Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Introdução

A Microsoft está anunciando a disponibilidade de um novo recurso, Proteção Estendida para Autenticação (EPA), na plataforma Windows. Esse recurso aprimora a proteção e o manuseio de credenciais ao autenticar conexões de rede usando a Autenticação Integrada do Windows (IWA).

A atualização em si não fornece proteção direta contra ataques específicos, como o encaminhamento de credenciais, mas permite que os aplicativos optem pela EPA. Este comunicado informa os desenvolvedores e administradores de sistema sobre essa nova funcionalidade e como ela pode ser implantada para ajudar a proteger as credenciais de autenticação.

Para obter mais informações, consulte Comunicado de Segurança da Microsoft 973811.

Informações adicionais

Essa atualização de segurança modifica a interface SSPI (SSPI) para aprimorar a maneira como a autenticação do Windows funciona, de forma que as credenciais não sejam facilmente encaminhadas quando o IWA estiver habilitado.

Quando o EPA está ativado, as solicitações de autenticação são vinculadas aos Nomes de Entidades de Serviço (SPN) do servidor ao qual o cliente tenta se conectar e ao canal externo de Segurança da Camada de Transporte (TLS) sobre o qual ocorre a autenticação IWA.

A atualização adiciona uma nova entrada de registro para gerenciar a Proteção Estendida:

  • Defina o valor do Registro SuppressExtendedProtection.

    Chave do Registro

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Valor

    SuppressExtendedProtection

    Tipo

    REG_DWORD

    Dados

    0 Habilita a tecnologia de proteção.
    1 Proteção Estendida desabilitada.
    3 A Proteção Estendida está desativada e as ligações de canais enviadas pelo Kerberos também estão desativadas, mesmo que o aplicativo as forneça.

    Valor padrão: 0x0

    Observação Um problema que ocorre quando o EPA está ativado por padrão é descrito no tópico Falha de autenticação de servidores não Windows NTLM ou Kerberos no site da Microsoft.

  • Defina o valor do registro LmCompatibilityLevel.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel para 3. Esta é uma chave existente que permite a Autenticação NTLMv2. O EPA se aplica apenas aos protocolos de autenticação NTLMv2, Kerberos, Digest e Negociation e não se aplica ao NTLMv1.

Observação Você precisa reiniciar o computador depois de definir os valores de registro SuppressExtendedProtection e LmCompatibilityLevel em um computador Windows.

Habilita Proteção Estendida

Observação Por padrão, a Proteção Estendida e o NTLMv2 estão habilitados em todas as versões suportadas do Windows. Você pode usar este guia para verificar se esse é o caso.

Importante Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer o backup e a restauração do Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

  • KB322756 Como fazer backup e restaurar o registro no Windows

Para habilitar você mesmo a Proteção Estendida depois de baixar e instalar a atualização de segurança para sua plataforma, siga estas etapas:

  1. Inicie o Editor do Registro. Para fazer isso, clique em Iniciar, clique em Executar, digite regedit na caixa Abrir e clique em OK.

  2. Localize e clique na seguinte subchave do Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Verifique se os valores do registro SuppressExtendedProtection e LmCompatibilityLevel estão presentes.

    Se os valores do registro não estiverem presentes, siga estas etapas para criá-los:

    1. Com a subchave de registro listada na etapa 2 selecionada, no menu Editar, aponte para Novo e clique em Valor DWORD.

    2. Digite SuppressExtendedProtection e pressione Enter.

    3. Com a subchave de registro listada na etapa 2 selecionada, no menu Editar, aponte para Novo e clique em Valor DWORD.

    4. Digite LmCompatibilityLevel e pressione Enter.

  4. Clique para selecionar o valor do Registro SuppressExtendedProtection.

  5. No menu Editar, clique em Modificar.

  6. Na caixa Dados do valor, digite 0 e clique em OK.

  7. Clique para selecionar o valor do Registro LmCompatibilityLevel.

  8. No menu Editar, clique em Modificar.

    Observação Esta etapa altera os requisitos de autenticação NTLM. Leia o artigo a seguir na Base de Dados de Conhecimento da Microsoft para verificar se você está familiarizado com esse comportamento.

    KB239869 Como habilitar a autenticação NTLM 2

  9. Na caixa Dados de valor, digite 3 e clique em OK.

  10. Saia do Editor do Registro.

  11. Se você fizer essas alterações em um computador Windows, será necessário reiniciar o computador antes que as alterações entrem em vigor.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×