Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Εισαγωγή

Microsoft ανακοινώνει τη διαθεσιμότητα μιας νέας δυνατότητας, της Εκτεταμένης προστασίας για έλεγχο ταυτότητας (EPA), στην πλατφόρμα των Windows. Αυτή η δυνατότητα βελτιώνει την προστασία και το χειρισμό των διαπιστευτηρίων κατά τον έλεγχο ταυτότητας συνδέσεων δικτύου με χρήση του ενσωματωμένου ελέγχου ταυτότητας των Windows (IWA).Η ίδια η ενημέρωση δεν παρέχει άμεση προστασία από συγκεκριμένες επιθέσεις, όπως η προώθηση διαπιστευτηρίων, αλλά επιτρέπει στις εφαρμογές να επιλέξουν να συμμετάσχουν στην ΥΠΠ. Αυτή η προειδοποίηση ενημερώνει τους προγραμματιστές και τους διαχειριστές συστήματος σχετικά με αυτήν τη νέα λειτουργικότητα και τον τρόπο με τον οποίο μπορεί να αναπτυχθεί για την προστασία των διαπιστευτηρίων ελέγχου ταυτότητας.Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Microsoft Συμβουλευτικό 973811 ασφαλείας.

Περισσότερες πληροφορίες

Αυτή η ενημέρωση ασφαλείας τροποποιεί τη διασύνδεση διασύνδεσης υπηρεσίας παροχής υποστήριξης ασφαλείας (SSPI) για να βελτιώσει τον τρόπο λειτουργίας του ελέγχου ταυτότητας των Windows, έτσι ώστε τα διαπιστευτήρια να μην προωθούνται εύκολα όταν είναι ενεργοποιημένο το IWA.Όταν είναι ενεργοποιημένη η δυνατότητα EPA, οι αιτήσεις ελέγχου ταυτότητας είναι συνδεδεμένες τόσο με τα κύρια ονόματα υπηρεσίας (SPN) του διακομιστή στο οποίο προσπαθεί να συνδεθεί ο υπολογιστής-πελάτης όσο και με το εξωτερικό κανάλι Ασφάλειας επιπέδου μεταφοράς (TLS) μέσω του οποίου εκτελείται ο έλεγχος ταυτότητας IWA.

Η ενημέρωση προσθέτει μια νέα καταχώρηση μητρώου για τη διαχείριση της Εκτεταμένης προστασίας:

  • Ορίστε την τιμή Του μητρώου SuppressExtendedProtection .

    Κλειδί μητρώου

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Τιμή

    SuppressExtendedProtection

    Τύπος

    REG_DWORD

    Δεδομένα

    0 Επιτρέπει την τεχνολογία προστασίας.1 Η Εκτεταμένη προστασία είναι απενεργοποιημένη.3 Η Εκτεταμένη προστασία είναι απενεργοποιημένη και οι συνδέσεις καναλιού που αποστέλλονται από το Kerberos απενεργοποιούνται επίσης, ακόμη και αν η εφαρμογή τις παρέχει.

    Προεπιλεγμένη τιμή: 0x0

    Σημείωση Ένα πρόβλημα που παρουσιάζεται όταν το EPA είναι ενεργοποιημένο από προεπιλογή περιγράφεται στο θέμα Αποτυχία ελέγχου ταυτότητας από διακομιστές που δεν είναι Windows NTLM ή Kerberos στην τοποθεσία web Microsoft.

  • Ορίστε την τιμή μητρώου LmCompatibilityLevel .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel στο 3. Αυτό είναι ένα υπάρχον κλειδί που ενεργοποιεί τον έλεγχο ταυτότητας NTLMv2. Το EPA ισχύει μόνο για τα πρωτόκολλα NTLMv2, Kerberos, digest και διαπραγματευτικών ελέγχου ταυτότητας και δεν ισχύει για το NTLMv1.

Σημείωση Πρέπει να επανεκκινήσετε τον υπολογιστή αφού ορίσετε τις τιμές μητρώου SuppressExtendedProtection και LmCompatibilityLevel σε έναν υπολογιστή με Windows.

Ενεργοποίηση εκτεταμένης προστασίας

Σημείωση Από προεπιλογή, η Εκτεταμένη προστασία και το NTLMv2 είναι και τα δύο ενεργοποιημένα σε όλες τις υποστηριζόμενες εκδόσεις των Windows. Μπορείτε να χρησιμοποιήσετε αυτόν τον οδηγό για να επαληθεύσετε ότι συμβαίνει αυτό.

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν στον τρόπο τροποποίησης του μητρώου. Ωστόσο, εάν τροποποιήσετε εσφαλμένα το μητρώο, ενδέχεται να προκύψουν σοβαρά προβλήματα. Επομένως, φροντίστε να ακολουθήσετε προσεκτικά αυτά τα βήματα. Για πρόσθετη προστασία, δημιουργήστε ένα αντίγραφο ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν παρουσιαστεί πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου που ακολουθεί για να προβάλετε το άρθρο στη Γνωσιακή βάση Microsoft:

  • KB322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows

Για να ενεργοποιήσετε την Εκτεταμένη προστασία μόνοι σας μετά τη λήψη και την εγκατάσταση της ενημέρωσης ασφαλείας για την πλατφόρμα σας, ακολουθήστε τα παρακάτω βήματα:

  1. Ξεκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην επιλογή Εκτέλεση, πληκτρολογήστε regedit στο πλαίσιο Άνοιγμα και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Βεβαιωθείτε ότι υπάρχουν οι τιμές μητρώου SuppressExtendedProtection και LmCompatibilityLevel .Εάν οι τιμές μητρώου δεν υπάρχουν, ακολουθήστε τα παρακάτω βήματα για να τις δημιουργήσετε:

    1. Με επιλεγμένο το δευτερεύον κλειδί μητρώου που παρατίθεται στο βήμα 2, στο μενού Επεξεργασία, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Δημιουργία και, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.

    2. Πληκτρολογήστε SuppressExtendedProtection και, στη συνέχεια, πατήστε το πλήκτρο Enter.

    3. Με επιλεγμένο το δευτερεύον κλειδί μητρώου που παρατίθεται στο βήμα 2, στο μενού Επεξεργασία, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Δημιουργία και, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.

    4. Πληκτρολογήστε LmCompatibilityLevel και, στη συνέχεια, πατήστε το πλήκτρο Enter.

  4. Κάντε κλικ για να επιλέξετε την τιμή μητρώου SuppressExtendedProtection .

  5. Στο μενού Επεξεργασία , κάντε κλικ στην επιλογή Τροποποίηση.

  6. Στο πλαίσιο Δεδομένα τιμής , πληκτρολογήστε 0 και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

  7. Κάντε κλικ για να επιλέξετε την τιμή μητρώου LmCompatibilityLevel .

  8. Στο μενού Επεξεργασία , κάντε κλικ στην επιλογή Τροποποίηση.Σημείωση Αυτό το βήμα αλλάζει τις απαιτήσεις ελέγχου ταυτότητας NTLM. Διαβάστε το ακόλουθο άρθρο στη Γνωσιακή βάση Microsoft για να βεβαιωθείτε ότι είστε εξοικειωμένοι με αυτή τη συμπεριφορά.

    KB239869 Τρόπος ενεργοποίησης του ελέγχου ταυτότητας NTLM 2

  9. Στο πλαίσιο Δεδομένα τιμής , πληκτρολογήστε 3 και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

  10. Κλείστε τον Επεξεργαστή Μητρώου.

  11. Εάν κάνετε αυτές τις αλλαγές σε υπολογιστή με Windows, πρέπει να επανεκκινήσετε τον υπολογιστή προτού τεθούν σε ισχύ οι αλλαγές.

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.