如何在安裝安全性更新 899587 之後修改 RequireAsChecksum 登錄項目

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

本文已封存。本文係以「現狀」提供且不會再更新。
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Description of the Microsoft Windows registry
簡介
本文包含有關如何修改 RequireAsChecksum 登錄項目的相關資訊。這個登錄項目可在安裝 Microsoft 安全性更新 899587 之後,協助提供額外的服務,並且已經記載於安全性公告 MS05-042 中。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
899587MS05-042:Kerberos 中的弱點可能會允許拒絕服務、資料洩漏和詐騙
其他相關資訊
警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。

安全性更新 899587 包括一些安全性相關功能變更。安全性公告 MS05-042 會解決由外部回報的安全性弱點。然而,除了安全性公告 MS05-042 中各個<弱點詳細資料>一節所列出的變更,安全性更新 899587 還包括另一項功能變更。已經新增一項選用、但建議使用的登錄項目 (RequireAsChecksum),以協助提供日後可能 PKINIT 相關弱點的額外保護。RequireAsChecksum 登錄項目是位在下列登錄子機碼之下:
  • Microsoft Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Microsoft Windows 2000 和 Microsoft Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

RequireAsChecksum 登錄項目的可能值包括:
  • RequireAsChecksum = 1 或任何其他非零值
    當這個設定啟用之後,用戶端就只能接受由智慧卡登入的網域控制站發出、符合最新 PKINIT 版本 (PKINIT-27) 的回覆。
  • RequireAsChecksum = 0
    當這個設定關閉時,用戶端就會接受符合新版本或較早版本的回覆。
注意 如果此登錄項目不存在,電腦就會依該設定已停用的方式執行。

智慧卡登入失敗會發生在下列所有情況成立時:
  • 登入嘗試是由用戶端啟動。
  • 用戶端上已經安裝安全性更新 899587。
  • 用戶端上的 RequireAsChecksum 登錄項目值是設定為 1。
  • 回覆驗證要求的網域控制站並未安裝安全性更新 899587。
我們建議您先將安全性更新 899587 部署至網域中的所有網域控制站之後,再啟動用戶端電腦的登錄設定。

注意 您必須在修改這個登錄項目之後,重新啟動 Windows 2000 電腦。不過,如果是執行 Windows XP 或 Windows Server 2003 的電腦,就不需要重新啟動。
內容

文章識別碼:904766 - 最後檢閱時間:01/16/2015 16:38:56 - 修訂: 1.1

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows XP Home Edition (家用版), Microsoft Windows XP Professional x64 Edition, Microsoft Windows XP Professional, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity KB904766
意見反應