Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Uvod

Microsoft najavljuje dostupnost nove značajke Proširena zaštita za provjeru autentičnosti (EPA) na platformi Windows. Ova značajka poboljšava zaštitu i rukovanje vjerodajnicama prilikom provjere autentičnosti mrežnih veza pomoću integrirane provjere autentičnosti sustava Windows (IWA).Samo ažuriranje ne pruža izravno zaštitu od određenih napada, kao što je prosljeđivanje vjerodajnica, već omogućuje aplikacijama da se prijave na EPA. Ovaj savjetnik informira razvojne inženjere i administratore sustava o toj novoj funkciji i načinu na koji se može implementirati radi zaštite vjerodajnica za provjeru autentičnosti.Dodatne informacije potražite u članku Microsoft sigurnosna upozorenja 973811.

Dodatne informacije

Ovo sigurnosno ažuriranje mijenja sučelje davatelja sigurnosne podrške (SSPI) radi poboljšanja načina funkcioniranja provjere autentičnosti u sustavu Windows tako da se vjerodajnice ne prosljeđuju jednostavno kada je omogućen IWA.Kada je OMOGUĆEN EPA, zahtjevi za provjeru autentičnosti povezani su s nazivima upravitelja servisa (SPN) poslužitelja s kojim se klijent pokušava povezati i s vanjskim kanalom Transport Layer Security (TLS) preko kojeg se odvija IWA provjera autentičnosti.

Ažuriranjem se dodaje novi unos registra za upravljanje proširenom zaštitu:

  • Postavite vrijednost registra SuppressExtendedProtection .

    Ključ registra

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Vrijednost

    SuppressExtendedProtection

    Vrsta

    REG_DWORD

    Podaci

    0 Omogućuje tehnologiju zaštite.1 Proširena zaštita je onemogućena.3 Proširena zaštita onemogućena je, a povezivanje kanala koje šalje Kerberos također su onemogućene, čak i ako ih aplikacija isporučuje.

    Zadana vrijednost: 0x0

    Napomena Problem koji se pojavljuje kada je EPA omogućen prema zadanim postavkama opisan je u temi Neuspješna provjera autentičnosti s NTLM poslužitelja koji nisu Windows ili Kerberos na Microsoft web-mjestu.

  • Postavite vrijednost LmCompatibilityLevel registra .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLeveldo 3. To je postojeći ključ koji omogućuje NTLMv2 provjeru autentičnosti. EPA se odnosi samo na protokole NTLMv2, Kerberos, digest i negotiation authentication protocols i ne odnosi se na NTLMv1.

Napomena Računalo morate ponovno pokrenuti nakon što postavite vrijednosti registra SuppressExtendedProtection i LmCompatibilityLevel na računalu sa sustavom Windows.

Omogući proširenu zaštitu

Napomena Proširena zaštita i NTLMv2 po zadanom su omogućeni u svim podržanim verzijama sustava Windows. Pomoću ovog vodiča provjerite je li to slučaj.

Važno Ovaj odjeljak, metoda ili zadatak sadrži korake koji vas obavještavaju o tome kako izmijeniti registar. No ako nepravilno izmijenite registar, može doći do ozbiljnih problema. Stoga pazite da pažljivo slijedite ove korake. Radi dodatne zaštite sigurnosno kopirajte registar prije izmjene. Zatim možete vratiti registar ako se pojavi problem. Dodatne informacije o sigurnosnom kopiranju i vraćanju registra potražite u članku iz baze znanja Microsoft članku:

  • Kb322756 Sigurnosno kopiranje i vraćanje registra u sustavu Windows

Da biste sami omogućili proširenu zaštitu nakon preuzimanja i instalacije sigurnosnog ažuriranja za platformu, slijedite ove korake:

  1. Pokrenite uređivač registra. Da biste to učinili, kliknite Start, kliknite Pokreni, upišite regedit u okvir Otvori, a zatim kliknite U redu.

  2. Pronađite i kliknite sljedeći potključ registra:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Provjerite postoje li vrijednosti registra SuppressExtendedProtectioni LmCompatibilityLevel .Ako vrijednosti registra nisu prisutne, slijedite ove korake da biste ih stvorili:

    1. Uz odabran potključ registra naveden u 2. koraku na izborniku Uređivanje pokažite na Novo, a zatim kliknite Vrijednost DWORD.

    2. Upišite SuppressExtendedProtection, a zatim pritisnite Enter.

    3. Uz odabran potključ registra naveden u 2. koraku na izborniku Uređivanje pokažite na Novo, a zatim kliknite Vrijednost DWORD.

    4. Upišite LmCompatibilityLevel, a zatim pritisnite Enter.

  4. Kliknite da biste odabrali vrijednost registra SuppressExtendedProtection .

  5. Na izborniku Uređivanje kliknite Izmijeni.

  6. U okvir Vrijednost podataka upišite 0, a zatim kliknite U redu.

  7. Kliknite da biste odabrali vrijednost registra LmCompatibilityLevel .

  8. Na izborniku Uređivanje kliknite Izmijeni.Napomena Ovaj korak mijenja preduvjete za NTLM provjeru autentičnosti. Pročitajte sljedeći članak u bazi Microsoft da biste bili sigurni da ste upoznati s tim ponašanjem.

    Kb239869 Omogućivanje provjere autentičnosti NTLM 2

  9. U okvir Vrijednost podataka upišite 3, a zatim kliknite U redu.

  10. Izlaz iz uređivača registra.

  11. Ako te promjene unesete na računalu sa sustavom Windows, morate ponovno pokrenuti računalo prije nego što promjene stupe na snagu.

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.