Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Pendahuluan

Microsoft mengumumkan ketersediaan fitur baru, Extended Protection for Authentication (EPA), di platform Windows. Fitur ini meningkatkan perlindungan dan penanganan kredensial saat mengautentikasi koneksi jaringan dengan menggunakan Autentikasi Windows Terpadu (IWA).Pembaruan itu sendiri tidak secara langsung memberikan perlindungan terhadap serangan tertentu seperti penerusan kredensial tetapi memungkinkan aplikasi untuk ikut serta dalam EPA. Ringkasan konsultasi ini menjelaskan kepada pengembang dan administrator sistem tentang fungsionalitas baru ini dan cara penggunaannya untuk membantu melindungi kredensial autentikasi.Untuk informasi selengkapnya, lihat Microsoft 973811 Penasihat Keamanan.

Informasi Selengkapnya

Pembaruan keamanan ini mengubah Antarmuka Penyedia Dukungan Keamanan (SSPI) untuk meningkatkan cara kerja autentikasi Windows sehingga kredensial tidak mudah diteruskan saat IWA diaktifkan.Ketika EPA diaktifkan, permintaan autentikasi terikat ke kedua Nama Pokok Layanan (SPN) server yang coba disambungkan klien dan ke saluran Transport Layer Security (TLS) luar tempat autentikasi IWA terjadi.

Pembaruan menambahkan entri registri baru untuk mengelola Proteksi Diperpanjang:

  • Atur nilai registri SuppressExtendedProtection .

    Kunci registri

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Nilai

    SuppressExtendedProtection

    Jenis

    REG_DWORD

    Data

    0 Memungkinkan teknologi perlindungan.1 Perlindungan Diperpanjang dinonaktifkan.3 Perlindungan Diperpanjang dinonaktifkan dan pengikatan saluran yang dikirim oleh Kerberos juga dinonaktifkan, bahkan jika aplikasi memasoknya.

    Nilai default: 0x0

    Catatan Masalah yang terjadi ketika EPA diaktifkan secara default dijelaskan dalam kegagalan Autentikasi dari topik server non-Windows NTLM atau Kerberos di situs web Microsoft.

  • Atur nilai registri LmCompatibilityLevel .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel ke 3. Ini adalah kunci yang sudah ada yang mengaktifkan Autentikasi NTLMv2. EPA hanya berlaku untuk protokol autentikasi NTLMv2, Kerberos, digest, dan negosiasi dan tidak berlaku untuk NTLMv1.

Catatan Anda harus memulai ulang komputer setelah mengatur nilai registri SuppressExtendedProtection dan LmCompatibilityLevel di komputer Windows.

Aktifkan Proteksi Diperpanjang

Catatan Secara default, Proteksi Diperpanjang dan NTLMv2 diaktifkan di semua versi Windows yang didukung. Anda bisa menggunakan panduan ini untuk memverifikasi hal ini adalah kasusnya.

Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda cara mengubah registri. Namun, masalah serius mungkin terjadi jika Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, cadangkan registri sebelum Anda mengubahnya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, klik nomor artikel berikut ini untuk menampilkan artikel di Microsoft Pangkalan Pengetahuan:

  • KB322756 Cara mencadangkan dan memulihkan registri di Windows

Untuk mengaktifkan Perlindungan Yang Diperpanjang sendiri setelah Anda mengunduh dan menginstal pembaruan keamanan untuk platform Anda, ikuti langkah-langkah berikut:

  1. Mulai Editor Registri. Untuk melakukan ini, klik Mulai, klik Jalankan, ketik regedit dalam kotak Buka , lalu klik OK.

  2. Temukan lalu klik subkey registri berikut ini:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Verifikasi bahwa nilai registri SuppressExtendedProtection dan LmCompatibilityLevel hadir.Jika nilai registri tidak ada, ikuti langkah-langkah ini untuk membuatnya:

    1. Dengan subkey registri yang tercantum di langkah 2 dipilih, pada menu Edit , arahkan ke Baru, lalu klik Nilai DWORD.

    2. Ketik SuppressExtendedProtection, lalu tekan Enter.

    3. Dengan subkey registri yang tercantum di langkah 2 dipilih, pada menu Edit , arahkan ke Baru, lalu klik Nilai DWORD.

    4. Ketik LmCompatibilityLevel, lalu tekan Enter.

  4. Klik untuk memilih nilai registri SuppressExtendedProtection .

  5. Pada menu Edit , klik Ubah.

  6. Dalam kotak Data nilai , ketik 0, lalu klik OK.

  7. Klik untuk memilih nilai registri LmCompatibilityLevel .

  8. Pada menu Edit , klik Ubah.Catatan Langkah ini mengubah persyaratan autentikasi NTLM. Silakan tinjau artikel berikut ini di Microsoft Basis Pengetahuan untuk memastikan bahwa Anda sudah terbiasa dengan perilaku ini.

    KB239869 Cara mengaktifkan autentikasi NTLM 2

  9. Dalam kotak Data nilai , ketik 3, lalu klik OK.

  10. Keluar dari Editor Registri.

  11. Jika Anda membuat perubahan ini di komputer Windows, Anda harus memulai ulang komputer sebelum perubahan diterapkan.

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.