Úvod
Microsoft oznamuje dostupnosť novej funkcie Rozšírenej ochrany pre overovanie (EPA) na platforme Windows. Táto funkcia zvyšuje ochranu a spracovanie poverení pri overovaní sieťových pripojení pomocou integrovaného overovania systému Windows (IWA).v téme Microsoft bezpečnostné poradenstvo 973811.
Samotná aktualizácia priamo neposkytuje ochranu pred konkrétnymi útokmi, ako je preposielanie poverení, ale umožňuje aplikáciám prihlásiť sa do EPA. Toto upozornenie informuje vývojárov a správcov systému o tejto novej funkcii a o tom, ako ju možno nasadiť na ochranu poverení overovania. Ďalšie informácie nájdeteĎalšie informácie
Táto aktualizácia zabezpečenia upravuje rozhranie SSPI (Security Support Provider Interface) na vylepšenie spôsobu, akým overovanie systému Windows funguje, aby sa poverenia po zapnutí aplikácie IWA ľahko nepreposlali.
Keď je povolená EPA, požiadavky na overovanie sa viažu na hlavné názvy služby (SPN) servera, ku ktorému sa klient pokúša pripojiť, ako aj na vonkajší kanál TLS (Transport Layer Security), cez ktorý sa vykonáva overovanie IWA.Aktualizácia pridá novú položku databázy Registry na spravovanie rozšírenej ochrany:
-
Nastavte hodnotu databázy Registry SuppressExtendedProtection .
Kľúč databázy Registry
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Hodnota
SuppressExtendedProtection
Typ
REG_DWORD
Údaje
0 Umožňuje technológiu ochrany.
1 Rozšírená ochrana je vypnutá. 3 Rozšírená ochrana je zakázaná a zakázané sú aj väzby kanála odoslané protokolom Kerberos, a to aj v prípade, že ich aplikácia poskytuje.Predvolená hodnota: 0x0
Poznámka Problém, ktorý sa vyskytuje, keď EPA je povolená predvolene je popísaná v zlyhaní overovania z non-Windows NTLM alebo Kerberos servery tému na Microsoft webovej lokalite.
-
Nastavte hodnotu LmCompatibilityLevel databázy Registry.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel na 3. Toto je existujúci kľúč, ktorý umožňuje overovanie NTLMv2. EPA sa vzťahuje len na protokoly NTLMv2, Kerberos, digest a negotiation authentication a nevzťahuje sa na NTLMv1.
Poznámka Po nastavení hodnôt SuppressExtendedProtection a LmCompatibilityLevel databázy Registry v počítači s Windowsom je potrebné reštartovať počítač.
Povoliť rozšírenú ochranu
Poznámka Predvolene sú rozšírené zabezpečenie a NTLMv2 povolené vo všetkých podporovaných verziách Windowsu. Túto príručku môžete použiť na overenie tohto prípadu.
Dôležité Táto časť, metóda alebo úloha obsahuje kroky, ktoré vám oznámia, ako upraviť databázu Registry. Ak však databázu Registry upravíte nesprávne, môžu sa vyskytnúť vážne problémy. Preto sa uistite, že tieto kroky dodržiavajte opatrne. Ak chcete zvýšiť ochranu, databázu Registry si pred vykonaním úprav zálohujte. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry zobrazíte kliknutím na nasledujúce číslo článku v databáze Knowledge Base Microsoft:
-
KB322756 Zálohovanie a obnovenie databázy Registry vo Windowse
Ak chcete po stiahnutí a inštalácii aktualizácie zabezpečenia pre svoju platformu zapnúť rozšírenú ochranu sami, postupujte takto:
-
Spustite Editor databázy Registry. Ak to chcete urobiť, kliknite na tlačidlo Štart, potom na položku Spustiť, do poľa Otvoriť zadajte príkaz regedit a potom kliknite na tlačidlo OK.
-
Vyhľadajte a kliknite na nasledujúci podkľúč databázy Registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Overte, či sú prítomné hodnoty databázy Registry SuppressExtendedProtection a LmCompatibilityLevel .
Ak hodnoty databázy Registry nie sú k dispozícii, vytvorte ich pomocou týchto krokov:-
Vyberte podkľúč databázy Registry, ktorý je uvedený v kroku 2, v ponuke Úpravy ukážte na položku Nové a potom kliknite na položku Hodnota DWORD.
-
Zadajte príkaz SuppressExtendedProtection a potom stlačte kláves Enter.
-
Vyberte podkľúč databázy Registry, ktorý je uvedený v kroku 2, v ponuke Úpravy ukážte na položku Nové a potom kliknite na položku Hodnota DWORD.
-
Zadajte hodnotu LmCompatibilityLevel a potom stlačte kláves Enter.
-
-
Kliknutím vyberte hodnotu databázy Registry SuppressExtendedProtection .
-
V ponuke Upraviť kliknite na položku Upraviť.
-
Do poľa Údaje hodnoty zadajte hodnotu 0 a potom kliknite na tlačidlo OK.
-
Kliknutím vyberte hodnotu databázy Registry LmCompatibilityLevel .
-
V ponuke Upraviť kliknite na položku Upraviť.
Poznámka Tento krok mení požiadavky overovania NTLM. Prečítajte si nasledujúci článok v Microsoft vedomostnej databáze, aby ste sa uistili, že poznáte toto správanie.KB239869 Ako povoliť overovanie NTLM 2
-
Do poľa Údaje hodnoty zadajte číslo 3 a potom kliknite na tlačidlo OK.
-
Ukončite editor databázy Registry.
-
Ak vykonáte tieto zmeny v počítači s Windowsom, zmeny sa prejavia až po reštartovaní počítača.