Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Uvod

Microsoft o razpoložljivosti nove funkcije, razširjene zaščite za preverjanje pristnosti (EPA) na platformi Windows. Ta funkcija izboljša zaščito in obravnavanje poverilnic pri preverjanju pristnosti omrežnih povezav z integriranim preverjanjem pristnosti sistema Windows (IWA).

Sama posodobitev ne zagotavlja neposredne zaščite pred določenimi napadi, kot je posredovanje poverilnic, omogoča pa, da aplikacije privolijo v sodelovanje v SGP. V tem nasvetu so razvijalci in skrbniki sistema na kratko razjasnjeni o tej novi funkciji in o tem, kako ga lahko uvedejo, da zaščitijo poverilnice za preverjanje pristnosti.

Če želite več informacij, glejte Microsoft Security Advisory 973811.

Več informacij

Ta varnostna posodobitev spremeni vmesnik SSPI (Security Support Provider Interface) za izboljšanje načina delovanja preverjanja pristnosti sistema Windows, tako da poverilnic ni mogoče preprosto posredovati, ko je IWA omogočen.

Ko je epa omogočena, so zahteve za preverjanje pristnosti vezane tako na glavna imena storitve (SPN) strežnika, s katerim odjemalec poskuša vzpostaviti povezavo, in z zunanjim kanalom TLS (Transport Layer Security), prek katerega pride do preverjanja pristnosti aplikacije IWA.

Posodobitev doda nov vnos v register za upravljanje razširjene zaščite:

  • Nastavite vrednost registra SuppressExtendedProtection .

    Registrski ključ

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Vrednost

    SuppressExtendedProtection

    Vrsta

    REG_DWORD

    Podatki

    0 Omogoča zaščito tehnologije.
    1 Razširjena zaščita je onemogočena.
    3 Razširjena zaščita je onemogočena, prav tako pa so onemogočene vezave kanalov, ki jih pošlje Kerberos, tudi če jih aplikacija pošlje.

    Privzeta vrednost: 0x0

    Opomba Težava, do katere pride, ko je EPA privzeto omogočena, je opisana v temi Napaka preverjanja pristnosti iz strežnikov NTLM ali Kerberos, ki niso Windows, na spletnem Microsoft preverjanja pristnosti.

  • Nastavite vrednost registra LmCompatibilityLevel .

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel do 3. To je obstoječi ključ, ki omogoča preverjanje pristnosti NTLMv2. Epa velja le za protokole NTLMv2, Kerberos, digest in pogajalske protokole za preverjanje pristnosti in ne velja za NTLMv1.

Opomba Ko nastavite vrednosti registra SuppressExtendedProtection in LmCompatibilityLevel v računalniku s sistemom Windows, morate znova zagnati računalnik.

Omogoči razširjeno zaščito

Opomba Razširjena zaščita in NTLMv2 sta privzeto omogočeni v vseh podprtih različicah sistema Windows. V tem vodniku lahko preverite, ali je temu tako.

Pomembno V tem razdelku, načinu ali opravilu so navodila za spreminjanje registra. Če register spremenite nepravilno, lahko pride do resnih težav. Zato pozorno upoštevajte ta navodila. Za dodatno zaščito pred spreminjanjem registra varnostno kopirajte register. Če pride do težave, lahko register obnovite. Če želite več informacij o tem, kako varnostno kopirate in obnovite register, kliknite to številko članka, da si ogledate članek v Microsoft zbirke znanja:

  • KB322756 Varnostno kopiranje in obnavljanje registra v sistemu Windows

Če želite razširjeno zaščito omogočiti sami po prenosu in namestitvi varnostne posodobitve za vašo platformo, sledite tem korakom:

  1. Zaženite urejevalnik registra. To naredite tako, da kliknete Začetek, nato Zaženi, v polje Odpri vnesete regedit in kliknete V redu.

  2. Poiščite in kliknite ta registrski podključ:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Preverite, ali so vrednosti registra SuppressExtendedProtection in LmCompatibilityLevel prisotne.

    Če vrednosti registra niso prisotne, jih ustvarite po teh korakih:

    1. Ko izberete registrski podključ, ki je naveden v 2. koraku, v meniju Urejanje pokažite na Novo in kliknite Vrednost DWORD.

    2. Vnesite SuppressExtendedProtection in pritisnite Enter.

    3. Ko izberete registrski podključ, ki je naveden v 2. koraku, v meniju Urejanje pokažite na Novo in kliknite Vrednost DWORD.

    4. Vnesite LmCompatibilityLevel in pritisnite Enter.

  4. Kliknite, da izberete vrednost registra SuppressExtendedProtection .

  5. V meniju Urejanje kliknite Spremeni.

  6. V polje Podatki o vrednosti vnesite 0 in kliknite V redu.

  7. Kliknite, da izberete vrednost registra LmCompatibilityLevel .

  8. V meniju Urejanje kliknite Spremeni.

    Opomba Ta korak spremeni zahteve preverjanja pristnosti NTLM. Preglejte naslednji članek v Microsoft znanja, da se prepričate, ali ste seznanjeni s tem vedenjem.

    KB239869 Omogočanje preverjanja pristnosti NTLM 2

  9. V polje Podatki o vrednosti vnesite 3 in kliknite V redu.

  10. Zaprite urejevalnik registra.

  11. Če te spremembe naredite v računalniku s sistemom Windows, morate znova zagnati računalnik, preden spremembe uveljavijo.

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×