Jak zmodyfikować wpis rejestru RequireAsChecksum po zainstalowaniu aktualizacji zabezpieczeń 899587

Zakończono świadczenie pomocy technicznej dla systemu Windows XP

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows XP 8 kwietnia 2014. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Ważne Ten artykuł zawiera informacje dotyczące sposobu modyfikowania rejestru. Przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Należy upewnić się, że znany jest sposób przywracania rejestru w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows
WPROWADZENIE
Ten artykuł zawiera informacje dotyczące sposobu modyfikowania wpisu rejestru RequireAsChecksum. Ten wpis rejestru ułatwia zapewnienie dodatkowej ochrony po zainstalowaniu aktualizacji zabezpieczeń 899587 firmy Microsoft. Ta aktualizacja zabezpieczeń jest udokumentowana w biuletynie MS05-042 dotyczącym zabezpieczeń.

Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
899587 Luki w protokole Kerberos umożliwiają odmowę usługi, ujawnienie informacji i fałszowanie
Więcej informacji
Ostrzeżenie Niepoprawne modyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może być przyczyną poważnych problemów. Mogą one wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym zmodyfikowaniem rejestru będzie możliwe. Możesz modyfikować rejestr na własną odpowiedzialność.

W aktualizacji zabezpieczeń 899587 uwzględniono niektóre zmiany funkcji związane z zabezpieczeniami. W biuletynie MS05-042 dotyczącym zabezpieczeń omówiono luki w zabezpieczeniach zgłoszone przez źródła zewnętrzne. Oprócz zmian wymienionych w każdej sekcji „Szczegółowe informacje dotyczące luki w zabezpieczeniach” biuletynu MS05-042 dotyczącego zabezpieczeń w aktualizacji zabezpieczeń 899587 uwzględniono jednak dodatkową zmianę funkcji. Dodano opcjonalny, jednak zalecany wpis rejestru (RequireAsChecksum), aby ułatwić zapewnienie dodatkowej ochrony przed potencjalnymi lukami w zabezpieczeniach, związanymi z mechanizmem PKINIT, które mogą wystąpić w przyszłości. Wpis rejestru RequireAsChecksum znajduje się w następujących podkluczach rejestru:
  • System Microsoft Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Systemy Microsoft Windows 2000 i Microsoft Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

Możliwe wartości dla wpisu rejestru RequireAsChecksum są następujące:
  • RequireAsChecksum = 1 lub inna wartość różna od zera
    Jeżeli to ustawienie jest włączone, komputer kliencki akceptuje tylko odpowiedzi zgodne z najnowszą wersją mechanizmu PKINIT (PKINIT-27) z kontrolera domeny, związane z logowaniem przy użyciu karty inteligentnej.
  • RequireAsChecksum = 0
    Jeżeli to ustawienie jest wyłączone, komputer klienci akceptuje odpowiedzi zgodne z nową wersją lub starszymi wersjami.
Uwaga Jeżeli ten wpis nie zostanie umieszczony w rejestrze, komputer funkcjonuje, tak jak po wyłączeniu tego ustawienia.

Logowanie przy użyciu karty inteligentnej kończy się niepowodzeniem wówczas, gdy spełnione są wszystkie następujące warunki:
  • Próba logowania jest inicjowana przez komputer kliencki.
  • Aktualizacja zabezpieczeń 899587 jest zainstalowana na komputerze klienckim.
  • Na komputerze klienckim skonfigurowano wartość wpisu rejestru RequireAsChecksum równą 1.
  • Na kontrolerze domeny, odpowiadającym na żądanie dotyczące uwierzytelniania, nie zainstalowano aktualizacji zabezpieczeń 899587.
Firma Microsoft zaleca włączenie tego ustawienia w rejestrze na komputerach klienckich dopiero po wdrożeniu aktualizacji zabezpieczeń 899587 na wszystkich kontrolerach domeny w danej domenie.

Uwaga Po zmodyfikowaniu tego wpisu rejestru należy ponownie uruchomić komputer z systemem Windows 2000. Ponowne uruchamianie komputera nie jest jednak wymagane w przypadku komputerów, na których jest uruchomiony system Windows XP lub system Windows Server 2003.
Właściwości

Identyfikator artykułu: 904766 — ostatni przegląd: 01/16/2015 16:38:55 — zmiana: 1.1

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity KB904766
Opinia