Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Úvod

Microsoft oznamuje dostupnost nové funkce rozšířené ochrany pro ověřování (EPA) na platformě Windows. Tato funkce vylepšuje ochranu a zpracování přihlašovacích údajů při ověřování síťových připojení pomocí integrovaného ověřování systému Windows (IWA).Aktualizace sama o sobě neposkytuje přímo ochranu před konkrétními útoky, jako je předávání přihlašovacích údajů, ale umožňuje aplikacím, aby se přihlásily k EPA. Tento poradce informuje vývojáře a správce systému o této nové funkci a o tom, jak ji lze nasadit, aby se chránila přihlašovací údaje ověřování.Další informace najdete v tématu Microsoft 973811 Poradce pro zabezpečení.

Další informace

Tato aktualizace zabezpečení upravuje rozhraní SSPI (Security Support Provider Interface) a vylepšuje způsob, jakým funguje ověřování systému Windows, aby se přihlašovací údaje při povolení IWA nepřesílaly.Pokud je povolená služba EPA, jsou žádosti o ověření vázány jak na hlavní názvy služby (SPN) serveru, ke kterému se klient pokouší připojit, tak k vnějšímu kanálu TLS (Transport Layer Security), přes který probíhá ověřování IWA.

Aktualizace přidá novou položku registru pro správu rozšířené ochrany:

  • Nastavte hodnotu registru SuppressExtendedProtection .

    Klíč registru

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Hodnota

    SuppressExtendedProtection

    Typ

    REG_DWORD

    Data

    0 Umožňuje technologii ochrany.1 Rozšířená ochrana je zakázaná.3 Rozšířená ochrana je zakázaná a vazby kanálů odesílané protokolem Kerberos jsou také zakázány, i když je aplikace poskytuje.

    Výchozí hodnota: 0x0

    Poznámka Problém, ke kterému dochází při povolení protokolu EPA ve výchozím nastavení, je popsán v tématu Selhání ověřování ze serverů NTLM nebo Kerberos jiného systému než Windows na webu Microsoft.

  • Nastavte hodnotu LmCompatibilityLevel registru.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel3. Toto je existující klíč, který umožňuje ověřování NTLMv2. PROTOKOL EPA se vztahuje pouze na ověřovací protokoly NTLMv2, Kerberos, digest a vyjednávání a nevztahuje se na protokol NTLMv1.

Poznámka Po nastavení hodnot registru SuppressExtendedProtection a LmCompatibilityLevel v počítači se systémem Windows je nutné restartovat počítač.

Povolit rozšířenou ochranu

Poznámka Ve výchozím nastavení jsou ve všech podporovaných verzích systému Windows povoleny rozšířené ochrany i protokol NTLMv2. V tomto průvodci můžete ověřit, jestli tomu tak je.

Důležité Tato část, metoda nebo úloha obsahuje kroky, které vám poví, jak upravit registr. Pokud však registr upravíte nesprávně, může dojít k vážným problémům. Proto se ujistěte, že tyto kroky postupujete pečlivě. Chcete-li přidat ochranu, zálohujte registr před jeho úpravou. Pak můžete registr obnovit, pokud dojde k problému. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft:

  • KB322756 Jak zálohovat a obnovit registr ve Windows

Pokud chcete rozšířenou ochranu povolit sami po stažení a instalaci aktualizace zabezpečení pro vaši platformu, postupujte takto:

  1. Spusťte Editor registru. Uděláte to tak, že kliknete na Start, kliknete na Spustit, do pole Otevřít zadáte regedit a pak kliknete na OK.

  2. Vyhledejte následující podklíč registru a klikněte na ho:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Ověřte, že jsou k dispozici hodnoty registru SuppressExtendedProtection a LmCompatibilityLevel .Pokud hodnoty registru nejsou k dispozici, vytvořte je následujícím postupem:

    1. S vybraným podklíčem registru, který je uveden v kroku 2, přejděte v nabídce Úpravy na Nový a potom klikněte na Hodnota DWORD.

    2. Zadejte SuppressExtendedProtection a stiskněte klávesu Enter.

    3. S vybraným podklíčem registru, který je uveden v kroku 2, přejděte v nabídce Úpravy na Nový a potom klikněte na Hodnota DWORD.

    4. Zadejte LmCompatibilityLevel a stiskněte klávesu Enter.

  4. Kliknutím vyberte hodnotu registru SuppressExtendedProtection .

  5. V nabídce Úpravy klikněte na Změnit.

  6. Do pole Údaj hodnoty zadejte 0 a klikněte na OK.

  7. Kliknutím vyberte hodnotu registru LmCompatibilityLevel .

  8. V nabídce Úpravy klikněte na Změnit.Poznámka Tento krok změní požadavky na ověřování NTLM. Projděte si následující článek ve znalostní bázi Microsoft Knowledge Base a ujistěte se, že jste s tímto chováním obeznámeni.

    KB239869 Povolení ověřování NTLM 2

  9. Do pole Údaj hodnoty zadejte 3 a klikněte na OK.

  10. Ukončete Editor registru.

  11. Pokud tyto změny provedete na počítači se systémem Windows, je nutné restartovat počítač před tím, než se změny projeví.

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.