Einführung
Microsoft kündigt die Verfügbarkeit eines neuen Features, des erweiterten Schutzes für die Authentifizierung (EPA), auf der Windows-Plattform an. Diese Funktion verbessert den Schutz und die Handhabung von Anmeldeinformationen bei der Authentifizierung von Netzwerkverbindungen mit Hilfe der integrierten Windows-Authentifizierung (IWA).Microsoft-Sicherheitsempfehlung 973811.
Das Update selbst bietet keinen direkten Schutz vor bestimmten Angriffen wie der Weiterleitung von Anmeldeinformationen, ermöglicht es jedoch Anwendungen, sich für EPA anzumelden. Dieser Hinweis informiert Entwickler und Systemadministratoren über diese neue Funktionalität und wie sie zum Schutz von Authentifizierungsdaten eingesetzt werden kann. Weitere Informationen finden Sie unterWeitere Informationen
Dieses Sicherheitsupdate ändert das Security Support Provider Interface (SSPI), um die Funktionsweise der Windows-Authentifizierung so zu verbessern, dass Anmeldeinformationen nicht einfach weitergeleitet werden, wenn IWA aktiviert ist.
Wenn EPA aktiviert ist, werden Authentifizierungsanfragen sowohl an die Dienstprinzipalnamen (SPN) des Servers, mit dem der Client eine Verbindung herzustellen versucht, als auch an den äußeren Transport Layer Security (TLS)-Kanal gebunden, über den die IWA-Authentifizierung erfolgt.Das Update fügt einen neuen Registrierungseintrag zum Verwalten des erweiterten Schutzes hinzu:
-
Legen Sie den Registrierungswert SuppressExtendedProtection fest.
Registrierungsschlüssel
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Wert
SuppressExtendedProtection
Typ
REG_DWORD
Daten
0 Aktiviert die Schutztechnologie.
1 Erweiterter Schutz ist deaktiviert. 3 Der erweiterte Schutz ist deaktiviert, und von Kerberos gesendete Kanalbindungen sind ebenfalls deaktiviert, auch wenn sie von der Anwendung bereitgestellt werden.Standardwert: 0x0
Hinweis Ein Problem, das auftritt, wenn EPA standardmäßig aktiviert ist, wird im Thema Authentifizierungsfehler von Nicht-Windows-NTLM- oder Kerberos-Servernauf der Microsoft-Website beschrieben.
-
Legen Sie den Wert für die Registrierung LmCompatibilityLevel fest.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel auf3. Dies ist ein vorhandener Schlüssel, der die NTLMv2-Authentifizierung aktiviert. EPA gilt nur für NTLMv2-, Kerberos-, Digest- und Aushandlungs-Authentifizierungsprotokolle und gilt nicht für NTLMv1.
Hinweis Sie müssen den Computer neu starten, nachdem Sie die Registrierungswerte SuppressExtendedProtection und LmCompatibilityLevel auf einem Windows-Computer festgelegt haben.
Erweiterten Schutz aktivieren
Hinweis Standardmäßig sind der erweiterte Schutz und NTLMv2 in allen unterstützten Versionen von Windows aktiviert. Mithilfe dieses Leitfadens können Sie überprüfen, ob dies der Fall ist.
Wichtig Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
-
KB322756 Sichern und Wiederherstellen der Registrierung in Windows
Führen Sie die folgenden Schritte aus, um den erweiterten Schutz selbst zu aktivieren, nachdem Sie das Sicherheitsupdate für Ihre Plattform heruntergeladen und installiert haben:
-
Starten Sie den Registrierungs-Editor. Klicken Sie hierzu auf Start, klicken Sie auf Ausführen, geben Sie regedit in das Feld Öffnen ein, und klicken Sie dann auf OK.
-
Klicken Sie auf den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Überprüfen Sie, ob die Registrierungswerte SuppressExtendedProtection und LmCompatibilityLevel vorhanden sind.
Wenn die Registrierungswerte nicht vorhanden sind, führen Sie die folgenden Schritte aus, um sie zu erstellen:-
Zeigen Sie bei ausgewähltem Registrierungsunterschlüssel, der in Schritt 2 aufgeführt ist, im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.
-
Geben Sie SuppressExtendedProtectionein, und drücken Sie dann die EINGABETASTE.
-
Zeigen Sie bei ausgewähltem Registrierungsunterschlüssel, der in Schritt 2 aufgeführt ist, im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.
-
Geben Sie LmCompatibilityLevelein, und drücken Sie dann die EINGABETASTE.
-
-
Klicken Sie, um den Registrierungswert SuppressExtendedProtection auszuwählen.
-
Klicken Sie im Menü Bearbeiten auf Ändern.
-
Geben Sie in das Datenfeld Wert den Wert 0 ein, und klicken Sie dann auf OK.
-
Klicken Sie, um den Registrierungswert LmCompatibilityLevel auszuwählen.
-
Klicken Sie im Menü Bearbeiten auf Ändern.
Hinweis Dieser Schritt ändert die NTLM-Authentifizierungsanforderungen. Lesen Sie den folgenden Artikel in der Microsoft Knowledge Base, um sicherzustellen, dass Sie mit diesem Verhalten vertraut sind.KB239869 Aktivieren der NTLM 2-Authentifizierung
-
Geben Sie im FeldWertdaten3ein, und klicken Sie dann auf OK.
-
Beenden Sie den Registrierungs-Editor.
-
Wenn Sie diese Änderungen auf einem Windows-Computer vornehmen, müssen Sie den Computer neu starten, bevor die Änderungen wirksam werden.