Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Въведение

Microsoft обявява наличността на нова функция – Разширена защита за удостоверяване (EPA) – на платформата Windows. Тази функция подобрява защитата и обработката на идентификационни данни при удостоверяване на мрежови връзки с помощта на интегрирано windows удостоверяване (IWA).Самата актуализация не предоставя директно защита срещу определени атаки, като например препращане на идентификационни данни, но позволява на приложенията да се включат в EPA. Тази препоръка информира разработчиците и системните администратори за тази нова функционалност и как тя може да бъде разположена, за да помогне за защитата на идентификационните данни за удостоверяване.За повече информация вижте 973811 "Съвети за защитата" Microsoft.

Още информация

Тази актуализация на защитата променя интерфейса на доставчика на поддръжка за защита (SSPI) за подобряване на начина, по който удостоверяването на Windows работи, така че идентификационните данни да не се препращат лесно, когато IWA е разрешен.Когато EPA е разрешен, заявките за удостоверяване са обвързани както с главните имена на услугата (SPN) на сървъра, към който клиентът се опитва да се свърже, така и към външния канал на защитата на транспортния слой (TLS), по който възниква IWA удостоверяване.

Актуализацията добавя нов запис в системния регистър за управление на разширената защита:

  • Задайте стойността за SuppressExtendedProtection на системния регистър.

    Ключ от системния регистър

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Стойност

    SuppressExtendedProtection

    Тип

    REG_DWORD

    Данни

    0 Разрешава технология за защита.1 Разширената защита е забранена.3 Разширената защита е забранена и обвързванията на каналите, изпратени от Kerberos, също се забраняват дори ако приложението ги доставя.

    Стойност по подразбиране: 0x0

    Забележка Проблем, който възниква, когато EPA е разрешен по подразбиране, е описан в темата Неуспешно удостоверяване от сървъри, които не са на Windows NTLM или Kerberos на уеб сайта Microsoft.

  • Задайте стойността LmCompatibilityLevel на системния регистър.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel на 3. Това е съществуващ ключ, който разрешава NTLMv2 удостоверяване. EPA се отнася само за протоколи за удостоверяване NTLMv2, Kerberos, digest и negotiation и не се отнася за NTLMv1.

Забележка Трябва да рестартирате компютъра, след като сте задали Стойностите на системния регистър SuppressExtendedProtection и LmCompatibilityLevel на компютър с Windows.

Разрешаване на разширена защита

Забележка По подразбиране и Разширената защита, и NTLMv2 са разрешени във всички поддържани версии на Windows. Можете да използвате това ръководство, за да проверите дали случаят е такъв.

Важно Тази секция, метод или задача съдържа стъпки, които ви казват как да промените системния регистър. Ако обаче промените системния регистър неправилно, е възможно да възникнат сериозни проблеми. Затова следвайте тези стъпки внимателно. За допълнителна защита архивирайте системния регистър, преди да го промените. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация как да архивирате и възстановите системния регистър щракнете върху следния номер на статия в базата знания на Microsoft:

  • KB322756 Как се архивира и възстановява системният регистър в Windows

За да разрешите разширената защита сами, след като изтеглите и инсталирате актуализацията на защитата за вашата платформа, изпълнете следните стъпки:

  1. Стартирайте редактора на системния регистър. За да направите това, щракнете върху Старт, щракнете върху Изпълнение, въведете regedit в полето Отвори и след това щракнете върху OK.

  2. Намерете и след това щракнете върху следния подключ от системния регистър:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Уверете се, че стойностите в системния регистър SuppressExtendedProtection и LmCompatibilityLevel са налични.Ако стойностите в системния регистър не са налични, изпълнете следните стъпки, за да ги създадете:

    1. Когато подключът на системния регистър е в списъка на стъпка 2, в менюто Редактиране посочете Създай и след това щракнете върху DWORD стойност.

    2. Въведете SuppressExtendedProtection, след което натиснете Enter.

    3. Когато подключът на системния регистър е в списъка на стъпка 2, в менюто Редактиране посочете Създай и след това щракнете върху DWORD стойност.

    4. Въведете LmCompatibilityLevel, след което натиснете Enter.

  4. Щракнете, за да изберете стойността в системния регистър SuppressExtendedProtection .

  5. В менюто Редактиране щракнете върху Модифицирай.

  6. В полето Данни за стойността въведете 0 и след това щракнете върху OK.

  7. Щракнете, за да изберете стойността на системния регистър LmCompatibilityLevel .

  8. В менюто Редактиране щракнете върху Модифицирай.Забележка Тази стъпка променя изискванията за NTLM удостоверяване. Прегледайте следната статия в базата знания на Microsoft, за да се уверите, че сте запознати с това поведение.

    KB239869 Как да разрешите удостоверяване на NTLM 2

  9. В полето Данни за стойността въведете 3 и след това щракнете върху OK.

  10. Излезте от редактора на системния регистър.

  11. Ако направите тези промени на компютър с Windows, трябва да рестартирате компютъра, преди промените да влязат в сила.

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.