Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Introducere

Microsoft anunță disponibilitatea unei caracteristici noi, Protecție extinsă la autentificare (EPA) pe platforma Windows. Această caracteristică îmbunătățește protecția și gestionarea acreditărilor atunci când autentificați conexiunile de rețea utilizând autentificarea Windows integrată (IWA).

Actualizarea în sine nu oferă direct protecție împotriva atacurilor specifice, cum ar fi redirecționarea acreditărilor, dar permite aplicațiilor să opteze pentru EPA. Această recomandare îi informează pe dezvoltatori și administratorii de sistem despre această nouă funcționalitate și despre cum poate fi implementată pentru a contribui la protejarea acreditărilor de autentificare.

Pentru mai multe informații, consultați Microsoft 973811 Sfatul de securitate.

Mai multe informații

Această actualizare de securitate modifică interfața furnizorului de asistență de securitate (SSPI) pentru a îmbunătăți modul în care funcționează autentificarea Windows, astfel încât acreditările să nu fie redirecționate cu ușurință atunci când este activat IWA.

Atunci când este activat EPA, solicitările de autentificare sunt legate atât la numele principale de serviciu (SPN) ale serverului la care încearcă să se conecteze clientul, cât și la canalul TLS (Transport Layer Security) extern peste care are loc autentificarea IWA.

Actualizarea adaugă o nouă intrare de registry pentru a gestiona Protecția extinsă:

  • Setați valoarea registry SuppressExtendedProtection .

    Cheie de registry

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Valoare

    SuppressExtendedProtection

    Tip

    REG_DWORD

    Date

    0 Activează tehnologia de protecție.
    1 Protecția extinsă este dezactivată.
    3 Protecția extinsă este dezactivată și legăturile de canal trimise de Kerberos sunt, de asemenea, dezactivate, chiar dacă aplicația le furnizează.

    Valoare implicită: 0x0

    Notă O problemă care apare atunci când EPA este activat în mod implicit este descrisă în subiectul Eroare de autentificare de la serverele non-Windows NTLM sau Kerberos de pe site-ul web Microsoft.

  • Setați valoarea registry LmCompatibilityLevel .

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel la 3. Aceasta este o cheie existentă care activează autentificarea NTLMv2. EPA se aplică doar protocoalelor de autentificare NTLMv2, Kerberos, digest și negociere și nu se aplică la NTLMv1.

Notă Trebuie să reporniți computerul după ce setați valorile de registry SuppressExtendedProtection și LmCompatibilityLevel pe un computer Windows.

Activați protecția extinsă

Notă În mod implicit, Protecția extinsă și NTLMv2 sunt ambele activate în toate versiunile de Windows acceptate. Puteți utiliza acest ghid pentru a verifica dacă acesta este cazul.

Important Această secțiune, metodă sau activitate conține pași care vă spun cum să modificați registry. Totuși, pot apărea probleme grave dacă faceți modificări incorecte în registry. Prin urmare, asigurați-vă că urmați acești pași cu atenție. Pentru protecție suplimentară, faceți backup registry înainte de a-l modifica. Apoi, puteți restaura registry dacă apare o problemă. Pentru mai multe informații despre cum să faceți backup și să restaurați registry, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

  • KB322756 Cum se face backup și se restaurează registry în Windows

Pentru a activa singur Protecția extinsă după ce descărcați și instalați actualizarea de securitate pentru platforma dvs., urmați acești pași:

  1. Porniți Registry Editor. Pentru a face acest lucru, faceți clic pe Start, pe Executare, tastați regedit în caseta Deschidere , apoi faceți clic pe OK.

  2. Găsiți și faceți clic pe următoarea subcheie de registry:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Verificați dacă sunt prezente valorile de registry SuppressExtendedProtection și LmCompatibilityLevel .

    Dacă valorile de registry nu sunt prezente, urmați acești pași pentru a le crea:

    1. Cu subcheia de registry care este listată în pasul 2 selectată, în meniul Editare , indicați spre Nou, apoi faceți clic pe DWORD Value.

    2. Tastați SuppressExtendedProtection, apoi apăsați pe Enter.

    3. Cu subcheia de registry care este listată în pasul 2 selectată, în meniul Editare , indicați spre Nou, apoi faceți clic pe DWORD Value.

    4. Tastați LmCompatibilityLevel, apoi apăsați pe Enter.

  4. Faceți clic pentru a selecta valoarea de registry SuppressExtendedProtection .

  5. În meniul Editare , faceți clic pe Modificare.

  6. În caseta Date valoare , tastați 0, apoi faceți clic pe OK.

  7. Faceți clic pentru a selecta valoarea de registry LmCompatibilityLevel .

  8. În meniul Editare , faceți clic pe Modificare.

    Notă Acest pas modifică cerințele de autentificare NTLM. Consultați următorul articol din Baza de cunoștințe Microsoft pentru a vă asigura că sunteți familiarizat cu acest comportament.

    KB239869 Cum se activează autentificarea NTLM 2

  9. În caseta Date valoare , tastați 3, apoi faceți clic pe OK.

  10. Ieșiți din Registry Editor.

  11. Dacă efectuați aceste modificări pe un computer Windows, trebuie să reporniți computerul înainte ca modificările să aibă efect.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×