Introducere
Microsoft anunță disponibilitatea unei caracteristici noi, Protecție extinsă la autentificare (EPA) pe platforma Windows. Această caracteristică îmbunătățește protecția și gestionarea acreditărilor atunci când autentificați conexiunile de rețea utilizând autentificarea Windows integrată (IWA).Microsoft 973811 Sfatul de securitate.
Actualizarea în sine nu oferă direct protecție împotriva atacurilor specifice, cum ar fi redirecționarea acreditărilor, dar permite aplicațiilor să opteze pentru EPA. Această recomandare îi informează pe dezvoltatori și administratorii de sistem despre această nouă funcționalitate și despre cum poate fi implementată pentru a contribui la protejarea acreditărilor de autentificare. Pentru mai multe informații, consultațiMai multe informații
Această actualizare de securitate modifică interfața furnizorului de asistență de securitate (SSPI) pentru a îmbunătăți modul în care funcționează autentificarea Windows, astfel încât acreditările să nu fie redirecționate cu ușurință atunci când este activat IWA.
Atunci când este activat EPA, solicitările de autentificare sunt legate atât la numele principale de serviciu (SPN) ale serverului la care încearcă să se conecteze clientul, cât și la canalul TLS (Transport Layer Security) extern peste care are loc autentificarea IWA.Actualizarea adaugă o nouă intrare de registry pentru a gestiona Protecția extinsă:
-
Setați valoarea registry SuppressExtendedProtection .
Cheie de registry
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Valoare
SuppressExtendedProtection
Tip
REG_DWORD
Date
0 Activează tehnologia de protecție.
1 Protecția extinsă este dezactivată. 3 Protecția extinsă este dezactivată și legăturile de canal trimise de Kerberos sunt, de asemenea, dezactivate, chiar dacă aplicația le furnizează.Valoare implicită: 0x0
Notă O problemă care apare atunci când EPA este activat în mod implicit este descrisă în subiectul Eroare de autentificare de la serverele non-Windows NTLM sau Kerberos de pe site-ul web Microsoft.
-
Setați valoarea registry LmCompatibilityLevel .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel la 3. Aceasta este o cheie existentă care activează autentificarea NTLMv2. EPA se aplică doar protocoalelor de autentificare NTLMv2, Kerberos, digest și negociere și nu se aplică la NTLMv1.
Notă Trebuie să reporniți computerul după ce setați valorile de registry SuppressExtendedProtection și LmCompatibilityLevel pe un computer Windows.
Activați protecția extinsă
Notă În mod implicit, Protecția extinsă și NTLMv2 sunt ambele activate în toate versiunile de Windows acceptate. Puteți utiliza acest ghid pentru a verifica dacă acesta este cazul.
Important Această secțiune, metodă sau activitate conține pași care vă spun cum să modificați registry. Totuși, pot apărea probleme grave dacă faceți modificări incorecte în registry. Prin urmare, asigurați-vă că urmați acești pași cu atenție. Pentru protecție suplimentară, faceți backup registry înainte de a-l modifica. Apoi, puteți restaura registry dacă apare o problemă. Pentru mai multe informații despre cum să faceți backup și să restaurați registry, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
-
KB322756 Cum se face backup și se restaurează registry în Windows
Pentru a activa singur Protecția extinsă după ce descărcați și instalați actualizarea de securitate pentru platforma dvs., urmați acești pași:
-
Porniți Registry Editor. Pentru a face acest lucru, faceți clic pe Start, pe Executare, tastați regedit în caseta Deschidere , apoi faceți clic pe OK.
-
Găsiți și faceți clic pe următoarea subcheie de registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Verificați dacă sunt prezente valorile de registry SuppressExtendedProtection și LmCompatibilityLevel .
Dacă valorile de registry nu sunt prezente, urmați acești pași pentru a le crea:-
Cu subcheia de registry care este listată în pasul 2 selectată, în meniul Editare , indicați spre Nou, apoi faceți clic pe DWORD Value.
-
Tastați SuppressExtendedProtection, apoi apăsați pe Enter.
-
Cu subcheia de registry care este listată în pasul 2 selectată, în meniul Editare , indicați spre Nou, apoi faceți clic pe DWORD Value.
-
Tastați LmCompatibilityLevel, apoi apăsați pe Enter.
-
-
Faceți clic pentru a selecta valoarea de registry SuppressExtendedProtection .
-
În meniul Editare , faceți clic pe Modificare.
-
În caseta Date valoare , tastați 0, apoi faceți clic pe OK.
-
Faceți clic pentru a selecta valoarea de registry LmCompatibilityLevel .
-
În meniul Editare , faceți clic pe Modificare.
Notă Acest pas modifică cerințele de autentificare NTLM. Consultați următorul articol din Baza de cunoștințe Microsoft pentru a vă asigura că sunteți familiarizat cu acest comportament.KB239869 Cum se activează autentificarea NTLM 2
-
În caseta Date valoare , tastați 3, apoi faceți clic pe OK.
-
Ieșiți din Registry Editor.
-
Dacă efectuați aceste modificări pe un computer Windows, trebuie să reporniți computerul înainte ca modificările să aibă efect.