varat atjaunot reģistru, ja rodas problēma. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, noklikšķiniet uz šī raksta numura un skatiet rakstu zināšanu Microsoft bāzē:

  • KB322756 Kā dublēt un atjaunot reģistru operētājsistēmā Windows

Lai patstāvīgi iespējotu paplašināto aizsardzību pēc savas platformas drošības atjauninājuma lejupielādes un instalēšanas, veiciet tālāk norādītās darbības.

  1. Startējiet reģistra redaktoru. Lai to izdarītu, noklikšķiniet uz Sākt, noklikšķiniet uz Palaist, lodziņā Atvērt ierakstiet regeditun pēc tam noklikšķiniet uz Labi.

  2. Atrodiet un pēc tam noklikšķiniet uz šādas reģistra apakšatslēgas:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Pārbaudiet, vai ir reģistra vērtības SuppressExtendedProtection un LmCompatibilityLevel .

    Ja reģistra vērtības nav pieejamas, veiciet tālāk norādītās darbības, lai tās izveidotu.

    1. Atlasiet reģistra apakšatslēgu, kas norādīta 2. darbībā, izvēlnē Rediģēt norādiet uz Jauns un pēc tam noklikšķiniet uz DWORD vērtība.

    2. Ierakstiet SuppressExtendedProtection un pēc tam nospiediet taustiņu Enter.

    3. Atlasiet reģistra apakšatslēgu, kas norādīta 2. darbībā, izvēlnē Rediģēt norādiet uz Jauns un pēc tam noklikšķiniet uz DWORD vērtība.

    4. Ierakstiet LmCompatibilityLevel un pēc tam nospiediet taustiņu Enter.

  4. Noklikšķiniet, lai atlasītu reģistra vērtību SuppressExtendedProtection .

  5. Izvēlnē Rediģēt noklikšķiniet uz Modificēt.

  6. Lodziņā Vērtības dati ierakstiet 0 un pēc tam noklikšķiniet uz Labi.

  7. Noklikšķiniet, lai atlasītu reģistra vērtību LmCompatibilityLevel .

  8. Izvēlnē Rediģēt noklikšķiniet uz Modificēt.

    Piezīme Šī darbība maina NTLM autentifikācijas prasības. Lūdzu, skatiet šo rakstu zināšanu Microsoft bāzē, lai pārliecinātos, vai pārzināt šo darbību.

    KB239869 Kā iespējot NTLM 2 autentifikāciju

  9. Lodziņā Vērtības dati ierakstiet 3 un pēc tam noklikšķiniet uz Labi.

  10. Izejiet no reģistra redaktora.

  11. Ja veicat šīs izmaiņas Windows datorā, pirms izmaiņas stājas spēkā, restartējiet datoru.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×