Johdanto
Microsoft ilmoittaa uuden ominaisuuden, EPA(Extended Protection for Authentication), saatavuudesta Windows-ympäristössä. Tämä ominaisuus parantaa tunnistetietojen suojausta ja käsittelyä, kun verkkoyhteyksiä todennetaan integroidun Windows-todennuksen (IWA) avulla.Microsoft suojausilmoitusten 973811.
Itse päivitys ei suojaa suoraan tiettyjä hyökkäyksiä, kuten tunnistetietojen edelleenlähetystä, vastaan, mutta antaa sovelluksille mahdollisuuden osallistua EPA:han. Tämä ilmoitus kertoo kehittäjille ja järjestelmänvalvojille tästä uudesta toiminnosta ja siitä, miten se voidaan ottaa käyttöön todennustunnistetietojen suojaamiseksi. Lisätietoja onLisätietoja
Tämä suojauspäivitys muokkaa SSPI (Security Support Provider Interface) -liittymää parantamaan Tapaa, jolla Windows-todennus toimii, jotta tunnistetietoja ei ole helppo lähettää edelleen, kun IWA on käytössä.
Kun EPA on käytössä, todennuspyynnöt sidotaan sekä asiakkaan muodostaman palvelimen palvelun päänimet (SPN) että ulompaan TLS (Transport Layer Security) -kanavaan, jolla IWA-todennus tapahtuu.Päivitys lisää uuden rekisterimerkinnän Laajennetun suojauksen hallintaa varten:
-
Määritä rekisterin SuppressExtendedProtection-arvo .
Rekisteriavaimen
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Arvo
SuppressExtendedProtection
Tyyppi
REG_DWORD
Tiedot
0 Ottaa käyttöön suojausteknologian.
1 Extended Protection on poistettu käytöstä. 3 Extended Protection on poistettu käytöstä ja Kerberosin lähettämät kanavasidonnat poistetaan käytöstä, vaikka sovellus toimittaa ne.Oletusarvo: 0x0
Huomautus Ongelma, joka ilmenee, kun EPA on oletusarvoisesti käytössä, on kuvattu Microsoft-sivuston muiden kuin Windows NTLM- tai Kerberos-palvelimien todennusvirheessä.
-
Määritä rekisterin LmCompatibilityLevel-arvo .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevelkohtaan 3. Tämä on olemassa oleva avain, joka ottaa käyttöön NTLMv2-todennuksen. EPA koskee vain NTLMv2-, Kerberos-, digest- ja neuvottelutodennusprotokollia, eikä sitä sovelleta NTLMv1:een.
Huomautus Tietokone on käynnistettävä uudelleen, kun olet määrittänyt Windows-tietokoneen SuppressExtendedProtection - ja LmCompatibilityLevel-rekisteriarvot .
Laajennetun suojauksen ottaminen käyttöön
Huomautus Extended Protection ja NTLMv2 ovat oletusarvoisesti käytössä kaikissa tuetuissa Windows-versioissa. Tämän oppaan avulla voit varmistaa, että näin on.
Tärkeää Tässä osassa, menetelmässä tai tehtävässä on vaiheita, joissa kerrotaan, miten voit muokata rekisteriä. Rekisterin virheellinen muokkaaminen voi kuitenkin aiheuttaa vakavia ongelmia. Varmista siksi, että noudatat näitä ohjeita huolellisesti. Jos haluat lisäsuojauksen, varmuuskopioi rekisteri ennen sen muokkaamista. Tämän jälkeen voit palauttaa rekisterin, jos ongelma ilmenee. Saat lisätietoja rekisterin varmuuskopioinnista ja palauttamisesta napsauttamalla seuraavaa artikkelin numeroa, jolloin voit tarkastella artikkelia Microsoft Knowledge Base -tietokannassa:
-
KB322756 Rekisterin varmuuskopiointi ja palauttaminen Windowsissa
Voit ottaa Extended Protectionin käyttöön itse, kun olet ladannut ja asentanut käyttöympäristösi suojauspäivityksen, toimimalla seuraavasti:
-
Käynnistä Rekisterieditori. Voit tehdä tämän valitsemalla Käynnistä, valitsemalla Suorita, kirjoittamalla regeditAvaa-ruutuun ja valitsemalla sitten OK.
-
Etsi seuraava rekisterin aliavain ja napsauta sitä:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Varmista, että rekisteriarvot SuppressExtendedProtection ja LmCompatibilityLevel ovat olemassa.
Jos rekisteriarvoja ei ole, luo ne seuraavasti:-
Kun vaiheessa 2 näkyvä rekisterin aliavain on valittuna, valitse Muokkaa-valikossaUusi ja valitse sitten DWORD-arvo.
-
Kirjoita SuppressExtendedProtection ja paina sitten Enter-näppäintä.
-
Kun vaiheessa 2 näkyvä rekisterin aliavain on valittuna, valitse Muokkaa-valikossaUusi ja valitse sitten DWORD-arvo.
-
Kirjoita LmCompatibilityLevel ja paina sitten Enter-näppäintä.
-
-
Valitse EstäExtendedProtection-rekisteriarvo napsauttamalla.
-
Valitse Muokkaa-valikossaMuokkaa.
-
Kirjoita Arvotiedot-ruutuun0 ja valitse sitten OK.
-
Valitse LmCompatibilityLevel-rekisteriarvo napsauttamalla.
-
Valitse Muokkaa-valikossaMuokkaa.
Huomautus Tämä vaihe muuttaa NTLM-todennusvaatimuksia. Tutustu seuraavaan artikkeliin Microsoft Knowledge Base -tietokannassa varmistaaksesi, että tunnet tämän toiminnan.KB239869 NTLM 2 -todennuksen ottaminen käyttöön
-
Kirjoita Arvotiedot-ruutuun3 ja valitse sitten OK.
-
Sulje Rekisterieditori.
-
Jos teet nämä muutokset Windows-tietokoneessa, tietokone on käynnistettävä uudelleen, ennen kuin muutokset tulevat voimaan.