Uvod
Microsoft najavljuje dostupnost nove značajke Proširena zaštita za provjeru autentičnosti (EPA) na platformi Windows. Ova značajka poboljšava zaštitu i rukovanje vjerodajnicama prilikom provjere autentičnosti mrežnih veza pomoću integrirane provjere autentičnosti sustava Windows (IWA).Microsoft sigurnosna upozorenja 973811.
Samo ažuriranje ne pruža izravno zaštitu od određenih napada, kao što je prosljeđivanje vjerodajnica, već omogućuje aplikacijama da se prijave na EPA. Ovaj savjetnik informira razvojne inženjere i administratore sustava o toj novoj funkciji i načinu na koji se može implementirati radi zaštite vjerodajnica za provjeru autentičnosti. Dodatne informacije potražite u člankuDodatne informacije
Ovo sigurnosno ažuriranje mijenja sučelje davatelja sigurnosne podrške (SSPI) radi poboljšanja načina funkcioniranja provjere autentičnosti u sustavu Windows tako da se vjerodajnice ne prosljeđuju jednostavno kada je omogućen IWA.
Kada je OMOGUĆEN EPA, zahtjevi za provjeru autentičnosti povezani su s nazivima upravitelja servisa (SPN) poslužitelja s kojim se klijent pokušava povezati i s vanjskim kanalom Transport Layer Security (TLS) preko kojeg se odvija IWA provjera autentičnosti.Ažuriranjem se dodaje novi unos registra za upravljanje proširenom zaštitu:
-
Postavite vrijednost registra SuppressExtendedProtection .
Ključ registra
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Vrijednost
SuppressExtendedProtection
Vrsta
REG_DWORD
Podaci
0 Omogućuje tehnologiju zaštite.
1 Proširena zaštita je onemogućena. 3 Proširena zaštita onemogućena je, a povezivanje kanala koje šalje Kerberos također su onemogućene, čak i ako ih aplikacija isporučuje.Zadana vrijednost: 0x0
Napomena Problem koji se pojavljuje kada je EPA omogućen prema zadanim postavkama opisan je u temi Neuspješna provjera autentičnosti s NTLM poslužitelja koji nisu Windows ili Kerberos na Microsoft web-mjestu.
-
Postavite vrijednost LmCompatibilityLevel registra .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLeveldo 3. To je postojeći ključ koji omogućuje NTLMv2 provjeru autentičnosti. EPA se odnosi samo na protokole NTLMv2, Kerberos, digest i negotiation authentication protocols i ne odnosi se na NTLMv1.
Napomena Računalo morate ponovno pokrenuti nakon što postavite vrijednosti registra SuppressExtendedProtection i LmCompatibilityLevel na računalu sa sustavom Windows.
Omogući proširenu zaštitu
Napomena Proširena zaštita i NTLMv2 po zadanom su omogućeni u svim podržanim verzijama sustava Windows. Pomoću ovog vodiča provjerite je li to slučaj.
Važno Ovaj odjeljak, metoda ili zadatak sadrži korake koji vas obavještavaju o tome kako izmijeniti registar. No ako nepravilno izmijenite registar, može doći do ozbiljnih problema. Stoga pazite da pažljivo slijedite ove korake. Radi dodatne zaštite sigurnosno kopirajte registar prije izmjene. Zatim možete vratiti registar ako se pojavi problem. Dodatne informacije o sigurnosnom kopiranju i vraćanju registra potražite u članku iz baze znanja Microsoft članku:
-
Kb322756 Sigurnosno kopiranje i vraćanje registra u sustavu Windows
Da biste sami omogućili proširenu zaštitu nakon preuzimanja i instalacije sigurnosnog ažuriranja za platformu, slijedite ove korake:
-
Pokrenite uređivač registra. Da biste to učinili, kliknite Start, kliknite Pokreni, upišite regedit u okvir Otvori, a zatim kliknite U redu.
-
Pronađite i kliknite sljedeći potključ registra:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Provjerite postoje li vrijednosti registra SuppressExtendedProtectioni LmCompatibilityLevel .
Ako vrijednosti registra nisu prisutne, slijedite ove korake da biste ih stvorili:-
Uz odabran potključ registra naveden u 2. koraku na izborniku Uređivanje pokažite na Novo, a zatim kliknite Vrijednost DWORD.
-
Upišite SuppressExtendedProtection, a zatim pritisnite Enter.
-
Uz odabran potključ registra naveden u 2. koraku na izborniku Uređivanje pokažite na Novo, a zatim kliknite Vrijednost DWORD.
-
Upišite LmCompatibilityLevel, a zatim pritisnite Enter.
-
-
Kliknite da biste odabrali vrijednost registra SuppressExtendedProtection .
-
Na izborniku Uređivanje kliknite Izmijeni.
-
U okvir Vrijednost podataka upišite 0, a zatim kliknite U redu.
-
Kliknite da biste odabrali vrijednost registra LmCompatibilityLevel .
-
Na izborniku Uređivanje kliknite Izmijeni.
Napomena Ovaj korak mijenja preduvjete za NTLM provjeru autentičnosti. Pročitajte sljedeći članak u bazi Microsoft da biste bili sigurni da ste upoznati s tim ponašanjem.Kb239869 Omogućivanje provjere autentičnosti NTLM 2
-
U okvir Vrijednost podataka upišite 3, a zatim kliknite U redu.
-
Izlaz iz uređivača registra.
-
Ako te promjene unesete na računalu sa sustavom Windows, morate ponovno pokrenuti računalo prije nego što promjene stupe na snagu.