Úvod
Microsoft oznamuje dostupnost nové funkce rozšířené ochrany pro ověřování (EPA) na platformě Windows. Tato funkce vylepšuje ochranu a zpracování přihlašovacích údajů při ověřování síťových připojení pomocí integrovaného ověřování systému Windows (IWA).Aktualizace sama o sobě neposkytuje přímo ochranu před konkrétními útoky, jako je předávání přihlašovacích údajů, ale umožňuje aplikacím, aby se přihlásily k EPA. Tento poradce informuje vývojáře a správce systému o této nové funkci a o tom, jak ji lze nasadit, aby se chránila přihlašovací údaje ověřování.Další informace najdete v tématu Microsoft 973811 Poradce pro zabezpečení.
Další informace
Tato aktualizace zabezpečení upravuje rozhraní SSPI (Security Support Provider Interface) a vylepšuje způsob, jakým funguje ověřování systému Windows, aby se přihlašovací údaje při povolení IWA nepřesílaly.Pokud je povolená služba EPA, jsou žádosti o ověření vázány jak na hlavní názvy služby (SPN) serveru, ke kterému se klient pokouší připojit, tak k vnějšímu kanálu TLS (Transport Layer Security), přes který probíhá ověřování IWA.
Aktualizace přidá novou položku registru pro správu rozšířené ochrany:
-
Nastavte hodnotu registru SuppressExtendedProtection .
Klíč registru
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Hodnota
SuppressExtendedProtection
Typ
REG_DWORD
Data
0 Umožňuje technologii ochrany.1 Rozšířená ochrana je zakázaná.3 Rozšířená ochrana je zakázaná a vazby kanálů odesílané protokolem Kerberos jsou také zakázány, i když je aplikace poskytuje.
Výchozí hodnota: 0x0
Poznámka Problém, ke kterému dochází při povolení protokolu EPA ve výchozím nastavení, je popsán v tématu Selhání ověřování ze serverů NTLM nebo Kerberos jiného systému než Windows na webu Microsoft.
-
Nastavte hodnotu LmCompatibilityLevel registru.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel až 3. Toto je existující klíč, který umožňuje ověřování NTLMv2. PROTOKOL EPA se vztahuje pouze na ověřovací protokoly NTLMv2, Kerberos, digest a vyjednávání a nevztahuje se na protokol NTLMv1.
Poznámka Po nastavení hodnot registru SuppressExtendedProtection a LmCompatibilityLevel v počítači se systémem Windows je nutné restartovat počítač.
Povolit rozšířenou ochranu
Poznámka Ve výchozím nastavení jsou ve všech podporovaných verzích systému Windows povoleny rozšířené ochrany i protokol NTLMv2. V tomto průvodci můžete ověřit, jestli tomu tak je.
Důležité Tato část, metoda nebo úloha obsahuje kroky, které vám poví, jak upravit registr. Pokud však registr upravíte nesprávně, může dojít k vážným problémům. Proto se ujistěte, že tyto kroky postupujete pečlivě. Chcete-li přidat ochranu, zálohujte registr před jeho úpravou. Pak můžete registr obnovit, pokud dojde k problému. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft:
-
KB322756 Jak zálohovat a obnovit registr ve Windows
Pokud chcete rozšířenou ochranu povolit sami po stažení a instalaci aktualizace zabezpečení pro vaši platformu, postupujte takto:
-
Spusťte Editor registru. Uděláte to tak, že kliknete na Start, kliknete na Spustit, do pole Otevřít zadáte regedit a pak kliknete na OK.
-
Vyhledejte následující podklíč registru a klikněte na ho:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Ověřte, že jsou k dispozici hodnoty registru SuppressExtendedProtection a LmCompatibilityLevel .Pokud hodnoty registru nejsou k dispozici, vytvořte je následujícím postupem:
-
S vybraným podklíčem registru, který je uveden v kroku 2, přejděte v nabídce Úpravy na Nový a potom klikněte na Hodnota DWORD.
-
Zadejte SuppressExtendedProtection a stiskněte klávesu Enter.
-
S vybraným podklíčem registru, který je uveden v kroku 2, přejděte v nabídce Úpravy na Nový a potom klikněte na Hodnota DWORD.
-
Zadejte LmCompatibilityLevel a stiskněte klávesu Enter.
-
-
Kliknutím vyberte hodnotu registru SuppressExtendedProtection .
-
V nabídce Úpravy klikněte na Změnit.
-
Do pole Údaj hodnoty zadejte 0 a klikněte na OK.
-
Kliknutím vyberte hodnotu registru LmCompatibilityLevel .
-
V nabídce Úpravy klikněte na Změnit.Poznámka Tento krok změní požadavky na ověřování NTLM. Projděte si následující článek ve znalostní bázi Microsoft Knowledge Base a ujistěte se, že jste s tímto chováním obeznámeni.
KB239869 Povolení ověřování NTLM 2
-
Do pole Údaj hodnoty zadejte 3 a klikněte na OK.
-
Ukončete Editor registru.
-
Pokud tyto změny provedete na počítači se systémem Windows, je nutné restartovat počítač před tím, než se změny projeví.
