如何在安裝安全性更新 899587 之後修改 RequireAsChecksum 登錄項目

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

本文已封存。本文係以「現狀」提供且不會再更新。
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Description of the Microsoft Windows registry
簡介
本文包含有關如何修改 RequireAsChecksum 登錄項目的相關資訊。這個登錄項目可在安裝 Microsoft 安全性更新 899587 之後,協助提供額外的服務,並且已經記載於安全性公告 MS05-042 中。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
899587MS05-042:Kerberos 中的弱點可能會允許拒絕服務、資料洩漏和詐騙
其他相關資訊
警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。

安全性更新 899587 包括一些安全性相關功能變更。安全性公告 MS05-042 會解決由外部回報的安全性弱點。然而,除了安全性公告 MS05-042 中各個<弱點詳細資料>一節所列出的變更,安全性更新 899587 還包括另一項功能變更。已經新增一項選用、但建議使用的登錄項目 (RequireAsChecksum),以協助提供日後可能 PKINIT 相關弱點的額外保護。RequireAsChecksum 登錄項目是位在下列登錄子機碼之下:
  • Microsoft Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Microsoft Windows 2000 和 Microsoft Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

RequireAsChecksum 登錄項目的可能值包括:
  • RequireAsChecksum = 1 或任何其他非零值
    當這個設定啟用之後,用戶端就只能接受由智慧卡登入的網域控制站發出、符合最新 PKINIT 版本 (PKINIT-27) 的回覆。
  • RequireAsChecksum = 0
    當這個設定關閉時,用戶端就會接受符合新版本或較早版本的回覆。
注意 如果此登錄項目不存在,電腦就會依該設定已停用的方式執行。

智慧卡登入失敗會發生在下列所有情況成立時:
  • 登入嘗試是由用戶端啟動。
  • 用戶端上已經安裝安全性更新 899587。
  • 用戶端上的 RequireAsChecksum 登錄項目值是設定為 1。
  • 回覆驗證要求的網域控制站並未安裝安全性更新 899587。
我們建議您先將安全性更新 899587 部署至網域中的所有網域控制站之後,再啟動用戶端電腦的登錄設定。

注意 您必須在修改這個登錄項目之後,重新啟動 Windows 2000 電腦。不過,如果是執行 Windows XP 或 Windows Server 2003 的電腦,就不需要重新啟動。
內容

文章識別碼:904766 - 最後檢閱時間:01/16/2015 16:38:56 - 修訂: 1.1

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity KB904766
意見反應