Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Įvadas

"Microsoft" praneša apie naujos funkcijos – Išplėstinė autentifikavimo apsauga (EPA) pasiekiamumą "Windows" platformoje. Ši funkcija pagerina apsaugą ir kredencialų tvarkymą autentifikuojant tinklo ryšius naudojant integruotą "Windows" autentifikavimą (IWA).Pats naujinimas tiesiogiai neapsaugo nuo konkrečių atakų, pvz., kredencialų persiuntimo, tačiau leidžia programoms pasirinkti EPS. Šis patarimo pranešimas kūrėjams ir sistemos administratoriams apie šią naują funkciją ir kaip ją galima įdiegti siekiant apsaugoti autentifikavimo kredencialus.Daugiau informacijos žr. "Microsoft" saugos patarimo 973811.

Daugiau informacijos

Šis saugos naujinimas modifikuoja saugos palaikymo teikėjo sąsają (SSPI), kad pagerintų "Windows" autentifikavimo veikimą, kad kredencialai nebūtų lengvai peradresuojami įgalinus IWA.Įgalinus EPA, autentifikavimo užklausos yra susietos su serverio sistemos sistemos pavadinimais (SPN), prie kurio klientas bando prisijungti, ir prie išorinio transportavimo lygmens saugos (TLS) kanalo, per kurį vykdomas IWA autentifikavimas.

Naujinimas įtraukia naują registro įrašą, kad būtų galima valdyti išplėstinę apsaugą:

  • Nustatykite registro SuppressExtendedProtection reikšmę.

    Registro raktas

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Reikšmė

    SuppressExtendedProtection

    Tipas

    REG_DWORD

    Duomenys

    0 Įgalina apsaugos technologiją.1 Papildoma apsauga išjungta.3 Išplėstinė apsauga išjungta, o "Kerberos" siunčiami kanalo susiejimai taip pat yra išjungti, net jei programa juos tiekia.

    Numatytoji reikšmė: 0x0

    Pastaba Problema, kuri kyla, kai EPA įjungta pagal numatytuosius parametrus yra aprašyta autentifikavimo triktį ne Windows NTLM arba Kerberos serverių temoje "Microsoft" svetainėje.

  • Nustatykite registro LmCompatibilityLevel reikšmę.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel į 3. Tai yra esamas raktas, įgalinantis "NTLMv2" autentifikavimą. EPA taikoma tik NTLMv2, "Kerberos", suvestinėms ir derybiniams autentifikavimo protokolams ir netaikoma NTLMv1.

Pastaba "Windows" kompiuteryje nustatę SuppressExtendedProtection ir LmCompatibilityLevel registro reikšmes, turite iš naujo paleisti kompiuterį.

Įgalinti išplėstinę apsaugą

Pastaba Pagal numatytuosius parametrus išplėstinė apsauga ir NTLMv2 yra įjungti visose palaikomose "Windows" versijose. Šį vadovą galite naudoti norėdami patikrinti, ar taip yra.

Svarbu Šiame skyriuje, metode ar užduotyje yra veiksmų, kurie nurodo, kaip modifikuoti registrą. Tačiau gali kilti rimtų problemų, jei netinkamai modifikuosite registrą. Todėl įsitikinkite, kad atidžiai atliekate šiuos veiksmus. Norėdami papildomai apsaugoti, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galite atkurti registrą, jei kyla problemų. Jei norite gauti daugiau informacijos apie tai, kaip sukurti atsarginę kopiją ir atkurti registrą, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

  • KB322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"

Norėdami įjungti išplėstinę apsaugą patys, kai atsisiunčiate ir įdiegiate savo platformos saugos naujinimą, atlikite šiuos veiksmus:

  1. Paleiskite registro rengyklę. Norėdami tai padaryti, spustelėkite Pradžia, Vykdyti, lauke Atidaryti įveskite regedit ir spustelėkite Gerai.

  2. Raskite ir spustelėkite šį dalinį registro raktą:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Patikrinkite, ar yra registro reikšmės SuppressExtendedProtection ir LmCompatibilityLevel .Jei registro reikšmių nėra, atlikite šiuos veiksmus, kad jas sukurtumėte:

    1. Pasirinkę dalinį registro raktą, kuris nurodytas atliekant 2 veiksmą, meniu Redagavimas nukreipkite žymiklį į Naujas, tada spustelėkite DWORD reikšmė.

    2. Įveskite SuppressExtendedProtection, tada paspauskite Enter.

    3. Pasirinkę dalinį registro raktą, kuris nurodytas atliekant 2 veiksmą, meniu Redagavimas nukreipkite žymiklį į Naujas, tada spustelėkite DWORD reikšmė.

    4. Įveskite LmCompatibilityLevel, tada paspauskite Enter.

  4. Spustelėdami pasirinkite Registro reikšmę SuppressExtendedProtection .

  5. Meniu Redagavimas spustelėkite Modifikuoti.

  6. Lauke Reikšmės duomenys įveskite 0, tada spustelėkite Gerai.

  7. Spustelėdami pasirinkite registro reikšmę LmCompatibilityLevel .

  8. Meniu Redagavimas spustelėkite Modifikuoti.Pastaba Šis veiksmas pakeičia NTLM autentifikavimo reikalavimus. Peržiūrėkite šį "Microsoft" žinių bazės straipsnį ir įsitikinkite, kad esate susipažinę su šiuo veikimo būdu.

    KB239869 Kaip įgalinti NTLM 2 autentifikavimą

  9. Lauke Reikšmės duomenys įveskite 3, tada spustelėkite Gerai.

  10. Išeikite iš registro rengyklės.

  11. Jei šiuos pakeitimus atliksite "Windows" kompiuteryje, prieš įsigaliojant pakeitimams, turite iš naujo paleisti kompiuterį.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.