Įvadas
"Microsoft" praneša apie naujos funkcijos – Išplėstinė autentifikavimo apsauga (EPA) pasiekiamumą "Windows" platformoje. Ši funkcija pagerina apsaugą ir kredencialų tvarkymą autentifikuojant tinklo ryšius naudojant integruotą "Windows" autentifikavimą (IWA)."Microsoft" saugos patarimo 973811.
Pats naujinimas tiesiogiai neapsaugo nuo konkrečių atakų, pvz., kredencialų persiuntimo, tačiau leidžia programoms pasirinkti EPS. Šis patarimo pranešimas kūrėjams ir sistemos administratoriams apie šią naują funkciją ir kaip ją galima įdiegti siekiant apsaugoti autentifikavimo kredencialus. Daugiau informacijos žr.Daugiau informacijos
Šis saugos naujinimas modifikuoja saugos palaikymo teikėjo sąsają (SSPI), kad pagerintų "Windows" autentifikavimo veikimą, kad kredencialai nebūtų lengvai peradresuojami įgalinus IWA.
Įgalinus EPA, autentifikavimo užklausos yra susietos su serverio sistemos sistemos pavadinimais (SPN), prie kurio klientas bando prisijungti, ir prie išorinio transportavimo lygmens saugos (TLS) kanalo, per kurį vykdomas IWA autentifikavimas.Naujinimas įtraukia naują registro įrašą, kad būtų galima valdyti išplėstinę apsaugą:
-
Nustatykite registro SuppressExtendedProtection reikšmę.
Registro raktas
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Reikšmė
SuppressExtendedProtection
Tipas
REG_DWORD
Duomenys
0 Įgalina apsaugos technologiją.
1 Papildoma apsauga išjungta. 3 Išplėstinė apsauga išjungta, o "Kerberos" siunčiami kanalo susiejimai taip pat yra išjungti, net jei programa juos tiekia.Numatytoji reikšmė: 0x0
Pastaba Problema, kuri kyla, kai EPA įjungta pagal numatytuosius parametrus yra aprašyta autentifikavimo triktį ne Windows NTLM arba Kerberos serverių temoje "Microsoft" svetainėje.
-
Nustatykite registro LmCompatibilityLevel reikšmę.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel į 3. Tai yra esamas raktas, įgalinantis "NTLMv2" autentifikavimą. EPA taikoma tik NTLMv2, "Kerberos", suvestinėms ir derybiniams autentifikavimo protokolams ir netaikoma NTLMv1.
Pastaba "Windows" kompiuteryje nustatę SuppressExtendedProtection ir LmCompatibilityLevel registro reikšmes, turite iš naujo paleisti kompiuterį.
Įgalinti išplėstinę apsaugą
Pastaba Pagal numatytuosius parametrus išplėstinė apsauga ir NTLMv2 yra įjungti visose palaikomose "Windows" versijose. Šį vadovą galite naudoti norėdami patikrinti, ar taip yra.
Svarbu Šiame skyriuje, metode ar užduotyje yra veiksmų, kurie nurodo, kaip modifikuoti registrą. Tačiau gali kilti rimtų problemų, jei netinkamai modifikuosite registrą. Todėl įsitikinkite, kad atidžiai atliekate šiuos veiksmus. Norėdami papildomai apsaugoti, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galite atkurti registrą, jei kyla problemų. Jei norite gauti daugiau informacijos apie tai, kaip sukurti atsarginę kopiją ir atkurti registrą, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:
-
KB322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"
Norėdami įjungti išplėstinę apsaugą patys, kai atsisiunčiate ir įdiegiate savo platformos saugos naujinimą, atlikite šiuos veiksmus:
-
Paleiskite registro rengyklę. Norėdami tai padaryti, spustelėkite Pradžia, Vykdyti, lauke Atidaryti įveskite regedit ir spustelėkite Gerai.
-
Raskite ir spustelėkite šį dalinį registro raktą:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Patikrinkite, ar yra registro reikšmės SuppressExtendedProtection ir LmCompatibilityLevel .
Jei registro reikšmių nėra, atlikite šiuos veiksmus, kad jas sukurtumėte:-
Pasirinkę dalinį registro raktą, kuris nurodytas atliekant 2 veiksmą, meniu Redagavimas nukreipkite žymiklį į Naujas, tada spustelėkite DWORD reikšmė.
-
Įveskite SuppressExtendedProtection, tada paspauskite Enter.
-
Pasirinkę dalinį registro raktą, kuris nurodytas atliekant 2 veiksmą, meniu Redagavimas nukreipkite žymiklį į Naujas, tada spustelėkite DWORD reikšmė.
-
Įveskite LmCompatibilityLevel, tada paspauskite Enter.
-
-
Spustelėdami pasirinkite Registro reikšmę SuppressExtendedProtection .
-
Meniu Redagavimas spustelėkite Modifikuoti.
-
Lauke Reikšmės duomenys įveskite 0, tada spustelėkite Gerai.
-
Spustelėdami pasirinkite registro reikšmę LmCompatibilityLevel .
-
Meniu Redagavimas spustelėkite Modifikuoti.
Pastaba Šis veiksmas pakeičia NTLM autentifikavimo reikalavimus. Peržiūrėkite šį "Microsoft" žinių bazės straipsnį ir įsitikinkite, kad esate susipažinę su šiuo veikimo būdu.KB239869 Kaip įgalinti NTLM 2 autentifikavimą
-
Lauke Reikšmės duomenys įveskite 3, tada spustelėkite Gerai.
-
Išeikite iš registro rengyklės.
-
Jei šiuos pakeitimus atliksite "Windows" kompiuteryje, prieš įsigaliojant pakeitimams, turite iš naujo paleisti kompiuterį.