Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Uvod

Microsoft najavljuje dostupnost nove funkcije Proširena zaštita za potvrdu identiteta (EPA) na Windows platformi. Ova funkcija poboljšava zaštitu i rukovanje akreditivema prilikom potvrde identiteta mrežnih veza pomoću integrisane Windows potvrde identiteta (IWA).Sama ispravka ne pruža direktno zaštitu od određenih napada kao što je prosleđivanje akreditiva, ali dozvoljava aplikacijama da daju saglasnost za EPA. Ovaj savet informisa projektante i administratore sistema o ovoj novoj funkcionalnosti i načinu na koji se ona može primeniti kako bi se zaštitili akreditivi za potvrdu identiteta.Dodatne informacije potražite u članku Microsoft savet za 973811.

Više informacija

Ova bezbednosna ispravka menja interfejs dobavljača bezbednosne podrške (SSPI) da bi poboljšala način na koji Funkcioniše Windows potvrda identiteta tako da se akreditivi ne prosleđuju lako kada je IWA omogućen.Kada je EPA omogućen, zahtevi za potvrdu identiteta su povezani sa glavnim imenima usluga (SPN) servera sa kojim klijent pokušava da se poveže i na spoljni Transport Layer Security (TLS) kanal preko kojeg dolazi do IWA potvrde identiteta.

Ispravka dodaje novu stavku registratora za upravljanje proširenom zaštitom:

  • Postavite vrednost registratora SuppressExtendedProtection .

    Ključ registratora

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Vrednost

    SuppressExtendedProtection

    Tip

    REG_DWORD

    Podataka

    0 Omogućava tehnologiju zaštite.1 Proširena zaštita je onemogućena.3 Proširena zaštita je onemogućena, a povezivanja kanala koja je poslao Kerberos takođe su onemogućena, čak i ako ih aplikacija obezbeđuje.

    Podrazumevana vrednost: 0x0

    Beleške Problem koji se javlja kada je EPA podrazumevano omogućen opisan je u temi Potvrda identiteta koja nije Windows NTLM ili Kerberos servera na Microsoft veb lokaciji.

  • Postavite vrednost LmCompatibilityLevel registratora .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel do 3. Ovo je postojeći ključ koji omogućava NTLMv2 potvrdu identiteta. EPA se odnosi samo na NTLMv2, Kerberos, skraćenice i protokole potvrde identiteta pregovora i ne odnosi se na NTLMv1.

Beleške Morate ponovo pokrenuti računar kada podesite vrednosti registratora SuppressExtendedProtection i LmCompatibilityLevel na Windows računaru.

Omogući proširenu zaštitu

Beleške Proširena zaštita i NTLMv2 su podrazumevano omogućene u svim podržanim verzijama operativnog sistema Windows. Ovaj vodič možete da koristite da biste potvrdili da je to slučaj.

Vaћno Ovaj odeljak, metod ili zadatak sadrže korake koji vam pokazuju kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Zato obavezno pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Za više informacija o tome kako da napravite rezervne kopije i vratite registrator u prethodno stanje, kliknite na sledeći broj članka da biste videli članak u Microsoft baze znanja:

  • KB322756 Kako da napravite rezervnu kopiju i vratite registrator u prethodno stanje u operativnom sistemu Windows

Da biste sami omogućili proširenu zaštitu kada preuzmete i instalirate bezbednosnu ispravku za platformu, pratite ove korake:

  1. Pokrenite uređivač registratora. Da biste to uradili, kliknite na dugme Start, izaberite stavku Pokreni, otkucajte regedit u polju Otvori , a zatim kliknite na dugme U redu.

  2. Pronađite i kliknite na sledeći potključ registratora:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Proverite da li su vrednosti registratora SuppressExtendedProtection i LmCompatibilityLevel prisutne.Ako vrednosti registratora nisu prisutne, pratite ove korake da biste ih kreirali:

    1. Dok je potključ registratora naveden u 2. koraku, u meniju Uređivanje postavite pokazivač na stavku Novo, a zatim izaberite stavku DWORD vrednost.

    2. Otkucajte SuppressExtendedProtection, a zatim pritisnite taster Enter.

    3. Dok je potključ registratora naveden u 2. koraku, u meniju Uređivanje postavite pokazivač na stavku Novo, a zatim izaberite stavku DWORD vrednost.

    4. Otkucajte LmCompatibilityLevel, a zatim pritisnite taster Enter.

  4. Kliknite da biste izabrali vrednost registratora SuppressExtendedProtection .

  5. U meniju Uređivanje izaberite stavku Izmeni.

  6. U polju Podaci o vrednosti otkucajte0, a zatim kliknite na dugme U redu.

  7. Kliknite da biste izabrali vrednost registratora LmCompatibilityLevel .

  8. U meniju Uređivanje izaberite stavku Izmeni.Beleške Ovaj korak menja zahteve za NTLM potvrdu identiteta. Pregledajte sledeći članak u bazi Microsoft znanja da biste se uverili da ste upoznati sa ovim ponašanjem.

    KB239869 Kako da omogućite NTLM 2 potvrdu identiteta

  9. U polju Podaci o vrednosti otkucajte3, a zatim kliknite na dugme U redu.

  10. Izađite iz uređivača registratora.

  11. Ako izvršite ove promene na Računaru koji radi pod operativnim sistemom Windows, morate ponovo da pokrenete računar pre nego što promene stvoje na snagu.

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.