Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

מבוא

Microsoft מכריזה על הזמינות של תכונה חדשה, הגנה מורחבת לאימות (EPA), פלטפורמת Windows. תכונה זו משפרת את ההגנה והטיפול באישורים בעת אימות חיבורי רשת באמצעות אימות משולב של Windows (IWA).העדכון עצמו אינו מספק הגנה ישירות מפני תקיפות ספציפיות כגון העברת אישורים, אך מאפשר לאפליקציות להצטרף ל- EPA. תקציר מינורית זה לגבי מפתחים ומנהלי מערכת בפונקציונליות חדשה זו וכיצד ניתן לפרוס אותה כדי לסייע בהגנה על אישורי האימות.לקבלת מידע נוסף, ראה Microsoft בנושא אבטחה מינורית 973811.

מידע נוסף

עדכון אבטחה זה משנה את ממשק ספק התמיכה של האבטחה (SSPI) כדי לשפר את אופן הפעולה של אימות Windows כך שלא ניתן להעביר אישורים בקלות כאשר IWA זמין.כאשר EPA זמין, בקשות אימות מאוגדות הן לשמות ראשיים של שירות (SPN) של השרת שהלקוח מנסה להתחבר אל ערוץ Transport Layer Security (TLS) המרוחק שאליו מתרחש אימות IWA.

העדכון מוסיף ערך רישום חדש לניהול הגנה מורחבת:

  • הגדר את הערך SuppressExtendedProtection של הרישום.

    מפתח רישום

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    ‏‏ערך

    SuppressExtendedProtection

    סוג

    REG_DWORD

    ‏‏נתונים

    0 מאפשר טכנולוגיית הגנה.1 הגנה מורחבת אינה זמינה.3 הגנה מורחבת אינה זמינה ואיגודי ערוץ הנשלחים על-ידי Kerberos גם הם אינם זמינים, גם אם היישום מספק אותם.

    ערך ברירת מחדל: 0x0

    הערה בעיה שמתרחשת כאשר EPA מופעל כברירת מחדל מתוארת בנושא כשל אימות משרתים שאינם Windows NTLM או Kerberos באתר האינטרנט Microsoft זה.

  • הגדר את ערך LmCompatibilityLevel של הרישום.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevelל-3. זהו מפתח קיים המאפשר אימות NTLMv2. EPA חל רק על פרוטוקולי אימות NTLMv2, Kerberos, digest ואימות משא ומתן ואימות שאינו חל על NTLMv1.

הערה עליך להפעיל מחדש את המחשב לאחר הגדרת ערכי הרישום SuppressExtendedProtection ו- LmCompatibilityLevel במחשב Windows.

הפוך הגנה מורחבת לזמינה

הערה כברירת מחדל, הגנה מורחבת ו- NTLMv2 זמינים שניהם בכל הגירסאות הנתמכות של Windows. באפשרותך להשתמש במדריך זה כדי לוודא שזה המקרה.

חשוב סעיף, שיטה או משימה אלה מכילים שלבים שמסבירים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד לבצע שלבים אלה בזהירות. לקבלת הגנה נוספת, גבה את הרישום לפני שתשנה אותו. לאחר מכן, תוכל לשחזר את הרישום במקרה של בעיה. לקבלת מידע נוסף אודות אופן גיבוי ושחזור הרישום, לחץ על מספר המאמר הבא כדי להציג את המאמר Microsoft Knowledge Base:

כדי להפוך את ההגנה המורחבת לזמינה לאחר ההורדה וההתקנה של עדכון האבטחה עבור הפלטפורמה שלך, בצע את הפעולות הבאות:

  1. הפעל את עורך הרישום. לשם כך, לחץ על התחל, לחץ על הפעלה, הקלד regeditבתיבה פתח ולאחר מכן לחץ על אישור.

  2. אתר את מפתח המשנה הבא של הרישום ולחץ עליו:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. ודא שערכו של הרישום SuppressExtendedProtection ו- LmCompatibilityLevel קיימים.אם ערכי הרישום אינם קיימים, בצע שלבים אלה כדי ליצור אותם:

    1. כאשר מפתח המשנה של הרישום שמופיע בשלב 2 נבחר, בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.

    2. הקלד SuppressExtendedProtection ולאחר מכן הקש Enter.

    3. כאשר מפתח המשנה של הרישום שמופיע בשלב 2 נבחר, בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.

    4. הקלד LmCompatibilityLevel ולאחר מכן הקש Enter.

  4. לחץ כדי לבחור את ערך הרישום SuppressExtendedProtection .

  5. בתפריט עריכה , לחץ על שנה.

  6. בתיבה נתוני ערך , הקלד 0 ולאחר מכן לחץ על אישור.

  7. לחץ כדי לבחור את ערך הרישום LmCompatibilityLevel .

  8. בתפריט עריכה , לחץ על שנה.הערה שלב זה משנה את דרישות האימות של NTLM. עיין במאמר הבא במאמר Microsoft Knowledge Base כדי לוודא שאתה מכיר אופן פעולה זה.

    מספר KB239869 כיצד להפוך אימות NTLM 2 לזמין

  9. בתיבה נתוני ערך , הקלד 3 ולאחר מכן לחץ על אישור.

  10. צא מעורך הרישום.

  11. אם תבצע שינויים אלה במחשב Windows, עליך להפעיל מחדש את המחשב לפני שהשינויים ייכנסו לתוקף.

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.