Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Innledning

Microsoft kunngjør tilgjengeligheten av en ny funksjon, Extended Protection for Authentication (EPA), på Windows-plattformen. Denne funksjonen forbedrer beskyttelsen og håndteringen av legitimasjon ved godkjenning av nettverkstilkoblinger ved hjelp av integrert Windows-godkjenning (IWA).

Oppdateringen i seg selv gir ikke direkte beskyttelse mot spesifikke angrep som videresending av legitimasjon, men gjør det mulig for programmer å melde seg på EPA. Denne veiledningen informerer utviklere og systemansvarlige om denne nye funksjonaliteten, og hvordan den kan distribueres for å beskytte godkjenningslegitimasjonen.

Hvis du vil ha mer informasjon, kan du se Microsoft Sikkerhetsveiledning 973811.

Mer informasjon

Denne sikkerhetsoppdateringen endrer SSPI (Security Support Provider Interface) for å forbedre måten Windows-godkjenning fungerer på, slik at legitimasjon ikke blir enkelt videresendt når IWA er aktivert.

Når EPA er aktivert, er godkjenningsforespørsler bundet til både service principal names (SPN) for serveren klienten prøver å koble til og til den ytre Transport Layer Security (TLS)-kanalen som IWA-godkjenningen forekommer over.

Oppdateringen legger til en ny registeroppføring for å administrere Utvidet beskyttelse:

  • Angi registerverdien SuppressExtendedProtection .

    Registernøkkel

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Verdi

    SuppressExtendedProtection

    Type

    REG_DWORD

    Data

    0 Aktiverer beskyttelsesteknologi.
    1 Utvidet beskyttelse er deaktivert.
    3 Utvidet beskyttelse er deaktivert, og kanalbindinger som sendes av Kerberos, deaktiveres også, selv om programmet leverer dem.

    Standardverdi: 0x0

    Obs!   Et problem som oppstår når EPA er aktivert som standard, er beskrevet i godkjenningsfeilen fra serveremnet for ikke-Windows NTLM eller Kerberos på Microsoft-nettstedet.

  • Angi registerverdien LmCompatibilityLevel .

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel til 3. Dette er en eksisterende nøkkel som aktiverer NTLMv2-godkjenning. EPA gjelder bare for NTLMv2-, Kerberos-, sammendrags- og forhandlingsgodkjenningsprotokoller og gjelder ikke for NTLMv1.

Obs!   Du må starte datamaskinen på nytt etter at du har angitt registerverdiene SuppressExtendedProtection og LmCompatibilityLevel på en Windows-datamaskin.

Aktiver utvidet beskyttelse

Obs!   Utvidet beskyttelse og NTLMv2 er som standard aktivert i alle støttede versjoner av Windows. Du kan bruke denne veiledningen til å bekrefte at dette er tilfellet.

Viktig!   Denne inndelingen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feil. Sørg derfor for at du følger disse trinnene nøye. Sikkerhetskopier registeret før du endrer det for ekstra beskyttelse. Deretter kan du gjenopprette registeret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  • KB322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows

Følg disse trinnene for å aktivere utvidet beskyttelse selv etter at du har lastet ned og installert sikkerhetsoppdateringen for plattformen:

  1. Start Registerredigering. Dette gjør du ved å klikke Start, klikke Kjør, skrive regedit i Åpne-boksen og deretter klikke OK.

  2. Finn og klikk deretter følgende registerundernøkkel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Kontroller at registerverdiene SuppressExtendedProtection og LmCompatibilityLevel finnes.

    Hvis registerverdiene ikke finnes, følger du disse trinnene for å opprette dem:

    1. Når registerundernøkkelen som er oppført i trinn 2 er valgt, velger du NyRediger-menyen, og deretter klikker du DWORD-verdi.

    2. Skriv inn SuppressExtendedProtection, og trykk deretter ENTER.

    3. Når registerundernøkkelen som er oppført i trinn 2 er valgt, velger du NyRediger-menyen, og deretter klikker du DWORD-verdi.

    4. Skriv inn LmCompatibilityLevel, og trykk deretter ENTER.

  4. Klikk for å velge registerverdien SuppressExtendedProtection .

  5. Klikk EndreRediger-menyen.

  6. Skriv inn 0 i Verdidata-boksen, og klikk deretter OK.

  7. Klikk for å velge registerverdien LmCompatibilityLevel .

  8. Klikk EndreRediger-menyen.

    Merk Dette trinnet endrer krav til NTLM-godkjenning. Se følgende artikkel i Microsoft knowledge base for å sikre at du er kjent med denne virkemåten.

    KB239869 Slik aktiverer du NTLM 2-godkjenning

  9. Skriv inn 3 i verdidataboksen, og klikk deretter OK.

  10. Avslutt registerredigering.

  11. Hvis du gjør disse endringene på en Windows-datamaskin, må du starte datamaskinen på nytt før endringene trer i kraft.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×