Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Ievads

Microsoft paziņo par jauna līdzekļa paplašināto aizsardzību (Extended Protection for Authentication — EPA) pieejamību Windows platformā. Šis līdzeklis uzlabo akreditācijas datu aizsardzību un apstrādi, autentificējot tīkla savienojumus, izmantojot integrēto Windows autentifikāciju (IWA).Pats atjauninājums nenodrošina tiešu aizsardzību pret noteiktiem uzbrukumiem, piemēram, akreditācijas datu pārsūtīšanu, bet ļauj lietojumprogrammām izvēlēties PIEDALĪTIES EPA. Šis ieteikums sniedz informāciju izstrādātājiem un sistēmas administratoriem par šo jauno funkcionalitāti un to, kā to izvietot, lai palīdzētu aizsargāt autentifikācijas akreditācijas datus.Papildinformāciju skatiet rakstā Microsoft drošības konsultāciju 973811.

Papildinformācija

Šis drošības atjauninājums modificē drošības atbalsta pakalpojumu sniedzēja interfeisu (SSPI), lai uzlabotu Windows autentifikācijas darbību un akreditācijas dati pēc IWA iespējošanas nebūtu vienkārši pārsūtīti.Ja epa ir iespējots, autentifikācijas pieprasījumi ir saistīti ar servera pakalpojumu pamatnosauciem (Service Principal Names — SPN), un klients mēģina izveidot savienojumu ar ārējo transporta slāņa drošības (TLS) kanālu, kurā tiek veikta IWA autentifikācija.

Atjauninājums pievieno jaunu reģistra ierakstu paplašinātās aizsardzības pārvaldīšanai:

  • Iestatiet reģistra SuppressExtendedProtection vērtību.

    Reģistra atslēga

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Vērtība

    SuppressExtendedProtection

    Veids

    REG_DWORD

    Dati

    0 Iespējo aizsardzības tehnoloģiju.1 Paplašinātā aizsardzība ir atspējota.3 Paplašinātā aizsardzība ir atspējota, un Kerberos nosūtītie kanālu saistīumi arī tiek atspējoti pat tad, ja lietojumprogramma tos nodrošina.

    Noklusējuma vērtība: 0x0

    Piezīme Problēma, kas rodas, ja EPA ir iespējota pēc noklusējuma, ir aprakstīta tēmā Autentifikācijas kļūme no serveriem, kas nav Windows NTLM vai Kerberos serveri Microsoft vietnē.

  • Iestatiet reģistra LmCompatibilityLevel vērtību.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLeveluz 3. Šī ir esoša atslēga, kas iespējo NTLMv2 autentifikāciju. EPA attiecas tikai uz NTLMv2, Kerberos, īssavilkumu un sarunas autentifikācijas protokolu un neattiecas uz NTLMv1.

Piezīme Pēc reģistra SuppressExtendedProtection un LmCompatibilityLevel iestatīšanas Windows datorā ir jārestartē dators.

Iespējot paplašināto aizsardzību

Piezīme Pēc noklusējuma visās atbalstītās Windows versijās ir iespējota paplašinātā aizsardzība un NTLMv2. Varat izmantot šo rokasgrāmatu, lai pārbaudītu, vai tā ir.

Svarīgi Šajā sadaļā, metodē vai uzdevumā ir ietvertas darbības, kas jāveic, lai modificētu reģistru. Tomēr, nepareizi modificējot reģistru, iespējamas nopietnas problēmas. Tāpēc tālāk norādītās darbības jāveic uzmanīgi. Lai nodrošinātu papildu aizsardzību, dublējiet reģistru, pirms to modificējat. Pēc tam varat atjaunot reģistru, ja rodas problēma. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, noklikšķiniet uz šī raksta numura un skatiet rakstu zināšanu Microsoft bāzē:

  • KB322756 Kā dublēt un atjaunot reģistru operētājsistēmā Windows

Lai patstāvīgi iespējotu paplašināto aizsardzību pēc savas platformas drošības atjauninājuma lejupielādes un instalēšanas, veiciet tālāk norādītās darbības.

  1. Startējiet reģistra redaktoru. Lai to izdarītu, noklikšķiniet uz Sākt, noklikšķiniet uz Palaist, lodziņā Atvērt ierakstiet regeditun pēc tam noklikšķiniet uz Labi.

  2. Atrodiet un pēc tam noklikšķiniet uz šādas reģistra apakšatslēgas:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Pārbaudiet, vai ir reģistra vērtības SuppressExtendedProtection un LmCompatibilityLevel .Ja reģistra vērtības nav pieejamas, veiciet tālāk norādītās darbības, lai tās izveidotu.

    1. Atlasiet reģistra apakšatslēgu, kas norādīta 2. darbībā, izvēlnē Rediģēt norādiet uz Jauns un pēc tam noklikšķiniet uz DWORD vērtība.

    2. Ierakstiet SuppressExtendedProtection un pēc tam nospiediet taustiņu Enter.

    3. Atlasiet reģistra apakšatslēgu, kas norādīta 2. darbībā, izvēlnē Rediģēt norādiet uz Jauns un pēc tam noklikšķiniet uz DWORD vērtība.

    4. Ierakstiet LmCompatibilityLevel un pēc tam nospiediet taustiņu Enter.

  4. Noklikšķiniet, lai atlasītu reģistra vērtību SuppressExtendedProtection .

  5. Izvēlnē Rediģēt noklikšķiniet uz Modificēt.

  6. Lodziņā Vērtības dati ierakstiet 0 un pēc tam noklikšķiniet uz Labi.

  7. Noklikšķiniet, lai atlasītu reģistra vērtību LmCompatibilityLevel .

  8. Izvēlnē Rediģēt noklikšķiniet uz Modificēt.Piezīme Šī darbība maina NTLM autentifikācijas prasības. Lūdzu, skatiet šo rakstu zināšanu Microsoft bāzē, lai pārliecinātos, vai pārzināt šo darbību.

    KB239869 Kā iespējot NTLM 2 autentifikāciju

  9. Lodziņā Vērtības dati ierakstiet 3 un pēc tam noklikšķiniet uz Labi.

  10. Izejiet no reģistra redaktora.

  11. Ja veicat šīs izmaiņas Windows datorā, pirms izmaiņas stājas spēkā, restartējiet datoru.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.