Εισαγωγή
Microsoft ανακοινώνει τη διαθεσιμότητα μιας νέας δυνατότητας, της Εκτεταμένης προστασίας για έλεγχο ταυτότητας (EPA), στην πλατφόρμα των Windows. Αυτή η δυνατότητα βελτιώνει την προστασία και το χειρισμό των διαπιστευτηρίων κατά τον έλεγχο ταυτότητας συνδέσεων δικτύου με χρήση του ενσωματωμένου ελέγχου ταυτότητας των Windows (IWA).στο θέμα Microsoft Συμβουλευτικό 973811 ασφαλείας.
Η ίδια η ενημέρωση δεν παρέχει άμεση προστασία από συγκεκριμένες επιθέσεις, όπως η προώθηση διαπιστευτηρίων, αλλά επιτρέπει στις εφαρμογές να επιλέξουν να συμμετάσχουν στην ΥΠΠ. Αυτή η προειδοποίηση ενημερώνει τους προγραμματιστές και τους διαχειριστές συστήματος σχετικά με αυτήν τη νέα λειτουργικότητα και τον τρόπο με τον οποίο μπορεί να αναπτυχθεί για την προστασία των διαπιστευτηρίων ελέγχου ταυτότητας. Για περισσότερες πληροφορίες, ανατρέξτεΠερισσότερες πληροφορίες
Αυτή η ενημέρωση ασφαλείας τροποποιεί τη διασύνδεση διασύνδεσης υπηρεσίας παροχής υποστήριξης ασφαλείας (SSPI) για να βελτιώσει τον τρόπο λειτουργίας του ελέγχου ταυτότητας των Windows, έτσι ώστε τα διαπιστευτήρια να μην προωθούνται εύκολα όταν είναι ενεργοποιημένο το IWA.
Όταν είναι ενεργοποιημένη η δυνατότητα EPA, οι αιτήσεις ελέγχου ταυτότητας είναι συνδεδεμένες τόσο με τα κύρια ονόματα υπηρεσίας (SPN) του διακομιστή στο οποίο προσπαθεί να συνδεθεί ο υπολογιστής-πελάτης όσο και με το εξωτερικό κανάλι Ασφάλειας επιπέδου μεταφοράς (TLS) μέσω του οποίου εκτελείται ο έλεγχος ταυτότητας IWA.Η ενημέρωση προσθέτει μια νέα καταχώρηση μητρώου για τη διαχείριση της Εκτεταμένης προστασίας:
-
Ορίστε την τιμή Του μητρώου SuppressExtendedProtection .
Κλειδί μητρώου
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Τιμή
SuppressExtendedProtection
Τύπος
REG_DWORD
Δεδομένα
0 Επιτρέπει την τεχνολογία προστασίας.
1 Η Εκτεταμένη προστασία είναι απενεργοποιημένη. 3 Η Εκτεταμένη προστασία είναι απενεργοποιημένη και οι συνδέσεις καναλιού που αποστέλλονται από το Kerberos απενεργοποιούνται επίσης, ακόμη και αν η εφαρμογή τις παρέχει.Προεπιλεγμένη τιμή: 0x0
Σημείωση Ένα πρόβλημα που παρουσιάζεται όταν το EPA είναι ενεργοποιημένο από προεπιλογή περιγράφεται στο θέμα Αποτυχία ελέγχου ταυτότητας από διακομιστές που δεν είναι Windows NTLM ή Kerberos στην τοποθεσία web Microsoft.
-
Ορίστε την τιμή μητρώου LmCompatibilityLevel .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel στο 3. Αυτό είναι ένα υπάρχον κλειδί που ενεργοποιεί τον έλεγχο ταυτότητας NTLMv2. Το EPA ισχύει μόνο για τα πρωτόκολλα NTLMv2, Kerberos, digest και διαπραγματευτικών ελέγχου ταυτότητας και δεν ισχύει για το NTLMv1.
Σημείωση Πρέπει να επανεκκινήσετε τον υπολογιστή αφού ορίσετε τις τιμές μητρώου SuppressExtendedProtection και LmCompatibilityLevel σε έναν υπολογιστή με Windows.
Ενεργοποίηση εκτεταμένης προστασίας
Σημείωση Από προεπιλογή, η Εκτεταμένη προστασία και το NTLMv2 είναι και τα δύο ενεργοποιημένα σε όλες τις υποστηριζόμενες εκδόσεις των Windows. Μπορείτε να χρησιμοποιήσετε αυτόν τον οδηγό για να επαληθεύσετε ότι συμβαίνει αυτό.
Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν στον τρόπο τροποποίησης του μητρώου. Ωστόσο, εάν τροποποιήσετε εσφαλμένα το μητρώο, ενδέχεται να προκύψουν σοβαρά προβλήματα. Επομένως, φροντίστε να ακολουθήσετε προσεκτικά αυτά τα βήματα. Για πρόσθετη προστασία, δημιουργήστε ένα αντίγραφο ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν παρουσιαστεί πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου που ακολουθεί για να προβάλετε το άρθρο στη Γνωσιακή βάση Microsoft:
-
KB322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows
Για να ενεργοποιήσετε την Εκτεταμένη προστασία μόνοι σας μετά τη λήψη και την εγκατάσταση της ενημέρωσης ασφαλείας για την πλατφόρμα σας, ακολουθήστε τα παρακάτω βήματα:
-
Ξεκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην επιλογή Εκτέλεση, πληκτρολογήστε regedit στο πλαίσιο Άνοιγμα και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
-
Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Βεβαιωθείτε ότι υπάρχουν οι τιμές μητρώου SuppressExtendedProtection και LmCompatibilityLevel .
Εάν οι τιμές μητρώου δεν υπάρχουν, ακολουθήστε τα παρακάτω βήματα για να τις δημιουργήσετε:-
Με επιλεγμένο το δευτερεύον κλειδί μητρώου που παρατίθεται στο βήμα 2, στο μενού Επεξεργασία, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Δημιουργία και, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.
-
Πληκτρολογήστε SuppressExtendedProtection και, στη συνέχεια, πατήστε το πλήκτρο Enter.
-
Με επιλεγμένο το δευτερεύον κλειδί μητρώου που παρατίθεται στο βήμα 2, στο μενού Επεξεργασία, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Δημιουργία και, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.
-
Πληκτρολογήστε LmCompatibilityLevel και, στη συνέχεια, πατήστε το πλήκτρο Enter.
-
-
Κάντε κλικ για να επιλέξετε την τιμή μητρώου SuppressExtendedProtection .
-
Στο μενού Επεξεργασία , κάντε κλικ στην επιλογή Τροποποίηση.
-
Στο πλαίσιο Δεδομένα τιμής , πληκτρολογήστε 0 και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
-
Κάντε κλικ για να επιλέξετε την τιμή μητρώου LmCompatibilityLevel .
-
Στο μενού Επεξεργασία , κάντε κλικ στην επιλογή Τροποποίηση.
Σημείωση Αυτό το βήμα αλλάζει τις απαιτήσεις ελέγχου ταυτότητας NTLM. Διαβάστε το ακόλουθο άρθρο στη Γνωσιακή βάση Microsoft για να βεβαιωθείτε ότι είστε εξοικειωμένοι με αυτή τη συμπεριφορά.KB239869 Τρόπος ενεργοποίησης του ελέγχου ταυτότητας NTLM 2
-
Στο πλαίσιο Δεδομένα τιμής , πληκτρολογήστε 3 και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
-
Κλείστε τον Επεξεργαστή Μητρώου.
-
Εάν κάνετε αυτές τις αλλαγές σε υπολογιστή με Windows, πρέπει να επανεκκινήσετε τον υπολογιστή προτού τεθούν σε ισχύ οι αλλαγές.