Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Úvod

Microsoft oznamuje dostupnosť novej funkcie Rozšírenej ochrany pre overovanie (EPA) na platforme Windows. Táto funkcia zvyšuje ochranu a spracovanie poverení pri overovaní sieťových pripojení pomocou integrovaného overovania systému Windows (IWA).

Samotná aktualizácia priamo neposkytuje ochranu pred konkrétnymi útokmi, ako je preposielanie poverení, ale umožňuje aplikáciám prihlásiť sa do EPA. Toto upozornenie informuje vývojárov a správcov systému o tejto novej funkcii a o tom, ako ju možno nasadiť na ochranu poverení overovania.

Ďalšie informácie nájdete v téme Microsoft bezpečnostné poradenstvo 973811.

Ďalšie informácie

Táto aktualizácia zabezpečenia upravuje rozhranie SSPI (Security Support Provider Interface) na vylepšenie spôsobu, akým overovanie systému Windows funguje, aby sa poverenia po zapnutí aplikácie IWA ľahko nepreposlali.

Keď je povolená EPA, požiadavky na overovanie sa viažu na hlavné názvy služby (SPN) servera, ku ktorému sa klient pokúša pripojiť, ako aj na vonkajší kanál TLS (Transport Layer Security), cez ktorý sa vykonáva overovanie IWA.

Aktualizácia pridá novú položku databázy Registry na spravovanie rozšírenej ochrany:

  • Nastavte hodnotu databázy Registry SuppressExtendedProtection .

    Kľúč databázy Registry

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Hodnota

    SuppressExtendedProtection

    Typ

    REG_DWORD

    Údaje

    0 Umožňuje technológiu ochrany.
    1 Rozšírená ochrana je vypnutá.
    3 Rozšírená ochrana je zakázaná a zakázané sú aj väzby kanála odoslané protokolom Kerberos, a to aj v prípade, že ich aplikácia poskytuje.

    Predvolená hodnota: 0x0

    Poznámka Problém, ktorý sa vyskytuje, keď EPA je povolená predvolene je popísaná v zlyhaní overovania z non-Windows NTLM alebo Kerberos servery tému na Microsoft webovej lokalite.

  • Nastavte hodnotu LmCompatibilityLevel databázy Registry.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel na 3. Toto je existujúci kľúč, ktorý umožňuje overovanie NTLMv2. EPA sa vzťahuje len na protokoly NTLMv2, Kerberos, digest a negotiation authentication a nevzťahuje sa na NTLMv1.

Poznámka Po nastavení hodnôt SuppressExtendedProtection a LmCompatibilityLevel databázy Registry v počítači s Windowsom je potrebné reštartovať počítač.

Povoliť rozšírenú ochranu

Poznámka Predvolene sú rozšírené zabezpečenie a NTLMv2 povolené vo všetkých podporovaných verziách Windowsu. Túto príručku môžete použiť na overenie tohto prípadu.

Dôležité Táto časť, metóda alebo úloha obsahuje kroky, ktoré vám oznámia, ako upraviť databázu Registry. Ak však databázu Registry upravíte nesprávne, môžu sa vyskytnúť vážne problémy. Preto sa uistite, že tieto kroky dodržiavajte opatrne. Ak chcete zvýšiť ochranu, databázu Registry si pred vykonaním úprav zálohujte. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry zobrazíte kliknutím na nasledujúce číslo článku v databáze Knowledge Base Microsoft:

  • KB322756 Zálohovanie a obnovenie databázy Registry vo Windowse

Ak chcete po stiahnutí a inštalácii aktualizácie zabezpečenia pre svoju platformu zapnúť rozšírenú ochranu sami, postupujte takto:

  1. Spustite Editor databázy Registry. Ak to chcete urobiť, kliknite na tlačidlo Štart, potom na položku Spustiť, do poľa Otvoriť zadajte príkaz regedit a potom kliknite na tlačidlo OK.

  2. Vyhľadajte a kliknite na nasledujúci podkľúč databázy Registry:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Overte, či sú prítomné hodnoty databázy Registry SuppressExtendedProtection a LmCompatibilityLevel .

    Ak hodnoty databázy Registry nie sú k dispozícii, vytvorte ich pomocou týchto krokov:

    1. Vyberte podkľúč databázy Registry, ktorý je uvedený v kroku 2, v ponuke Úpravy ukážte na položku Nové a potom kliknite na položku Hodnota DWORD.

    2. Zadajte príkaz SuppressExtendedProtection a potom stlačte kláves Enter.

    3. Vyberte podkľúč databázy Registry, ktorý je uvedený v kroku 2, v ponuke Úpravy ukážte na položku Nové a potom kliknite na položku Hodnota DWORD.

    4. Zadajte hodnotu LmCompatibilityLevel a potom stlačte kláves Enter.

  4. Kliknutím vyberte hodnotu databázy Registry SuppressExtendedProtection .

  5. V ponuke Upraviť kliknite na položku Upraviť.

  6. Do poľa Údaje hodnoty zadajte hodnotu 0 a potom kliknite na tlačidlo OK.

  7. Kliknutím vyberte hodnotu databázy Registry LmCompatibilityLevel .

  8. V ponuke Upraviť kliknite na položku Upraviť.

    Poznámka Tento krok mení požiadavky overovania NTLM. Prečítajte si nasledujúci článok v Microsoft vedomostnej databáze, aby ste sa uistili, že poznáte toto správanie.

    KB239869 Ako povoliť overovanie NTLM 2

  9. Do poľa Údaje hodnoty zadajte číslo 3 a potom kliknite na tlačidlo OK.

  10. Ukončite editor databázy Registry.

  11. Ak vykonáte tieto zmeny v počítači s Windowsom, zmeny sa prejavia až po reštartovaní počítača.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×