如何在安装安全更新 899587 后修改 RequireAsChecksum 注册表项

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

本文已归档。它按“原样”提供,并且不再更新。
重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
简介
本文包含有关如何修改 RequireAsChecksum 注册表项的信息。该注册表项有助于在安装 Microsoft 安全更新 899587 后加强保护。安全公告 MS05-042 中介绍了该安全更新。

有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
899587MS05-042:Kerberos 中的漏洞可能导致拒绝服务、信息泄露和欺骗
更多信息
警告:注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

安全更新 899587 中包含一些与安全有关的功能更改。安全公告 MS05-042 消除了几个外部报告的安全漏洞。但是,除了安全公告 MS05-042 的每个“漏洞详细资料”部分中所列的更改外,899587 安全更新中还包括另一处功能更改。添加了可选(但建议使用)的注册表项 (RequireAsChecksum) 来帮助加强防范将来可能出现的与 PKINIT 有关的漏洞。RequireAsChecksum 注册表项位于以下注册表子项下:
  • Microsoft Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Microsoft Windows 2000 和 Microsoft Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

RequireAsChecksum 注册表项可能的值如下:
  • RequireAsChecksum = 1 或任何其他非零值
    启用该设置时,客户端只接受域控制器对智能卡登录所作的与最新 PKINIT 修正版 (PKINIT-27) 兼容的答复。
  • RequireAsChecksum = 0
    禁用该设置时,客户端接受与新或旧修正版兼容的答复。
注意:如果该注册表项不存在,计算机会认为该设置被禁用了。

下列所有条件都成立时,智能卡登录失败:
  • 客户端尝试登录
  • 客户端上安装了安全更新 899587。
  • 客户端上 RequireAsChecksum 注册表项的值设置为 1。
  • 答复身份验证请求的域控制器未安装安全更新 899587。
建议仅当在域中的所有域控制器上都部署了安全更新 899587 后,再在客户机上启用该注册表设置。

注意:修改该注册表项后,必须重新启动基于 Windows 2000 的计算机。但是,对于运行 Windows XP 或 Windows Server 2003 的计算机则无需重新启动。
属性

文章 ID:904766 - 上次审阅时间:01/16/2015 16:38:56 - 修订版本: 1.1

  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity KB904766
反馈