Ismertető
Microsoft egy új funkció, a Kiterjesztett hitelesítés (EPA) rendelkezésre állását jelenti be a Windows platformon. Ez a funkció javítja a hitelesítő adatok védelmét és kezelését a hálózati kapcsolatok integrált Windows-hitelesítéssel (IWA) történő hitelesítésekor.Microsoft Security Advisory 973811.
Maga a frissítés nem nyújt közvetlenül védelmet bizonyos támadások, például a hitelesítő adatok továbbítása ellen, de lehetővé teszi az alkalmazások számára, hogy csatlakoznak az EPA-hoz. Ez a tanácsadás tájékoztat a fejlesztőket és a rendszergazdákat erről az új funkcióról, valamint arról, hogyan helyezhetők üzembe a hitelesítési hitelesítő adatok védelme érdekében. További információ:További információ
Ez a biztonsági frissítés módosítja a biztonsági támogatás szolgáltatói felületét (SSPI) a Windows-hitelesítés működésének javítása érdekében, hogy a hitelesítő adatok ne legyenek könnyen továbbítva, amikor az IWA engedélyezve van.
Ha az EPA engedélyezve van, a hitelesítési kérések annak a kiszolgálónak a szolgáltatásneveihez (SPN) vannak kötve, amelyhez az ügyfél csatlakozni próbál, és a külső Transport Layer Security (TLS) csatornához, amelyen az IWA-hitelesítés történik.A frissítés új beállításjegyzékbeli bejegyzést ad hozzá a kiterjesztett védelem kezeléséhez:
-
Állítsa be a SuppressExtendedProtection beállításjegyzéket.
Beállításkulcs
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Érték
SuppressExtendedProtection
Típus
REG_DWORD
Adat
0 Engedélyezi a védelmi technológiát.
1 A kiterjesztett védelem le van tiltva. 3 A kiterjesztett védelem le van tiltva, és a Kerberos által küldött csatornakötések is le vannak tiltva, még akkor is, ha az alkalmazás biztosítja őket.Alapértelmezett érték: 0x0
Megjegyzés A nem Windows NTLM- vagy Kerberos-kiszolgálók hitelesítési hibáiról szóló témakör a Microsoft webhelyén ismerteti azt a problémát, amely akkor fordul elő, ha az EPA alapértelmezés szerint engedélyezve van.
-
Állítsa be a beállításjegyzék LmCompatibilityLevel értékét.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel a 3-ra. Ez egy meglévő kulcs, amely lehetővé teszi az NTLMv2 hitelesítést. Az EPA csak az NTLMv2, a Kerberos, a kivonatoló és a tárgyalási hitelesítési protokollokra vonatkozik, és nem vonatkozik az NTLMv1 protokollra.
Megjegyzés Miután beállította a SuppressExtendedProtection és az LmCompatibilityLevel beállításazonosítót egy Windows-számítógépen, újra kell indítania a számítógépet.
Kiterjesztett védelem engedélyezése
Megjegyzés Alapértelmezés szerint a Kiterjesztett védelem és az NTLMv2 is engedélyezve van a Windows összes támogatott verziójában. Ezzel az útmutatóval ellenőrizheti, hogy ez a helyzet-e.
Fontos Ez a szakasz, metódus vagy feladat olyan lépéseket tartalmaz, amelyekből megtudhatja, hogyan módosíthatja a beállításjegyzéket. Ha azonban helytelenül módosítja a beállításjegyzéket, komoly problémák léphetnek fel. Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonsági másolatot kell készítenie a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentéséről és visszaállításáról a következő cikkszámra kattintva tekintheti meg a cikket a Microsoft Tudásbázisban:
-
KB322756 A beállításjegyzék biztonsági mentése és visszaállítása a Windowsban
Ha a platform biztonsági frissítésének letöltése és telepítése után saját maga szeretné engedélyezni a kiterjesztett védelmet, kövesse az alábbi lépéseket:
-
Indítsa el a Beállításszerkesztőt. Ehhez kattintson a Start gombra, kattintson a Futtatás parancsra, írja be a regedit kifejezést a Megnyitás mezőbe, majd kattintson az OK gombra.
-
Keresse meg a beállításjegyzék alábbi alkulcsát, majd kattintson rá:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Ellenőrizze, hogy a SuppressExtendedProtection és az LmCompatibilityLevel beállításjegyzék-értékek megtalálhatók-e.
Ha a beállításjegyzék-értékek nincsenek jelen, a létrehozásukhoz kövesse az alábbi lépéseket:-
Ha a 2. lépésben felsorolt beállításjegyzék-alkulcs van kiválasztva, a Szerkesztés menüben mutasson az Új elemre, majd kattintson a DWORD érték elemre.
-
Írja be a SuppressExtendedProtection parancsot, majd nyomja le az Enter billentyűt.
-
Ha a 2. lépésben felsorolt beállításjegyzék-alkulcs van kiválasztva, a Szerkesztés menüben mutasson az Új elemre, majd kattintson a DWORD érték elemre.
-
Írja be az LmCompatibilityLevel kifejezést, majd nyomja le az Enter billentyűt.
-
-
Kattintson ide a SuppressExtendedProtection beállításazonosító kiválasztásához.
-
A Szerkesztés menüben kattintson a Módosítás gombra.
-
Az Érték adatmezőbe írja be a 0 értéket, majd kattintson az OK gombra.
-
Kattintson ide az LmCompatibilityLevel beállításazonosító kiválasztásához.
-
A Szerkesztés menüben kattintson a Módosítás gombra.
Megjegyzés Ez a lépés megváltoztatja az NTLM hitelesítési követelményeit. Tekintse át a Microsoft tudásbázis következő cikkét, hogy biztosan tudja ezt a viselkedést.KB239869 NTLM 2-hitelesítés engedélyezése
-
Az Érték adatmezőbe írja be a 3 értéket, majd kattintson az OK gombra.
-
Lépjen ki a Beállításszerkesztőből.
-
Ha windowsos számítógépen hajtja végre ezeket a módosításokat, a módosítások érvénybe lépése előtt újra kell indítania a számítógépet.