Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

Giới thiệu

Microsoft báo về tính khả dụng của tính năng mới, Bảo vệ Xác thực Mở rộng (EPA) trên nền tảng Windows. Tính năng này nâng cao khả năng bảo vệ và xử lý thông tin xác thực khi xác thực kết nối mạng bằng cách sử dụng Xác thực Windows Tích hợp (IWA).

Bản cập nhật không trực tiếp cung cấp bảo vệ chống lại các cuộc tấn công cụ thể như chuyển tiếp thông tin xác thực nhưng cho phép các ứng dụng tham gia EPA. Tư vấn này giới thiệu ngắn gọn về nhà phát triển và người quản trị hệ thống về chức năng mới này và cách triển khai để giúp bảo vệ thông tin xác thực.

Để biết thêm thông tin, hãy Microsoft tư vấn bảo mật 973811.

Thông tin Thêm

Bản cập nhật bảo mật này sửa đổi Giao diện Nhà cung cấp Hỗ trợ Bảo mật (SSPI) để nâng cao cách thức hoạt động của xác thực Windows để thông tin xác thực không dễ dàng chuyển tiếp khi IWA được bật.

Khi EPA được bật, yêu cầu xác thực được liên kết với cả hai Tên Chính của Dịch vụ (SPN) của máy chủ, máy khách sẽ cố gắng kết nối và đến kênh Transport Layer Security (TLS) bên ngoài mà xác thực IWA xảy ra.

Bản cập nhật thêm một mục đăng ký mới để quản lý Bảo vệ Mở rộng:

  • Đặt giá trị suppressExtendedProtection của sổ đăng ký.

    Khóa đăng ký

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Giá trị

    SuppressExtendedProtection

    Loại

    REG_DWORD

    Dữ liệu

    0 Cho phép công nghệ bảo vệ.
    1 Bảo vệ Mở rộng bị tắt.
    3 Bảo vệ Mở rộng bị vô hiệu hóa và ràng buộc kênh do Kerberos gửi cũng bị vô hiệu hóa, ngay cả khi ứng dụng cung cấp chúng.

    Giá trị mặc định: 0x0

    Lưu ý Sự cố xảy ra khi EPA được bật theo mặc định được mô tả trong chủ đề Xác thực thất bại từ các máy chủ không phải là Windows NTLM hoặc Kerberos trên trang web Microsoft web.

  • Đặt giá trị LmCompatibilityLevel của sổ đăng ký.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel đến 3. Đây là khóa hiện có cho phép Xác thực NTLMv2. EPA chỉ áp dụng cho các giao thức xác thực NTLMv2, Kerberos, digest và negotiation và không áp dụng cho NTLMv1.

Lưu ý Bạn phải khởi động lại máy tính sau khi đặt giá trị đăng ký SuppressExtendedProtectionLmCompatibilityLevel trên máy tính chạy Windows.

Bật Bảo vệ Mở rộng

Lưu ý Theo mặc định, Bảo vệ Mở rộng và NTLMv2 đều được bật trong tất cả các phiên bản Windows được hỗ trợ. Bạn có thể sử dụng hướng dẫn này để xác minh trường hợp này.

Quan trọng Mục, phương pháp hoặc tác vụ này chứa các bước hướng dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, các vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Do đó, hãy đảm bảo rằng bạn làm theo các bước sau một cách cẩn thận. Để tăng thêm khả năng bảo vệ, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Microsoft liệu:

  • KB322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows

Để tự bật Bảo vệ Mở rộng sau khi bạn tải xuống và cài đặt bản cập nhật bảo mật cho nền tảng của mình, hãy làm theo các bước sau:

  1. Khởi động Trình soạn thảo Sổ đăng ký. Để thực hiện bước này, bấm vào Bắt đầu, bấm vào Chạy, nhậpregedit vào hộp Mở, rồi bấm vào OK.

  2. Định vị, rồi bấm vào khóa đăng ký phụ sau:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Xác minh rằng các giá trị sổ đăng ký SuppressExtendedProtectionvà LmCompatibilityLevel đã xuất hiện.

    Nếu các giá trị của sổ đăng ký không xuất hiện, hãy làm theo các bước sau để tạo giá trị đó:

    1. Với khóa phụ của sổ đăng ký được liệt kê ở bước 2 được chọn, trên menu Chỉnh sửa, trỏ tới Mới, rồi bấm vào Giá trị DWORD.

    2. Nhập SuppressExtendedProtection, rồi nhấn Enter.

    3. Với khóa phụ của sổ đăng ký được liệt kê ở bước 2 được chọn, trên menu Chỉnh sửa, trỏ tới Mới, rồi bấm vào Giá trị DWORD.

    4. Nhập LmCompatibilityLevel, rồi nhấn Enter.

  4. Bấm để chọn giá trị đăng ký SuppressExtendedProtection .

  5. Trên menu Chỉnh sửa , bấm vào Sửa đổi.

  6. Trong hộp Dữ liệu giá trị, nhập 0, rồi bấm OK.

  7. Bấm để chọn giá trị đăng ký LmCompatibilityLevel .

  8. Trên menu Chỉnh sửa , bấm vào Sửa đổi.

    Lưu ý Bước này sẽ thay đổi yêu cầu xác thực NTLM. Vui lòng xem lại bài viết sau đây trong Microsoft Knowledge Base để đảm bảo rằng bạn đã quen thuộc với hành vi này.

    KB239869 Cách bật xác thực NTLM 2

  9. Trong hộp Dữ liệu giá trị, nhập 3, rồi bấm OK.

  10. Thoát khỏi Trình soạn thảo Sổ đăng ký.

  11. Nếu bạn thực hiện những thay đổi này trên máy tính chạy Windows, bạn phải khởi động lại máy tính trước khi các thay đổi có hiệu lực.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×