Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Úvod

Microsoft oznamuje dostupnosť novej funkcie Rozšírenej ochrany pre overovanie (EPA) na platforme Windows. Táto funkcia zvyšuje ochranu a spracovanie poverení pri overovaní sieťových pripojení pomocou integrovaného overovania systému Windows (IWA).Samotná aktualizácia priamo neposkytuje ochranu pred konkrétnymi útokmi, ako je preposielanie poverení, ale umožňuje aplikáciám prihlásiť sa do EPA. Toto upozornenie informuje vývojárov a správcov systému o tejto novej funkcii a o tom, ako ju možno nasadiť na ochranu poverení overovania.Ďalšie informácie nájdete v téme Microsoft bezpečnostné poradenstvo 973811.

Ďalšie informácie

Táto aktualizácia zabezpečenia upravuje rozhranie SSPI (Security Support Provider Interface) na vylepšenie spôsobu, akým overovanie systému Windows funguje, aby sa poverenia po zapnutí aplikácie IWA ľahko nepreposlali.Keď je povolená EPA, požiadavky na overovanie sa viažu na hlavné názvy služby (SPN) servera, ku ktorému sa klient pokúša pripojiť, ako aj na vonkajší kanál TLS (Transport Layer Security), cez ktorý sa vykonáva overovanie IWA.

Aktualizácia pridá novú položku databázy Registry na spravovanie rozšírenej ochrany:

  • Nastavte hodnotu databázy Registry SuppressExtendedProtection .

    Kľúč databázy Registry

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Hodnota

    SuppressExtendedProtection

    Typ

    REG_DWORD

    Údaje

    0 Umožňuje technológiu ochrany.1 Rozšírená ochrana je vypnutá.3 Rozšírená ochrana je zakázaná a zakázané sú aj väzby kanála odoslané protokolom Kerberos, a to aj v prípade, že ich aplikácia poskytuje.

    Predvolená hodnota: 0x0

    Poznámka Problém, ktorý sa vyskytuje, keď EPA je povolená predvolene je popísaná v zlyhaní overovania z non-Windows NTLM alebo Kerberos servery tému na Microsoft webovej lokalite.

  • Nastavte hodnotu LmCompatibilityLevel databázy Registry.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel na 3. Toto je existujúci kľúč, ktorý umožňuje overovanie NTLMv2. EPA sa vzťahuje len na protokoly NTLMv2, Kerberos, digest a negotiation authentication a nevzťahuje sa na NTLMv1.

Poznámka Po nastavení hodnôt SuppressExtendedProtection a LmCompatibilityLevel databázy Registry v počítači s Windowsom je potrebné reštartovať počítač.

Povoliť rozšírenú ochranu

Poznámka Predvolene sú rozšírené zabezpečenie a NTLMv2 povolené vo všetkých podporovaných verziách Windowsu. Túto príručku môžete použiť na overenie tohto prípadu.

Dôležité Táto časť, metóda alebo úloha obsahuje kroky, ktoré vám oznámia, ako upraviť databázu Registry. Ak však databázu Registry upravíte nesprávne, môžu sa vyskytnúť vážne problémy. Preto sa uistite, že tieto kroky dodržiavajte opatrne. Ak chcete zvýšiť ochranu, databázu Registry si pred vykonaním úprav zálohujte. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry zobrazíte kliknutím na nasledujúce číslo článku v databáze Knowledge Base Microsoft:

  • KB322756 Zálohovanie a obnovenie databázy Registry vo Windowse

Ak chcete po stiahnutí a inštalácii aktualizácie zabezpečenia pre svoju platformu zapnúť rozšírenú ochranu sami, postupujte takto:

  1. Spustite Editor databázy Registry. Ak to chcete urobiť, kliknite na tlačidlo Štart, potom na položku Spustiť, do poľa Otvoriť zadajte príkaz regedit a potom kliknite na tlačidlo OK.

  2. Vyhľadajte a kliknite na nasledujúci podkľúč databázy Registry:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Overte, či sú prítomné hodnoty databázy Registry SuppressExtendedProtection a LmCompatibilityLevel .Ak hodnoty databázy Registry nie sú k dispozícii, vytvorte ich pomocou týchto krokov:

    1. Vyberte podkľúč databázy Registry, ktorý je uvedený v kroku 2, v ponuke Úpravy ukážte na položku Nové a potom kliknite na položku Hodnota DWORD.

    2. Zadajte príkaz SuppressExtendedProtection a potom stlačte kláves Enter.

    3. Vyberte podkľúč databázy Registry, ktorý je uvedený v kroku 2, v ponuke Úpravy ukážte na položku Nové a potom kliknite na položku Hodnota DWORD.

    4. Zadajte hodnotu LmCompatibilityLevel a potom stlačte kláves Enter.

  4. Kliknutím vyberte hodnotu databázy Registry SuppressExtendedProtection .

  5. V ponuke Upraviť kliknite na položku Upraviť.

  6. Do poľa Údaje hodnoty zadajte hodnotu 0 a potom kliknite na tlačidlo OK.

  7. Kliknutím vyberte hodnotu databázy Registry LmCompatibilityLevel .

  8. V ponuke Upraviť kliknite na položku Upraviť.Poznámka Tento krok mení požiadavky overovania NTLM. Prečítajte si nasledujúci článok v Microsoft vedomostnej databáze, aby ste sa uistili, že poznáte toto správanie.

    KB239869 Ako povoliť overovanie NTLM 2

  9. Do poľa Údaje hodnoty zadajte číslo 3 a potom kliknite na tlačidlo OK.

  10. Ukončite editor databázy Registry.

  11. Ak vykonáte tieto zmeny v počítači s Windowsom, zmeny sa prejavia až po reštartovaní počítača.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.