Wprowadzenie
Microsoft ogłasza dostępność nowej funkcji( Extended Protection for Authentication, EPA) na platformie Windows. Ta funkcja zwiększa ochronę i obsługę poświadczeń podczas uwierzytelniania połączeń sieciowych przy użyciu zintegrowanego uwierzytelniania systemu Windows (IWA).
Sama aktualizacja nie zapewnia bezpośredniej ochrony przed konkretnymi atakami, takimi jak przekazywanie poświadczeń, ale pozwala aplikacjom na zgodę na epa. Ta porada zawiera informacje dla deweloperów i administratorów systemu na temat tej nowej funkcji oraz sposobu jej wdrożenia w celu ochrony poświadczeń uwierzytelniania.
Aby uzyskać więcej informacji, zobacz Microsoft 973811 porad dotyczących zabezpieczeń.
Więcej informacji
Ta aktualizacja zabezpieczeń modyfikuje interfejs SSPI (Security Support Provider Interface) w celu ulepszenia sposobu działania uwierzytelniania systemu Windows, dzięki czemu poświadczenia nie są łatwo przesyłane dalej po włączeniu funkcji IWA.
Po włączeniu protokołu EPA żądania uwierzytelniania są powiązane zarówno z nazwami spn (Service Principal Names) serwera, z którym klient próbuje nawiązać połączenie, jak i z zewnętrznym kanałem TLS (Transport Layer Security), za pośrednictwem którego następuje uwierzytelnianie IWA.
Aktualizacja dodaje nowy wpis rejestru do zarządzania rozszerzoną ochroną:
-
Ustaw wartość registry SuppressExtendedProtection (PomińExtendedProtection ).
Klucz rejestru
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Wartość
SuppressExtendedProtection
Typ
REG_DWORD
dane
0 Umożliwia technologię ochrony.
1 Dodatkowa ochrona jest wyłączona.
3 Rozszerzona ochrona jest wyłączona, a powiązania kanału wysyłane przez protokół Kerberos również są wyłączone, nawet jeśli aplikacja je dostarcza.Wartość domyślna: 0x0
Uwaga Problem występujący po domyślnym włączeniu protokołu EPA jest opisany w temacie Błąd uwierzytelniania z serwerów NTLM innych niż Windows lub Kerberos w witrynie internetowej Microsoft.
-
Ustaw wartość LmCompatibilityLevel rejestru.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel do 3. Jest to istniejący klucz, który umożliwia uwierzytelnianie NTLMv2. EPA dotyczy tylko protokołów NTLMv2, Kerberos, digest i negocjacji uwierzytelniania i nie ma zastosowania do NTLMv1.
Uwaga Po ustawieniu wartości rejestru SuppressExtendedProtection i LmCompatibilityLevel na komputerze z systemem Windows należy ponownie uruchomić komputer.
Włącz rozszerzoną ochronę
Uwaga Domyślnie opcje Rozszerzona ochrona i NTLMv2 są włączone we wszystkich obsługiwanych wersjach systemu Windows. Za pomocą tego przewodnika możesz sprawdzić, czy tak jest.
Ważne Ta sekcja, metoda lub zadanie zawiera kroki umożliwiające modyfikowanie rejestru. Niepoprawne zmodyfikowanie rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonywać poniższe czynności. Aby uzyskać dodatkową ochronę, utwórz kopię zapasową rejestru przed jego modyfikacją. Następnie możesz przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej rejestru i przywracania go, kliknij następujący numer artykułu, aby wyświetlić ten artykuł w Microsoft bazie wiedzy:
-
KB322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Aby samodzielnie włączyć rozszerzoną ochronę po pobraniu i zainstalowaniu aktualizacji zabezpieczeń dla platformy, wykonaj następujące czynności:
-
Uruchom Edytor rejestru. W tym celu kliknij przycisk Start, kliknij polecenie Uruchom, wpisz regedit w polu Otwórz , a następnie kliknij przycisk OK.
-
Znajdź i kliknij następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Sprawdź, czy wartości rejestru SuppressExtendedProtection i LmCompatibilityLevel są obecne.
Jeśli wartości rejestru nie są dostępne, wykonaj następujące czynności, aby je utworzyć:-
Po zaznaczeniu podklucza rejestru wymienionego w kroku 2 w menu Edycja wskaż pozycję Nowy, a następnie kliknij pozycję Wartość DWORD.
-
Wpisz SuppressExtendedProtection, a następnie naciśnij klawisz Enter.
-
Po zaznaczeniu podklucza rejestru wymienionego w kroku 2 w menu Edycja wskaż pozycję Nowy, a następnie kliknij pozycję Wartość DWORD.
-
Wpisz LmCompatibilityLevel, a następnie naciśnij klawisz Enter.
-
-
Kliknij, aby wybrać wartość rejestru SuppressExtendedProtection .
-
W menu Edycja kliknij polecenie Modyfikuj.
-
W polu Dane wartości wpisz wartość 0, a następnie kliknij przycisk OK.
-
Kliknij, aby wybrać wartość rejestru LmCompatibilityLevel .
-
W menu Edycja kliknij polecenie Modyfikuj.
Uwaga Ten krok zmienia wymagania uwierzytelniania NTLM. Zapoznaj się z następującym artykułem w bazie wiedzy Microsoft Knowledge Base, aby upewnić się, że znasz to zachowanie.KB239869 Jak włączyć uwierzytelnianie NTLM 2
-
W polu Dane wartości wpisz wartość 3, a następnie kliknij przycisk OK.
-
Zamknij Edytor rejestru.
-
Jeśli wprowadzisz te zmiany na komputerze z systemem Windows, musisz ponownie uruchomić komputer, zanim zmiany zostaną wprowadzone.
