Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Johdanto

Microsoft ilmoittaa uuden ominaisuuden, EPA(Extended Protection for Authentication), saatavuudesta Windows-ympäristössä. Tämä ominaisuus parantaa tunnistetietojen suojausta ja käsittelyä, kun verkkoyhteyksiä todennetaan integroidun Windows-todennuksen (IWA) avulla.Itse päivitys ei suojaa suoraan tiettyjä hyökkäyksiä, kuten tunnistetietojen edelleenlähetystä, vastaan, mutta antaa sovelluksille mahdollisuuden osallistua EPA:han. Tämä ilmoitus kertoo kehittäjille ja järjestelmänvalvojille tästä uudesta toiminnosta ja siitä, miten se voidaan ottaa käyttöön todennustunnistetietojen suojaamiseksi.Lisätietoja on Microsoft suojausilmoitusten 973811.

Lisätietoja

Tämä suojauspäivitys muokkaa SSPI (Security Support Provider Interface) -liittymää parantamaan Tapaa, jolla Windows-todennus toimii, jotta tunnistetietoja ei ole helppo lähettää edelleen, kun IWA on käytössä.Kun EPA on käytössä, todennuspyynnöt sidotaan sekä asiakkaan muodostaman palvelimen palvelun päänimet (SPN) että ulompaan TLS (Transport Layer Security) -kanavaan, jolla IWA-todennus tapahtuu.

Päivitys lisää uuden rekisterimerkinnän Laajennetun suojauksen hallintaa varten:

  • Määritä rekisterin SuppressExtendedProtection-arvo .

    Rekisteriavaimen

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Arvo

    SuppressExtendedProtection

    Tyyppi

    REG_DWORD

    Tiedot

    0 Ottaa käyttöön suojausteknologian.1 Extended Protection on poistettu käytöstä.3 Extended Protection on poistettu käytöstä ja Kerberosin lähettämät kanavasidonnat poistetaan käytöstä, vaikka sovellus toimittaa ne.

    Oletusarvo: 0x0

    Huomautus Ongelma, joka ilmenee, kun EPA on oletusarvoisesti käytössä, on kuvattu Microsoft-sivuston muiden kuin Windows NTLM- tai Kerberos-palvelimien todennusvirheessä.

  • Määritä rekisterin LmCompatibilityLevel-arvo .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevelkohtaan 3. Tämä on olemassa oleva avain, joka ottaa käyttöön NTLMv2-todennuksen. EPA koskee vain NTLMv2-, Kerberos-, digest- ja neuvottelutodennusprotokollia, eikä sitä sovelleta NTLMv1:een.

Huomautus Tietokone on käynnistettävä uudelleen, kun olet määrittänyt Windows-tietokoneen SuppressExtendedProtection - ja LmCompatibilityLevel-rekisteriarvot .

Laajennetun suojauksen ottaminen käyttöön

Huomautus Extended Protection ja NTLMv2 ovat oletusarvoisesti käytössä kaikissa tuetuissa Windows-versioissa. Tämän oppaan avulla voit varmistaa, että näin on.

Tärkeää Tässä osassa, menetelmässä tai tehtävässä on vaiheita, joissa kerrotaan, miten voit muokata rekisteriä. Rekisterin virheellinen muokkaaminen voi kuitenkin aiheuttaa vakavia ongelmia. Varmista siksi, että noudatat näitä ohjeita huolellisesti. Jos haluat lisäsuojauksen, varmuuskopioi rekisteri ennen sen muokkaamista. Tämän jälkeen voit palauttaa rekisterin, jos ongelma ilmenee. Saat lisätietoja rekisterin varmuuskopioinnista ja palauttamisesta napsauttamalla seuraavaa artikkelin numeroa, jolloin voit tarkastella artikkelia Microsoft Knowledge Base -tietokannassa:

  • KB322756 Rekisterin varmuuskopiointi ja palauttaminen Windowsissa

Voit ottaa Extended Protectionin käyttöön itse, kun olet ladannut ja asentanut käyttöympäristösi suojauspäivityksen, toimimalla seuraavasti:

  1. Käynnistä Rekisterieditori. Voit tehdä tämän valitsemalla Käynnistä, valitsemalla Suorita, kirjoittamalla regeditAvaa-ruutuun ja valitsemalla sitten OK.

  2. Etsi seuraava rekisterin aliavain ja napsauta sitä:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Varmista, että rekisteriarvot SuppressExtendedProtection ja LmCompatibilityLevel ovat olemassa.Jos rekisteriarvoja ei ole, luo ne seuraavasti:

    1. Kun vaiheessa 2 näkyvä rekisterin aliavain on valittuna, valitse Muokkaa-valikossaUusi ja valitse sitten DWORD-arvo.

    2. Kirjoita SuppressExtendedProtection ja paina sitten Enter-näppäintä.

    3. Kun vaiheessa 2 näkyvä rekisterin aliavain on valittuna, valitse Muokkaa-valikossaUusi ja valitse sitten DWORD-arvo.

    4. Kirjoita LmCompatibilityLevel ja paina sitten Enter-näppäintä.

  4. Valitse EstäExtendedProtection-rekisteriarvo napsauttamalla.

  5. Valitse Muokkaa-valikossaMuokkaa.

  6. Kirjoita Arvotiedot-ruutuun0 ja valitse sitten OK.

  7. Valitse LmCompatibilityLevel-rekisteriarvo napsauttamalla.

  8. Valitse Muokkaa-valikossaMuokkaa.Huomautus Tämä vaihe muuttaa NTLM-todennusvaatimuksia. Tutustu seuraavaan artikkeliin Microsoft Knowledge Base -tietokannassa varmistaaksesi, että tunnet tämän toiminnan.

    KB239869 NTLM 2 -todennuksen ottaminen käyttöön

  9. Kirjoita Arvotiedot-ruutuun3 ja valitse sitten OK.

  10. Sulje Rekisterieditori.

  11. Jos teet nämä muutokset Windows-tietokoneessa, tietokone on käynnistettävä uudelleen, ennen kuin muutokset tulevat voimaan.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.