如何在安装安全更新 899587 后修改 RequireAsChecksum 注册表项

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

本文已归档。它按“原样”提供,并且不再更新。
重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
简介
本文包含有关如何修改 RequireAsChecksum 注册表项的信息。该注册表项有助于在安装 Microsoft 安全更新 899587 后加强保护。安全公告 MS05-042 中介绍了该安全更新。

有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
899587MS05-042:Kerberos 中的漏洞可能导致拒绝服务、信息泄露和欺骗
更多信息
警告:注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

安全更新 899587 中包含一些与安全有关的功能更改。安全公告 MS05-042 消除了几个外部报告的安全漏洞。但是,除了安全公告 MS05-042 的每个“漏洞详细资料”部分中所列的更改外,899587 安全更新中还包括另一处功能更改。添加了可选(但建议使用)的注册表项 (RequireAsChecksum) 来帮助加强防范将来可能出现的与 PKINIT 有关的漏洞。RequireAsChecksum 注册表项位于以下注册表子项下:
  • Microsoft Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Microsoft Windows 2000 和 Microsoft Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

RequireAsChecksum 注册表项可能的值如下:
  • RequireAsChecksum = 1 或任何其他非零值
    启用该设置时,客户端只接受域控制器对智能卡登录所作的与最新 PKINIT 修正版 (PKINIT-27) 兼容的答复。
  • RequireAsChecksum = 0
    禁用该设置时,客户端接受与新或旧修正版兼容的答复。
注意:如果该注册表项不存在,计算机会认为该设置被禁用了。

下列所有条件都成立时,智能卡登录失败:
  • 客户端尝试登录
  • 客户端上安装了安全更新 899587。
  • 客户端上 RequireAsChecksum 注册表项的值设置为 1。
  • 答复身份验证请求的域控制器未安装安全更新 899587。
建议仅当在域中的所有域控制器上都部署了安全更新 899587 后,再在客户机上启用该注册表设置。

注意:修改该注册表项后,必须重新启动基于 Windows 2000 的计算机。但是,对于运行 Windows XP 或 Windows Server 2003 的计算机则无需重新启动。
属性

文章 ID:904766 - 上次审阅时间:01/16/2015 16:38:56 - 修订版本: 1.1

Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows XP Professional Edition, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity KB904766
反馈