Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Introducere

Microsoft anunță disponibilitatea unei caracteristici noi, Protecție extinsă la autentificare (EPA) pe platforma Windows. Această caracteristică îmbunătățește protecția și gestionarea acreditărilor atunci când autentificați conexiunile de rețea utilizând autentificarea Windows integrată (IWA).Actualizarea în sine nu oferă direct protecție împotriva atacurilor specifice, cum ar fi redirecționarea acreditărilor, dar permite aplicațiilor să opteze pentru EPA. Această recomandare îi informează pe dezvoltatori și administratorii de sistem despre această nouă funcționalitate și despre cum poate fi implementată pentru a contribui la protejarea acreditărilor de autentificare.Pentru mai multe informații, consultați Microsoft 973811 Sfatul de securitate.

Mai multe informații

Această actualizare de securitate modifică interfața furnizorului de asistență de securitate (SSPI) pentru a îmbunătăți modul în care funcționează autentificarea Windows, astfel încât acreditările să nu fie redirecționate cu ușurință atunci când este activat IWA.Atunci când este activat EPA, solicitările de autentificare sunt legate atât la numele principale de serviciu (SPN) ale serverului la care încearcă să se conecteze clientul, cât și la canalul TLS (Transport Layer Security) extern peste care are loc autentificarea IWA.

Actualizarea adaugă o nouă intrare de registry pentru a gestiona Protecția extinsă:

  • Setați valoarea registry SuppressExtendedProtection .

    Cheie de registry

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Valoare

    SuppressExtendedProtection

    Tip

    REG_DWORD

    Date

    0 Activează tehnologia de protecție.1 Protecția extinsă este dezactivată.3 Protecția extinsă este dezactivată și legăturile de canal trimise de Kerberos sunt, de asemenea, dezactivate, chiar dacă aplicația le furnizează.

    Valoare implicită: 0x0

    Notă O problemă care apare atunci când EPA este activat în mod implicit este descrisă în subiectul Eroare de autentificare de la serverele non-Windows NTLM sau Kerberos de pe site-ul web Microsoft.

  • Setați valoarea registry LmCompatibilityLevel .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel la 3. Aceasta este o cheie existentă care activează autentificarea NTLMv2. EPA se aplică doar protocoalelor de autentificare NTLMv2, Kerberos, digest și negociere și nu se aplică la NTLMv1.

Notă Trebuie să reporniți computerul după ce setați valorile de registry SuppressExtendedProtection și LmCompatibilityLevel pe un computer Windows.

Activați protecția extinsă

Notă În mod implicit, Protecția extinsă și NTLMv2 sunt ambele activate în toate versiunile de Windows acceptate. Puteți utiliza acest ghid pentru a verifica dacă acesta este cazul.

Important Această secțiune, metodă sau activitate conține pași care vă spun cum să modificați registry. Totuși, pot apărea probleme grave dacă faceți modificări incorecte în registry. Prin urmare, asigurați-vă că urmați acești pași cu atenție. Pentru protecție suplimentară, faceți backup registry înainte de a-l modifica. Apoi, puteți restaura registry dacă apare o problemă. Pentru mai multe informații despre cum să faceți backup și să restaurați registry, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

  • KB322756 Cum se face backup și se restaurează registry în Windows

Pentru a activa singur Protecția extinsă după ce descărcați și instalați actualizarea de securitate pentru platforma dvs., urmați acești pași:

  1. Porniți Registry Editor. Pentru a face acest lucru, faceți clic pe Start, pe Executare, tastați regedit în caseta Deschidere , apoi faceți clic pe OK.

  2. Găsiți și faceți clic pe următoarea subcheie de registry:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Verificați dacă sunt prezente valorile de registry SuppressExtendedProtection și LmCompatibilityLevel .Dacă valorile de registry nu sunt prezente, urmați acești pași pentru a le crea:

    1. Cu subcheia de registry care este listată în pasul 2 selectată, în meniul Editare , indicați spre Nou, apoi faceți clic pe DWORD Value.

    2. Tastați SuppressExtendedProtection, apoi apăsați pe Enter.

    3. Cu subcheia de registry care este listată în pasul 2 selectată, în meniul Editare , indicați spre Nou, apoi faceți clic pe DWORD Value.

    4. Tastați LmCompatibilityLevel, apoi apăsați pe Enter.

  4. Faceți clic pentru a selecta valoarea de registry SuppressExtendedProtection .

  5. În meniul Editare , faceți clic pe Modificare.

  6. În caseta Date valoare , tastați 0, apoi faceți clic pe OK.

  7. Faceți clic pentru a selecta valoarea de registry LmCompatibilityLevel .

  8. În meniul Editare , faceți clic pe Modificare.Notă Acest pas modifică cerințele de autentificare NTLM. Consultați următorul articol din Baza de cunoștințe Microsoft pentru a vă asigura că sunteți familiarizat cu acest comportament.

    KB239869 Cum se activează autentificarea NTLM 2

  9. În caseta Date valoare , tastați 3, apoi faceți clic pe OK.

  10. Ieșiți din Registry Editor.

  11. Dacă efectuați aceste modificări pe un computer Windows, trebuie să reporniți computerul înainte ca modificările să aibă efect.

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.