Uvod
Microsoft najavljuje dostupnost nove funkcije Proširena zaštita za potvrdu identiteta (EPA) na Windows platformi. Ova funkcija poboljšava zaštitu i rukovanje akreditivema prilikom potvrde identiteta mrežnih veza pomoću integrisane Windows potvrde identiteta (IWA).članku Microsoft savet za 973811.
Sama ispravka ne pruža direktno zaštitu od određenih napada kao što je prosleđivanje akreditiva, ali dozvoljava aplikacijama da daju saglasnost za EPA. Ovaj savet informisa projektante i administratore sistema o ovoj novoj funkcionalnosti i načinu na koji se ona može primeniti kako bi se zaštitili akreditivi za potvrdu identiteta. Dodatne informacije potražite uViše informacija
Ova bezbednosna ispravka menja interfejs dobavljača bezbednosne podrške (SSPI) da bi poboljšala način na koji Funkcioniše Windows potvrda identiteta tako da se akreditivi ne prosleđuju lako kada je IWA omogućen.
Kada je EPA omogućen, zahtevi za potvrdu identiteta su povezani sa glavnim imenima usluga (SPN) servera sa kojim klijent pokušava da se poveže i na spoljni Transport Layer Security (TLS) kanal preko kojeg dolazi do IWA potvrde identiteta.Ispravka dodaje novu stavku registratora za upravljanje proširenom zaštitom:
-
Postavite vrednost registratora SuppressExtendedProtection .
Ključ registratora
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Vrednost
SuppressExtendedProtection
Tip
REG_DWORD
Podataka
0 Omogućava tehnologiju zaštite.
1 Proširena zaštita je onemogućena. 3 Proširena zaštita je onemogućena, a povezivanja kanala koja je poslao Kerberos takođe su onemogućena, čak i ako ih aplikacija obezbeđuje.Podrazumevana vrednost: 0x0
Beleške Problem koji se javlja kada je EPA podrazumevano omogućen opisan je u temi Potvrda identiteta koja nije Windows NTLM ili Kerberos servera na Microsoft veb lokaciji.
-
Postavite vrednost LmCompatibilityLevel registratora .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel do 3. Ovo je postojeći ključ koji omogućava NTLMv2 potvrdu identiteta. EPA se odnosi samo na NTLMv2, Kerberos, skraćenice i protokole potvrde identiteta pregovora i ne odnosi se na NTLMv1.
Beleške Morate ponovo pokrenuti računar kada podesite vrednosti registratora SuppressExtendedProtection i LmCompatibilityLevel na Windows računaru.
Omogući proširenu zaštitu
Beleške Proširena zaštita i NTLMv2 su podrazumevano omogućene u svim podržanim verzijama operativnog sistema Windows. Ovaj vodič možete da koristite da biste potvrdili da je to slučaj.
Vaћno Ovaj odeljak, metod ili zadatak sadrže korake koji vam pokazuju kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Zato obavezno pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Za više informacija o tome kako da napravite rezervne kopije i vratite registrator u prethodno stanje, kliknite na sledeći broj članka da biste videli članak u Microsoft baze znanja:
-
KB322756 Kako da napravite rezervnu kopiju i vratite registrator u prethodno stanje u operativnom sistemu Windows
Da biste sami omogućili proširenu zaštitu kada preuzmete i instalirate bezbednosnu ispravku za platformu, pratite ove korake:
-
Pokrenite uređivač registratora. Da biste to uradili, kliknite na dugme Start, izaberite stavku Pokreni, otkucajte regedit u polju Otvori , a zatim kliknite na dugme U redu.
-
Pronađite i kliknite na sledeći potključ registratora:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Proverite da li su vrednosti registratora SuppressExtendedProtection i LmCompatibilityLevel prisutne.
Ako vrednosti registratora nisu prisutne, pratite ove korake da biste ih kreirali:-
Dok je potključ registratora naveden u 2. koraku, u meniju Uređivanje postavite pokazivač na stavku Novo, a zatim izaberite stavku DWORD vrednost.
-
Otkucajte SuppressExtendedProtection, a zatim pritisnite taster Enter.
-
Dok je potključ registratora naveden u 2. koraku, u meniju Uređivanje postavite pokazivač na stavku Novo, a zatim izaberite stavku DWORD vrednost.
-
Otkucajte LmCompatibilityLevel, a zatim pritisnite taster Enter.
-
-
Kliknite da biste izabrali vrednost registratora SuppressExtendedProtection .
-
U meniju Uređivanje izaberite stavku Izmeni.
-
U polju Podaci o vrednosti otkucajte0, a zatim kliknite na dugme U redu.
-
Kliknite da biste izabrali vrednost registratora LmCompatibilityLevel .
-
U meniju Uređivanje izaberite stavku Izmeni.
Beleške Ovaj korak menja zahteve za NTLM potvrdu identiteta. Pregledajte sledeći članak u bazi Microsoft znanja da biste se uverili da ste upoznati sa ovim ponašanjem.KB239869 Kako da omogućite NTLM 2 potvrdu identiteta
-
U polju Podaci o vrednosti otkucajte3, a zatim kliknite na dugme U redu.
-
Izađite iz uređivača registratora.
-
Ako izvršite ove promene na Računaru koji radi pod operativnim sistemom Windows, morate ponovo da pokrenete računar pre nego što promene stvoje na snagu.