Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

Вступ

корпорація Майкрософт оголошує про доступність нової функції Розширений захист для автентифікації (EPA) на платформі Windows. Ця функція підвищує захист і обробку облікових даних під час автентифікації мережевих підключень за допомогою інтегрованої автентифікації Windows (IWA).

Саме оновлення безпосередньо не забезпечує захист від конкретних атак, таких як пересилання облікових даних, але дозволяє програмам приєднатися до EPA. У цьому навчальному посібнику наведено короткий опис для розробників і системних адміністраторів щодо цієї нової функції та її розгортання для захисту облікових даних автентифікації.

Докладні відомості див. в статті корпорація Майкрософт 973811 з питань безпеки.

Додаткові відомості

Це оновлення системи безпеки змінює інтерфейс постачальника підтримки безпеки (SSPI), щоб покращити спосіб роботи автентифікації Windows, щоб облікові дані не пересилалися, коли активовано IWA.

Якщо активовано EPA, запити автентифікації прив'язані як до імен учасників служби (SPN) сервера, до якого клієнт намагається підключитися, так і до зовнішнього каналу TLS, над яким відбувається автентифікація IWA.

Оновлення додає новий запис реєстру для керування розширеним захистом:

  • Установіть значення Registry SuppressExtendedProtection .

    Реєстру

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Значення

    Заборонити застарілувлапроекції

    Тип

    REG_DWORD

    Дані

    0 Вмикає технологію захисту.
    1 Розширений захист вимкнуто.
    3 Розширений захист вимкнуто, а прив'язування каналу, надіслане Kerberos, також вимкнуто, навіть якщо програма їх постачає.

    Значення за промовчанням: 0x0

    Нотатка Проблема, яка виникає, коли EPA увімкнуто за замовчуванням описано в помилки автентифікації з не Windows NTLM або Kerberos серверів теми на веб-сайті корпорація Майкрософт.

  • Установіть значення LmCompatibilityLevel реєстру.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel до 3. Це наявний ключ, який вмикає автентифікацію NTLMv2. EPA застосовується лише до протоколів NTLMv2, Kerberos, digest і узгодження автентифікації та не застосовується до NTLMv1.

Нотатка Після встановлення Значення реєстру SuppressExtendedProtection і LmCompatibilityLevel на комп'ютері під керуванням ОС Windows слід перезавантажити комп'ютер.

Увімкнути розширений захист

Нотатка За замовчуванням розширений захист і NTLMv2 увімкнуто в усіх підтримуваних версіях Windows. Цей посібник можна використовувати, щоб переконатися, що це так.

Увага! Цей розділ, метод або завдання містить кроки, які визначають, як змінити реєстр. Однак у разі внесення неправильних змін до реєстру можуть виникнути серйозні проблеми. Таким чином, переконайтеся, що виконайте ці кроки ретельно. Для додаткового захисту систуйте резервні копії реєстру, перш ніж змінювати його. Після цього ви можете відновити реєстр, якщо виникла проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру, клацніть номер статті в базі знань корпорація Майкрософт:

  • KB322756 Резервне копіювання та відновлення реєстру у Windows

Щоб увімкнути розширений захист самостійно після завантаження та інсталяції оновлення системи безпеки для своєї платформи, виконайте такі дії:

  1. Запустіть редактор реєстру. Для цього натисніть кнопку Пуск, виберіть виконати, введіть regedit у полі Відкрити , а потім натисніть кнопку OK.

  2. Знайдіть і клацніть такий підрозділ реєстру:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Переконайтеся, що значення реєстру SuppressExtendedProtection і LmCompatibilityLevel присутні.

    Якщо значення реєстру відсутні, створіть їх, дотримуючись наведених нижче інструкцій.

    1. Коли на кроці 2 вибрано підрозділ реєстру, у меню Редагування наведіть вказівник миші на пункт Створити, а потім виберіть пункт Значення DWORD.

    2. Введіть SuppressExtendedProtection і натисніть клавішу Enter.

    3. Коли на кроці 2 вибрано підрозділ реєстру, у меню Редагування наведіть вказівник миші на пункт Створити, а потім виберіть пункт Значення DWORD.

    4. Введіть LmCompatibilityLevel і натисніть клавішу Enter.

  4. Клацніть, щоб вибрати значення реєстру SuppressExtendedProtection .

  5. У меню Edit (Редагування) виберіть Modify (Змінити).

  6. У полі Значення введіть0 і натисніть кнопку OK.

  7. Клацніть, щоб вибрати значення реєстру LmCompatibilityLevel .

  8. У меню Edit (Редагування) виберіть Modify (Змінити).

    Примітка Цей крок змінює вимоги до автентифікації NTLM. Ознайомтеся з наведеною нижче статтею в базі знань корпорація Майкрософт, щоб переконатися, що ви знайомі з такою поведінкою.

    KB239869 Увімкнення автентифікації NTLM 2

  9. У полі Значення введіть3, а потім натисніть кнопку OK.

  10. Закрийте редактор реєстру.

  11. Якщо ці зміни внесено на комп'ютері з Windows, перезавантажте комп'ютер, перш ніж зміни наберуть сили.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Виявити Спільнота

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Запитайте спільноту Microsoft

Спільнота Microsoft Tech

Оцінювачі Windows

Оцінювачі Microsoft 365

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×