Introdução
Microsoft está a anunciar a disponibilidade de uma nova funcionalidade, a Proteção Expandida para Autenticação (EPA), na plataforma Windows. Esta funcionalidade melhora a proteção e o processamento de credenciais ao autenticar ligações de rede através da Autenticação Integrada do Windows (IWA).
A atualização em si não fornece diretamente proteção contra ataques específicos, como o reencaminhamento de credenciais, mas permite que as aplicações optem ativamente por participar na EPA. Este aviso informa os programadores e administradores de sistema sobre esta nova funcionalidade e como podem ser implementados para ajudar a proteger as credenciais de autenticação.
Para obter mais informações, veja Microsoft 973811 de Aconselhamento de Segurança.
Mais Informações
Esta atualização de segurança modifica a Interface do Fornecedor de Suporte de Segurança (SSPI) para melhorar a forma como a autenticação do Windows funciona para que as credenciais não sejam facilmente reencaminhadas quando o IWA está ativado.
Quando a EPA está ativada, os pedidos de autenticação estão vinculados aos Nomes dos Principais de Serviço (SPN) do servidor ao qual o cliente tenta ligar-se e ao canal TLS (Transport Layer Security) externo através do qual ocorre a autenticação do IWA.
A atualização adiciona uma nova entrada de registo para gerir a Proteção Expandida:
-
Defina o valor SuppressExtendedProtection do registo.
Chave do registo
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Valor
SuppressExtendedProtection
Tipo
REG_DWORD
Dados
0 Ativa a tecnologia de proteção.
1 A Proteção Expandida está desativada.
3 A Proteção Expandida está desativada e os enlaces de canal enviados pelo Kerberos também são desativados, mesmo que a aplicação os forneça.Valor predefinido: 0x0
Nota Um problema que ocorre quando a EPA está ativada por predefinição está descrito no tópico Falha de autenticação de servidores Não Windows NTLM ou Kerberos no site do Microsoft.
-
Defina o valor LmCompatibilityLevel do registo.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel a 3. Esta é uma chave existente que ativa a Autenticação NTLMv2. A EPA aplica-se apenas aos protocolos de autenticação NTLMv2, Kerberos, digest e negociação e não se aplica ao NTLMv1.
Nota Tem de reiniciar o computador depois de definir os valores de registo SuppressExtendedProtection e LmCompatibilityLevel num computador Windows.
Ativar a Proteção Expandida
Nota Por predefinição, a Proteção Expandida e o NTLMv2 estão ambos ativados em todas as versões suportadas do Windows. Pode utilizar este guia para verificar se é este o caso.
Importante Esta secção, método ou tarefa contém passos que lhe indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorretamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para proteção adicional, faça uma cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:
-
KB322756 Como fazer uma cópia de segurança e restaurar o registo no Windows
Para ativar a Proteção Expandida depois de transferir e instalar a atualização de segurança para a sua plataforma, siga estes passos:
-
Inicie o Editor de Registo. Para tal, clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e, em seguida, clique em OK.
-
Localize e, em seguida, clique na seguinte subchave de registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Verifique se os valores de registo SuppressExtendedProtection e LmCompatibilityLevel estão presentes.
Se os valores do registo não estiverem presentes, siga estes passos para os criar:-
Com a subchave de registo listada no passo 2 selecionada, no menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD.
-
Escreva SuppressExtendedProtection e, em seguida, prima Enter.
-
Com a subchave de registo listada no passo 2 selecionada, no menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD.
-
Escreva LmCompatibilityLevel e, em seguida, prima Enter.
-
-
Clique para selecionar o valor do registo SuppressExtendedProtection .
-
No menu Editar , clique em Modificar.
-
Na caixa Dados do valor , escreva 0 e, em seguida, clique em OK.
-
Clique para selecionar o valor de registo LmCompatibilityLevel .
-
No menu Editar , clique em Modificar.
Nota Este passo altera os requisitos de autenticação NTLM. Reveja o seguinte artigo na Base de Dados de Conhecimento Microsoft para se certificar de que está familiarizado com este comportamento.KB239869 Como ativar a autenticação NTLM 2
-
Na caixa Dados do valor , escreva 3 e, em seguida, clique em OK.
-
Saia do Editor de Registo.
-
Se efetuar estas alterações num computador Windows, tem de reiniciar o computador antes de as alterações entrarem em vigor.
