Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Ismertető

Microsoft egy új funkció, a Kiterjesztett hitelesítés (EPA) rendelkezésre állását jelenti be a Windows platformon. Ez a funkció javítja a hitelesítő adatok védelmét és kezelését a hálózati kapcsolatok integrált Windows-hitelesítéssel (IWA) történő hitelesítésekor.Maga a frissítés nem nyújt közvetlenül védelmet bizonyos támadások, például a hitelesítő adatok továbbítása ellen, de lehetővé teszi az alkalmazások számára, hogy csatlakoznak az EPA-hoz. Ez a tanácsadás tájékoztat a fejlesztőket és a rendszergazdákat erről az új funkcióról, valamint arról, hogyan helyezhetők üzembe a hitelesítési hitelesítő adatok védelme érdekében.További információ: Microsoft Security Advisory 973811.

További információ

Ez a biztonsági frissítés módosítja a biztonsági támogatás szolgáltatói felületét (SSPI) a Windows-hitelesítés működésének javítása érdekében, hogy a hitelesítő adatok ne legyenek könnyen továbbítva, amikor az IWA engedélyezve van.Ha az EPA engedélyezve van, a hitelesítési kérések annak a kiszolgálónak a szolgáltatásneveihez (SPN) vannak kötve, amelyhez az ügyfél csatlakozni próbál, és a külső Transport Layer Security (TLS) csatornához, amelyen az IWA-hitelesítés történik.

A frissítés új beállításjegyzékbeli bejegyzést ad hozzá a kiterjesztett védelem kezeléséhez:

  • Állítsa be a SuppressExtendedProtection beállításjegyzéket.

    Beállításkulcs

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Érték

    SuppressExtendedProtection

    Típus

    REG_DWORD

    Adat

    0 Engedélyezi a védelmi technológiát.1 A kiterjesztett védelem le van tiltva.3 A kiterjesztett védelem le van tiltva, és a Kerberos által küldött csatornakötések is le vannak tiltva, még akkor is, ha az alkalmazás biztosítja őket.

    Alapértelmezett érték: 0x0

    Megjegyzés A nem Windows NTLM- vagy Kerberos-kiszolgálók hitelesítési hibáiról szóló témakör a Microsoft webhelyén ismerteti azt a problémát, amely akkor fordul elő, ha az EPA alapértelmezés szerint engedélyezve van.

  • Állítsa be a beállításjegyzék LmCompatibilityLevel értékét.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel a 3-ra. Ez egy meglévő kulcs, amely lehetővé teszi az NTLMv2 hitelesítést. Az EPA csak az NTLMv2, a Kerberos, a kivonatoló és a tárgyalási hitelesítési protokollokra vonatkozik, és nem vonatkozik az NTLMv1 protokollra.

Megjegyzés Miután beállította a SuppressExtendedProtection és az LmCompatibilityLevel beállításazonosítót egy Windows-számítógépen, újra kell indítania a számítógépet.

Kiterjesztett védelem engedélyezése

Megjegyzés Alapértelmezés szerint a Kiterjesztett védelem és az NTLMv2 is engedélyezve van a Windows összes támogatott verziójában. Ezzel az útmutatóval ellenőrizheti, hogy ez a helyzet-e.

Fontos Ez a szakasz, metódus vagy feladat olyan lépéseket tartalmaz, amelyekből megtudhatja, hogyan módosíthatja a beállításjegyzéket. Ha azonban helytelenül módosítja a beállításjegyzéket, komoly problémák léphetnek fel. Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonsági másolatot kell készítenie a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentéséről és visszaállításáról a következő cikkszámra kattintva tekintheti meg a cikket a Microsoft Tudásbázisban:

  • KB322756 A beállításjegyzék biztonsági mentése és visszaállítása a Windowsban

Ha a platform biztonsági frissítésének letöltése és telepítése után saját maga szeretné engedélyezni a kiterjesztett védelmet, kövesse az alábbi lépéseket:

  1. Indítsa el a Beállításszerkesztőt. Ehhez kattintson a Start gombra, kattintson a Futtatás parancsra, írja be a regedit kifejezést a Megnyitás mezőbe, majd kattintson az OK gombra.

  2. Keresse meg a beállításjegyzék alábbi alkulcsát, majd kattintson rá:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Ellenőrizze, hogy a SuppressExtendedProtection és az LmCompatibilityLevel beállításjegyzék-értékek megtalálhatók-e.Ha a beállításjegyzék-értékek nincsenek jelen, a létrehozásukhoz kövesse az alábbi lépéseket:

    1. Ha a 2. lépésben felsorolt beállításjegyzék-alkulcs van kiválasztva, a Szerkesztés menüben mutasson az Új elemre, majd kattintson a DWORD érték elemre.

    2. Írja be a SuppressExtendedProtection parancsot, majd nyomja le az Enter billentyűt.

    3. Ha a 2. lépésben felsorolt beállításjegyzék-alkulcs van kiválasztva, a Szerkesztés menüben mutasson az Új elemre, majd kattintson a DWORD érték elemre.

    4. Írja be az LmCompatibilityLevel kifejezést, majd nyomja le az Enter billentyűt.

  4. Kattintson ide a SuppressExtendedProtection beállításazonosító kiválasztásához.

  5. A Szerkesztés menüben kattintson a Módosítás gombra.

  6. Az Érték adatmezőbe írja be a 0 értéket, majd kattintson az OK gombra.

  7. Kattintson ide az LmCompatibilityLevel beállításazonosító kiválasztásához.

  8. A Szerkesztés menüben kattintson a Módosítás gombra.Megjegyzés Ez a lépés megváltoztatja az NTLM hitelesítési követelményeit. Tekintse át a Microsoft tudásbázis következő cikkét, hogy biztosan tudja ezt a viselkedést.

    KB239869 NTLM 2-hitelesítés engedélyezése

  9. Az Érték adatmezőbe írja be a 3 értéket, majd kattintson az OK gombra.

  10. Lépjen ki a Beállításszerkesztőből.

  11. Ha windowsos számítógépen hajtja végre ezeket a módosításokat, a módosítások érvénybe lépése előtt újra kell indítania a számítógépet.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.