Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Inleiding

Microsoft kondigt de beschikbaarheid aan van een nieuwe functie, Extended Protection for Authentication (EPA), op het Windows-platform. Deze functie verbetert de beveiliging en verwerking van referenties bij het verifiëren van netwerkverbindingen met behulp van geïntegreerde Windows-verificatie (IWA).De update zelf biedt niet rechtstreeks bescherming tegen specifieke aanvallen, zoals het doorsturen van referenties, maar maakt het mogelijk dat toepassingen zich aanmelden bij EPA. In dit advies worden ontwikkelaars en systeembeheerders geïnformeerd over deze nieuwe functionaliteit en hoe deze kan worden geïmplementeerd om verificatiereferenties te beveiligen.Zie Microsoft Beveiligingsadvies 973811 voor meer informatie.

Meer informatie

Deze beveiligingsupdate wijzigt de Security Support Provider Interface (SSPI) om de manier waarop Windows-verificatie werkt te verbeteren, zodat referenties niet eenvoudig worden doorgestuurd wanneer IWA is ingeschakeld.Wanneer EPA is ingeschakeld, zijn verificatieaanvragen gebonden aan zowel de Service Principal Names (SPN) van de server waarmee de client verbinding probeert te maken als aan het tls-kanaal (Outer Transport Layer Security) waarover de IWA-verificatie plaatsvindt.

De update voegt een nieuwe registervermelding toe voor het beheren van uitgebreide beveiliging:

  • Stel de registerwaarde SuppressExtendedProtection in .

    Registersleutel

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Waarde

    SuppressExtendedProtection

    Type

    REG_DWORD

    Gegevens

    0 Hiermee wordt beveiligingstechnologie ingeschakeld.1 Uitgebreide beveiliging is uitgeschakeld.3 Uitgebreide beveiliging is uitgeschakeld en kanaalbindingen die door Kerberos worden verzonden, worden ook uitgeschakeld, zelfs als de toepassing ze levert.

    Standaardwaarde: 0x0

    Opmerking Een probleem dat optreedt wanneer EPA standaard is ingeschakeld, wordt beschreven in het onderwerp Verificatiefout van niet-Windows NTLM- of Kerberos-servers op de Microsoft website.

  • Stel de registerwaarde LmCompatibilityLevel in.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel tot 3. Dit is een bestaande sleutel waarmee NTLMv2-verificatie mogelijk is. EPA is alleen van toepassing op NTLMv2-, Kerberos-, digest- en onderhandelingsverificatieprotocollen en is niet van toepassing op NTLMv1.

Opmerking U moet de computer opnieuw opstarten nadat u de registerwaarden SuppressExtendedProtection en LmCompatibilityLevel op een Windows-computer hebt ingesteld.

Uitgebreide beveiliging inschakelen

Opmerking Uitgebreide beveiliging en NTLMv2 zijn standaard ingeschakeld in alle ondersteunde versies van Windows. U kunt deze handleiding gebruiken om te controleren of dit het geval is.

Belangrijk Deze sectie, methode of taak bevat stappen die u laten zien hoe u het register kunt wijzigen. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig volgt. Voor extra beveiliging maakt u een back-up van het register voordat u het wijzigt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het maken van een back-up en het herstellen van het register:

  • KB322756 Een back-up maken van het register en het herstellen in Windows

Voer de volgende stappen uit om Uitgebreide beveiliging zelf in te schakelen nadat u de beveiligingsupdate voor uw platform hebt gedownload en geïnstalleerd:

  1. Start register-editor. Klik hiervoor op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik vervolgens op OK.

  2. Zoek en klik op de volgende registersubsleutel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Controleer of de registerwaarden SuppressExtendedProtection en LmCompatibilityLevel aanwezig zijn.Als de registerwaarden niet aanwezig zijn, volgt u deze stappen om ze te maken:

    1. Terwijl de registersubsleutel die wordt vermeld in stap 2 geselecteerd, wijst u in het menu Bewerken de optie Nieuw aan en klikt u vervolgens op DWORD-waarde.

    2. Typ SuppressExtendedProtection en druk op Enter.

    3. Terwijl de registersubsleutel die wordt vermeld in stap 2 geselecteerd, wijst u in het menu Bewerken de optie Nieuw aan en klikt u vervolgens op DWORD-waarde.

    4. Typ LmCompatibilityLevel en druk op Enter.

  4. Klik om de registerwaarde SuppressExtendedProtection te selecteren.

  5. Klik in het menu Bewerken op Wijzigen.

  6. Typ 0 in het vak Waardegegevens en klik op OK.

  7. Klik om de registerwaarde LmCompatibilityLevel te selecteren.

  8. Klik in het menu Bewerken op Wijzigen.Opmerking Met deze stap worden de vereisten voor NTLM-verificatie gewijzigd. Raadpleeg het volgende artikel in de Microsoft Knowledge Base om ervoor te zorgen dat u bekend bent met dit gedrag.

    KB239869 NTLM 2-verificatie inschakelen

  9. Typ 3 in het vak Waardegegevens en klik vervolgens op OK.

  10. Sluit de Register-editor af.

  11. Als u deze wijzigingen op een Windows-computer aanbrengt, moet u de computer opnieuw opstarten voordat de wijzigingen van kracht worden.

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.