Inleiding
Microsoft kondigt de beschikbaarheid aan van een nieuwe functie, Extended Protection for Authentication (EPA), op het Windows-platform. Deze functie verbetert de beveiliging en verwerking van referenties bij het verifiëren van netwerkverbindingen met behulp van geïntegreerde Windows-verificatie (IWA).
De update zelf biedt niet rechtstreeks bescherming tegen specifieke aanvallen, zoals het doorsturen van referenties, maar maakt het mogelijk dat toepassingen zich aanmelden bij EPA. In dit advies worden ontwikkelaars en systeembeheerders geïnformeerd over deze nieuwe functionaliteit en hoe deze kan worden geïmplementeerd om verificatiereferenties te beveiligen.
Zie Microsoft Beveiligingsadvies 973811 voor meer informatie.
Meer informatie
Deze beveiligingsupdate wijzigt de Security Support Provider Interface (SSPI) om de manier waarop Windows-verificatie werkt te verbeteren, zodat referenties niet eenvoudig worden doorgestuurd wanneer IWA is ingeschakeld.
Wanneer EPA is ingeschakeld, zijn verificatieaanvragen gebonden aan zowel de Service Principal Names (SPN) van de server waarmee de client verbinding probeert te maken als aan het tls-kanaal (Outer Transport Layer Security) waarover de IWA-verificatie plaatsvindt.
De update voegt een nieuwe registervermelding toe voor het beheren van uitgebreide beveiliging:
-
Stel de registerwaarde SuppressExtendedProtection in .
Registersleutel
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Waarde
SuppressExtendedProtection
Type
REG_DWORD
Gegevens
0 Hiermee wordt beveiligingstechnologie ingeschakeld.
1 Uitgebreide beveiliging is uitgeschakeld.
3 Uitgebreide beveiliging is uitgeschakeld en kanaalbindingen die door Kerberos worden verzonden, worden ook uitgeschakeld, zelfs als de toepassing ze levert.Standaardwaarde: 0x0
Opmerking Een probleem dat optreedt wanneer EPA standaard is ingeschakeld, wordt beschreven in het onderwerp Verificatiefout van niet-Windows NTLM- of Kerberos-servers op de Microsoft website.
-
Stel de registerwaarde LmCompatibilityLevel in.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel tot 3. Dit is een bestaande sleutel waarmee NTLMv2-verificatie mogelijk is. EPA is alleen van toepassing op NTLMv2-, Kerberos-, digest- en onderhandelingsverificatieprotocollen en is niet van toepassing op NTLMv1.
Opmerking U moet de computer opnieuw opstarten nadat u de registerwaarden SuppressExtendedProtection en LmCompatibilityLevel op een Windows-computer hebt ingesteld.
Uitgebreide beveiliging inschakelen
Opmerking Uitgebreide beveiliging en NTLMv2 zijn standaard ingeschakeld in alle ondersteunde versies van Windows. U kunt deze handleiding gebruiken om te controleren of dit het geval is.
Belangrijk Deze sectie, methode of taak bevat stappen die u laten zien hoe u het register kunt wijzigen. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig volgt. Voor extra beveiliging maakt u een back-up van het register voordat u het wijzigt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het maken van een back-up en het herstellen van het register:
-
KB322756 Een back-up maken van het register en het herstellen in Windows
Voer de volgende stappen uit om Uitgebreide beveiliging zelf in te schakelen nadat u de beveiligingsupdate voor uw platform hebt gedownload en geïnstalleerd:
-
Start register-editor. Klik hiervoor op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik vervolgens op OK.
-
Zoek en klik op de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Controleer of de registerwaarden SuppressExtendedProtection en LmCompatibilityLevel aanwezig zijn.
Als de registerwaarden niet aanwezig zijn, volgt u deze stappen om ze te maken:-
Terwijl de registersubsleutel die wordt vermeld in stap 2 geselecteerd, wijst u in het menu Bewerken de optie Nieuw aan en klikt u vervolgens op DWORD-waarde.
-
Typ SuppressExtendedProtection en druk op Enter.
-
Terwijl de registersubsleutel die wordt vermeld in stap 2 geselecteerd, wijst u in het menu Bewerken de optie Nieuw aan en klikt u vervolgens op DWORD-waarde.
-
Typ LmCompatibilityLevel en druk op Enter.
-
-
Klik om de registerwaarde SuppressExtendedProtection te selecteren.
-
Klik in het menu Bewerken op Wijzigen.
-
Typ 0 in het vak Waardegegevens en klik op OK.
-
Klik om de registerwaarde LmCompatibilityLevel te selecteren.
-
Klik in het menu Bewerken op Wijzigen.
Opmerking Met deze stap worden de vereisten voor NTLM-verificatie gewijzigd. Raadpleeg het volgende artikel in de Microsoft Knowledge Base om ervoor te zorgen dat u bekend bent met dit gedrag.KB239869 NTLM 2-verificatie inschakelen
-
Typ 3 in het vak Waardegegevens en klik vervolgens op OK.
-
Sluit de Register-editor af.
-
Als u deze wijzigingen op een Windows-computer aanbrengt, moet u de computer opnieuw opstarten voordat de wijzigingen van kracht worden.
