Uvod
Microsoft o razpoložljivosti nove funkcije, razširjene zaščite za preverjanje pristnosti (EPA) na platformi Windows. Ta funkcija izboljša zaščito in obravnavanje poverilnic pri preverjanju pristnosti omrežnih povezav z integriranim preverjanjem pristnosti sistema Windows (IWA).glejte Microsoft Security Advisory 973811.
Sama posodobitev ne zagotavlja neposredne zaščite pred določenimi napadi, kot je posredovanje poverilnic, omogoča pa, da aplikacije privolijo v sodelovanje v SGP. V tem nasvetu so razvijalci in skrbniki sistema na kratko razjasnjeni o tej novi funkciji in o tem, kako ga lahko uvedejo, da zaščitijo poverilnice za preverjanje pristnosti. Če želite več informacij,Več informacij
Ta varnostna posodobitev spremeni vmesnik SSPI (Security Support Provider Interface) za izboljšanje načina delovanja preverjanja pristnosti sistema Windows, tako da poverilnic ni mogoče preprosto posredovati, ko je IWA omogočen.
Ko je epa omogočena, so zahteve za preverjanje pristnosti vezane tako na glavna imena storitve (SPN) strežnika, s katerim odjemalec poskuša vzpostaviti povezavo, in z zunanjim kanalom TLS (Transport Layer Security), prek katerega pride do preverjanja pristnosti aplikacije IWA.Posodobitev doda nov vnos v register za upravljanje razširjene zaščite:
-
Nastavite vrednost registra SuppressExtendedProtection .
Registrski ključ
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Vrednost
SuppressExtendedProtection
Vrsta
REG_DWORD
Podatki
0 Omogoča zaščito tehnologije.
1 Razširjena zaščita je onemogočena. 3 Razširjena zaščita je onemogočena, prav tako pa so onemogočene vezave kanalov, ki jih pošlje Kerberos, tudi če jih aplikacija pošlje.Privzeta vrednost: 0x0
Opomba Težava, do katere pride, ko je EPA privzeto omogočena, je opisana v temi Napaka preverjanja pristnosti iz strežnikov NTLM ali Kerberos, ki niso Windows, na spletnem Microsoft preverjanja pristnosti.
-
Nastavite vrednost registra LmCompatibilityLevel .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel do 3. To je obstoječi ključ, ki omogoča preverjanje pristnosti NTLMv2. Epa velja le za protokole NTLMv2, Kerberos, digest in pogajalske protokole za preverjanje pristnosti in ne velja za NTLMv1.
Opomba Ko nastavite vrednosti registra SuppressExtendedProtection in LmCompatibilityLevel v računalniku s sistemom Windows, morate znova zagnati računalnik.
Omogoči razširjeno zaščito
Opomba Razširjena zaščita in NTLMv2 sta privzeto omogočeni v vseh podprtih različicah sistema Windows. V tem vodniku lahko preverite, ali je temu tako.
Pomembno V tem razdelku, načinu ali opravilu so navodila za spreminjanje registra. Če register spremenite nepravilno, lahko pride do resnih težav. Zato pozorno upoštevajte ta navodila. Za dodatno zaščito pred spreminjanjem registra varnostno kopirajte register. Če pride do težave, lahko register obnovite. Če želite več informacij o tem, kako varnostno kopirate in obnovite register, kliknite to številko članka, da si ogledate članek v Microsoft zbirke znanja:
-
KB322756 Varnostno kopiranje in obnavljanje registra v sistemu Windows
Če želite razširjeno zaščito omogočiti sami po prenosu in namestitvi varnostne posodobitve za vašo platformo, sledite tem korakom:
-
Zaženite urejevalnik registra. To naredite tako, da kliknete Začetek, nato Zaženi, v polje Odpri vnesete regedit in kliknete V redu.
-
Poiščite in kliknite ta registrski podključ:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Preverite, ali so vrednosti registra SuppressExtendedProtection in LmCompatibilityLevel prisotne.
Če vrednosti registra niso prisotne, jih ustvarite po teh korakih:-
Ko izberete registrski podključ, ki je naveden v 2. koraku, v meniju Urejanje pokažite na Novo in kliknite Vrednost DWORD.
-
Vnesite SuppressExtendedProtection in pritisnite Enter.
-
Ko izberete registrski podključ, ki je naveden v 2. koraku, v meniju Urejanje pokažite na Novo in kliknite Vrednost DWORD.
-
Vnesite LmCompatibilityLevel in pritisnite Enter.
-
-
Kliknite, da izberete vrednost registra SuppressExtendedProtection .
-
V meniju Urejanje kliknite Spremeni.
-
V polje Podatki o vrednosti vnesite 0 in kliknite V redu.
-
Kliknite, da izberete vrednost registra LmCompatibilityLevel .
-
V meniju Urejanje kliknite Spremeni.
Opomba Ta korak spremeni zahteve preverjanja pristnosti NTLM. Preglejte naslednji članek v Microsoft znanja, da se prepričate, ali ste seznanjeni s tem vedenjem.KB239869 Omogočanje preverjanja pristnosti NTLM 2
-
V polje Podatki o vrednosti vnesite 3 in kliknite V redu.
-
Zaprite urejevalnik registra.
-
Če te spremembe naredite v računalniku s sistemom Windows, morate znova zagnati računalnik, preden spremembe uveljavijo.