ข้ามไปที่เนื้อหาหลัก
การสนับสนุน
ลงชื่อเข้าใช้
ลงชื่อเข้าใช้ด้วย Microsoft
ลงชื่อเข้าใช้หรือสร้างบัญชี
สวัสดี
เลือกบัญชีอื่น
คุณมีหลายบัญชี
เลือกบัญชีที่คุณต้องการลงชื่อเข้าใช้

บทนำ

Microsoftจะประกาศความพร้อมใช้งานของฟีเจอร์ใหม่ ซึ่งก็คือการป้องกันเพิ่มเติมสําหรับการรับรองความถูกต้อง (EPA) บนแพลตฟอร์ม Windows คุณลักษณะนี้ปรับปรุงการป้องกันและการจัดการข้อมูลประจําตัวเมื่อรับรองความถูกต้องของการเชื่อมต่อเครือข่ายโดยใช้การรับรองความถูกต้องของ Windows แบบรวม (IWA)

การอัปเดตเองไม่ได้ให้การป้องกันการโจมตีที่เฉพาะเจาะจงโดยตรง เช่น การส่งต่อข้อมูลประจําตัว แต่อนุญาตให้แอปพลิเคชันเลือกรับ EPA คําแนะนํานี้จะแนะนํานักพัฒนาและผู้ดูแลระบบเกี่ยวกับฟังก์ชันการทํางานใหม่นี้ และวิธีการปรับใช้เพื่อช่วยปกป้องข้อมูลประจําตัวในการรับรองความถูกต้อง

ดูข้อมูลเพิ่มเติมได้ที่ 973811คําแนะนําด้านความปลอดภัยMicrosoft

ข้อมูลเพิ่มเติม

การอัปเดตความปลอดภัยนี้จะปรับเปลี่ยน Security Support Provider Interface (SSPI) เพื่อปรับปรุงวิธีการทํางานของการรับรองความถูกต้องของ Windows เพื่อให้ข้อมูลประจําตัวไม่ได้รับการส่งต่ออย่างง่ายดายเมื่อเปิดใช้งาน IWA

เมื่อเปิดใช้งาน EPA คําขอการรับรองความถูกต้องจะผูกกับทั้งชื่อหลักบริการ (SPN) ของเซิร์ฟเวอร์ที่ไคลเอ็นต์พยายามเชื่อมต่อและไปยังช่องทาง Transport Layer Security (TLS) ภายนอกที่มีการรับรองความถูกต้อง IWA เกิดขึ้น

การอัปเดตเพิ่มรายการรีจิสทรีใหม่เพื่อจัดการการป้องกันเพิ่มเติม:

  • ตั้งค่ารีจิสทรี SuppressExtendedProtection

    รีจิสทรีคีย์

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    ค่า

    SuppressExtendedProtection

    ชนิด

    Reg_dword

    ข้อมูล

    0 เปิดใช้งานเทคโนโลยีการป้องกัน
    1 การป้องกันเพิ่มเติมถูกปิดใช้งาน
    3 การป้องกันเพิ่มเติมถูกปิดใช้งาน และการผูกแชนเนลที่ส่งโดย Kerberos จะถูกปิดใช้งานด้วย แม้ว่าแอปพลิเคชันจะจัดหาให้

    ค่าเริ่มต้น: 0x0

    หมายเหตุ ปัญหาที่เกิดขึ้นเมื่อเปิดใช้งาน EPA ตามค่าเริ่มต้นมีอธิบายไว้ในหัวข้อการรับรองความถูกต้องล้มเหลวจากเซิร์ฟเวอร์ NTLM ที่ไม่ใช่ของ Windows หรือ Kerberos บนเว็บไซต์Microsoft

  • ตั้งค่ารีจิสทรี LmCompatibilityLevel

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel ถึง 3 นี่คือคีย์ที่มีอยู่ซึ่งเปิดใช้งานการรับรองความถูกต้อง NTLMv2 EPA ใช้ได้กับโพรโทคอลการรับรองความถูกต้อง NTLMv2, Kerberos, digest และ negotiation เท่านั้น และไม่สามารถใช้กับ NTLMv1 ได้

หมายเหตุ คุณต้องเริ่มการทํางานของคอมพิวเตอร์ใหม่หลังจากที่คุณตั้งค่ารีจิสทรี SuppressExtendedProtection และ ค่ารีจิสทรี LmCompatibilityLevel บนคอมพิวเตอร์ Windows

เปิดใช้งานการป้องกันเพิ่มเติม

หมายเหตุ ตามค่าเริ่มต้น การป้องกันเพิ่มเติมและ NTLMv2 จะเปิดใช้งานใน Windows ทุกรุ่นที่ได้รับการสนับสนุน คุณสามารถใช้คู่มือนี้เพื่อตรวจสอบว่าเป็นกรณีนี้

สำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบถึงวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นตรวจสอบให้แน่ใจว่าคุณทําตามขั้นตอนเหล่านี้อย่างระมัดระวัง สําหรับการป้องกันเพิ่มเติม ให้สํารองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสํารองข้อมูลและคืนค่า Microsoftรีจิสทรี

  • KB322756 วิธีการสํารองข้อมูลและคืนค่ารีจิสทรีใน Windows

เมื่อต้องการเปิดใช้งานการป้องกันเพิ่มเติมด้วยตนเองหลังจากที่คุณดาวน์โหลดและติดตั้งการอัปเดตความปลอดภัยสําหรับแพลตฟอร์มของคุณ ให้ทําตามขั้นตอนเหล่านี้:

  1. เริ่ม Registry Editor เมื่อต้องการทําเช่นนี้ ให้คลิก เริ่ม คลิก เรียกใช้ พิมพ์ regedit ในกล่อง เปิด แล้วคลิก ตกลง

  2. ค้นหา แล้วคลิกซับคีย์รีจิสทรีต่อไปนี้:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. ตรวจสอบว่ามีค่ารีจิสทรี SuppressExtendedProtection และ LmCompatibilityLevel อยู่หรือไม่

    หากค่ารีจิสทรีไม่ปรากฏ ให้ทําตามขั้นตอนเหล่านี้เพื่อสร้างค่ารีจิสทรี:

    1. เมื่อเลือกซับคีย์รีจิสทรีที่แสดงในขั้นตอนที่ 2 แล้ว บนเมนู แก้ไข ให้ชี้ไปที่ ใหม่ แล้วคลิก ค่า DWORD

    2. พิมพ์ SuppressExtendedProtection แล้วกด Enter

    3. เมื่อเลือกซับคีย์รีจิสทรีที่แสดงในขั้นตอนที่ 2 แล้ว บนเมนู แก้ไข ให้ชี้ไปที่ ใหม่ แล้วคลิก ค่า DWORD

    4. พิมพ์ LmCompatibilityLevel แล้วกด Enter

  4. คลิกเพื่อเลือกค่ารีจิสทรี SuppressExtendedProtection

  5. บนเมนู แก้ไข ให้คลิก ปรับเปลี่ยน

  6. ในกล่อง ข้อมูลค่า ให้พิมพ์ 0 แล้วคลิก ตกลง

  7. คลิกเพื่อเลือกค่ารีจิสทรี LmCompatibilityLevel

  8. บนเมนู แก้ไข ให้คลิก ปรับเปลี่ยน

    หมาย เหตุ ขั้นตอนนี้เปลี่ยนข้อกําหนดการรับรองความถูกต้อง NTLM โปรดดูบทความต่อไปนี้ในMicrosoft Knowledge Base เพื่อให้แน่ใจว่าคุณคุ้นเคยกับลักษณะการทํางานนี้

    KB239869 วิธีเปิดใช้งานการรับรองความถูกต้อง NTLM 2

  9. ในกล่อง ข้อมูลค่า ให้พิมพ์ 3 แล้วคลิก ตกลง

  10. ออกจาก Registry Editor

  11. ถ้าคุณทําการเปลี่ยนแปลงเหล่านี้บนคอมพิวเตอร์ที่ใช้ Windows คุณต้องเริ่มการทํางานของคอมพิวเตอร์ใหม่ก่อนที่การเปลี่ยนแปลงจะมีผล

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ค้นพบ ชุมชน

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ถามคำถามใน Microsoft Community

ชุมชนด้านเทคนิคของ Microsoft

Windows Insider

Microsoft 365 Insiders

ข้อมูลนี้เป็นประโยชน์หรือไม่

คุณพึงพอใจกับคุณภาพภาษาเพียงใด
สิ่งที่ส่งผลต่อประสบการณ์ใช้งานของคุณ
เมื่อกดส่ง คำติชมของคุณจะถูกใช้เพื่อปรับปรุงผลิตภัณฑ์และบริการของ Microsoft ผู้ดูแลระบบ IT ของคุณจะสามารถรวบรวมข้อมูลนี้ได้ นโยบายความเป็นส่วนตัว

ขอบคุณสำหรับคำติชมของคุณ!

×