Pendahuluan
Microsoft mengumumkan ketersediaan fitur baru, Extended Protection for Authentication (EPA), di platform Windows. Fitur ini meningkatkan perlindungan dan penanganan kredensial saat mengautentikasi koneksi jaringan dengan menggunakan Autentikasi Windows Terpadu (IWA).Microsoft 973811 Penasihat Keamanan.
Pembaruan itu sendiri tidak secara langsung memberikan perlindungan terhadap serangan tertentu seperti penerusan kredensial tetapi memungkinkan aplikasi untuk ikut serta dalam EPA. Ringkasan konsultasi ini menjelaskan kepada pengembang dan administrator sistem tentang fungsionalitas baru ini dan cara penggunaannya untuk membantu melindungi kredensial autentikasi. Untuk informasi selengkapnya, lihatInformasi Selengkapnya
Pembaruan keamanan ini mengubah Antarmuka Penyedia Dukungan Keamanan (SSPI) untuk meningkatkan cara kerja autentikasi Windows sehingga kredensial tidak mudah diteruskan saat IWA diaktifkan.
Ketika EPA diaktifkan, permintaan autentikasi terikat ke kedua Nama Pokok Layanan (SPN) server yang coba disambungkan klien dan ke saluran Transport Layer Security (TLS) luar tempat autentikasi IWA terjadi.Pembaruan menambahkan entri registri baru untuk mengelola Proteksi Diperpanjang:
-
Atur nilai registri SuppressExtendedProtection .
Kunci registri
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Nilai
SuppressExtendedProtection
Jenis
REG_DWORD
Data
0 Memungkinkan teknologi perlindungan.
1 Perlindungan Diperpanjang dinonaktifkan. 3 Perlindungan Diperpanjang dinonaktifkan dan pengikatan saluran yang dikirim oleh Kerberos juga dinonaktifkan, bahkan jika aplikasi memasoknya.Nilai default: 0x0
Catatan Masalah yang terjadi ketika EPA diaktifkan secara default dijelaskan dalam kegagalan Autentikasi dari topik server non-Windows NTLM atau Kerberos di situs web Microsoft.
-
Atur nilai registri LmCompatibilityLevel .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel ke 3. Ini adalah kunci yang sudah ada yang mengaktifkan Autentikasi NTLMv2. EPA hanya berlaku untuk protokol autentikasi NTLMv2, Kerberos, digest, dan negosiasi dan tidak berlaku untuk NTLMv1.
Catatan Anda harus memulai ulang komputer setelah mengatur nilai registri SuppressExtendedProtection dan LmCompatibilityLevel di komputer Windows.
Aktifkan Proteksi Diperpanjang
Catatan Secara default, Proteksi Diperpanjang dan NTLMv2 diaktifkan di semua versi Windows yang didukung. Anda bisa menggunakan panduan ini untuk memverifikasi hal ini adalah kasusnya.
Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda cara mengubah registri. Namun, masalah serius mungkin terjadi jika Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, cadangkan registri sebelum Anda mengubahnya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, klik nomor artikel berikut ini untuk menampilkan artikel di Microsoft Pangkalan Pengetahuan:
-
KB322756 Cara mencadangkan dan memulihkan registri di Windows
Untuk mengaktifkan Perlindungan Yang Diperpanjang sendiri setelah Anda mengunduh dan menginstal pembaruan keamanan untuk platform Anda, ikuti langkah-langkah berikut:
-
Mulai Editor Registri. Untuk melakukan ini, klik Mulai, klik Jalankan, ketik regedit dalam kotak Buka , lalu klik OK.
-
Temukan lalu klik subkey registri berikut ini:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Verifikasi bahwa nilai registri SuppressExtendedProtection dan LmCompatibilityLevel hadir.
Jika nilai registri tidak ada, ikuti langkah-langkah ini untuk membuatnya:-
Dengan subkey registri yang tercantum di langkah 2 dipilih, pada menu Edit , arahkan ke Baru, lalu klik Nilai DWORD.
-
Ketik SuppressExtendedProtection, lalu tekan Enter.
-
Dengan subkey registri yang tercantum di langkah 2 dipilih, pada menu Edit , arahkan ke Baru, lalu klik Nilai DWORD.
-
Ketik LmCompatibilityLevel, lalu tekan Enter.
-
-
Klik untuk memilih nilai registri SuppressExtendedProtection .
-
Pada menu Edit , klik Ubah.
-
Dalam kotak Data nilai , ketik 0, lalu klik OK.
-
Klik untuk memilih nilai registri LmCompatibilityLevel .
-
Pada menu Edit , klik Ubah.
Catatan Langkah ini mengubah persyaratan autentikasi NTLM. Silakan tinjau artikel berikut ini di Microsoft Basis Pengetahuan untuk memastikan bahwa Anda sudah terbiasa dengan perilaku ini.KB239869 Cara mengaktifkan autentikasi NTLM 2
-
Dalam kotak Data nilai , ketik 3, lalu klik OK.
-
Keluar dari Editor Registri.
-
Jika Anda membuat perubahan ini di komputer Windows, Anda harus memulai ulang komputer sebelum perubahan diterapkan.