Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Wprowadzenie

Microsoft ogłasza dostępność nowej funkcji( Extended Protection for Authentication, EPA) na platformie Windows. Ta funkcja zwiększa ochronę i obsługę poświadczeń podczas uwierzytelniania połączeń sieciowych przy użyciu zintegrowanego uwierzytelniania systemu Windows (IWA).Sama aktualizacja nie zapewnia bezpośredniej ochrony przed konkretnymi atakami, takimi jak przekazywanie poświadczeń, ale pozwala aplikacjom na zgodę na epa. Ta porada zawiera informacje dla deweloperów i administratorów systemu na temat tej nowej funkcji oraz sposobu jej wdrożenia w celu ochrony poświadczeń uwierzytelniania.Aby uzyskać więcej informacji, zobacz Microsoft 973811 porad dotyczących zabezpieczeń.

Więcej informacji

Ta aktualizacja zabezpieczeń modyfikuje interfejs SSPI (Security Support Provider Interface) w celu ulepszenia sposobu działania uwierzytelniania systemu Windows, dzięki czemu poświadczenia nie są łatwo przesyłane dalej po włączeniu funkcji IWA.Po włączeniu protokołu EPA żądania uwierzytelniania są powiązane zarówno z nazwami spn (Service Principal Names) serwera, z którym klient próbuje nawiązać połączenie, jak i z zewnętrznym kanałem TLS (Transport Layer Security), za pośrednictwem którego następuje uwierzytelnianie IWA.

Aktualizacja dodaje nowy wpis rejestru do zarządzania rozszerzoną ochroną:

  • Ustaw wartość registry SuppressExtendedProtection (PomińExtendedProtection ).

    Klucz rejestru

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Wartość

    SuppressExtendedProtection

    Typ

    REG_DWORD

    dane

    0 Umożliwia technologię ochrony.1 Dodatkowa ochrona jest wyłączona.3 Rozszerzona ochrona jest wyłączona, a powiązania kanału wysyłane przez protokół Kerberos również są wyłączone, nawet jeśli aplikacja je dostarcza.

    Wartość domyślna: 0x0

    Uwaga Problem występujący po domyślnym włączeniu protokołu EPA jest opisany w temacie Błąd uwierzytelniania z serwerów NTLM innych niż Windows lub Kerberos w witrynie internetowej Microsoft.

  • Ustaw wartość LmCompatibilityLevel rejestru.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel do 3. Jest to istniejący klucz, który umożliwia uwierzytelnianie NTLMv2. EPA dotyczy tylko protokołów NTLMv2, Kerberos, digest i negocjacji uwierzytelniania i nie ma zastosowania do NTLMv1.

Uwaga Po ustawieniu wartości rejestru SuppressExtendedProtection i LmCompatibilityLevel na komputerze z systemem Windows należy ponownie uruchomić komputer.

Włącz rozszerzoną ochronę

Uwaga Domyślnie opcje Rozszerzona ochrona i NTLMv2 są włączone we wszystkich obsługiwanych wersjach systemu Windows. Za pomocą tego przewodnika możesz sprawdzić, czy tak jest.

Ważne Ta sekcja, metoda lub zadanie zawiera kroki umożliwiające modyfikowanie rejestru. Niepoprawne zmodyfikowanie rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonywać poniższe czynności. Aby uzyskać dodatkową ochronę, utwórz kopię zapasową rejestru przed jego modyfikacją. Następnie możesz przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej rejestru i przywracania go, kliknij następujący numer artykułu, aby wyświetlić ten artykuł w Microsoft bazie wiedzy:

  • KB322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows

Aby samodzielnie włączyć rozszerzoną ochronę po pobraniu i zainstalowaniu aktualizacji zabezpieczeń dla platformy, wykonaj następujące czynności:

  1. Uruchom Edytor rejestru. W tym celu kliknij przycisk Start, kliknij polecenie Uruchom, wpisz regedit w polu Otwórz , a następnie kliknij przycisk OK.

  2. Znajdź i kliknij następujący podklucz rejestru:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Sprawdź, czy wartości rejestru SuppressExtendedProtection i LmCompatibilityLevel są obecne.Jeśli wartości rejestru nie są dostępne, wykonaj następujące czynności, aby je utworzyć:

    1. Po zaznaczeniu podklucza rejestru wymienionego w kroku 2 w menu Edycja wskaż pozycję Nowy, a następnie kliknij pozycję Wartość DWORD.

    2. Wpisz SuppressExtendedProtection, a następnie naciśnij klawisz Enter.

    3. Po zaznaczeniu podklucza rejestru wymienionego w kroku 2 w menu Edycja wskaż pozycję Nowy, a następnie kliknij pozycję Wartość DWORD.

    4. Wpisz LmCompatibilityLevel, a następnie naciśnij klawisz Enter.

  4. Kliknij, aby wybrać wartość rejestru SuppressExtendedProtection .

  5. W menu Edycja kliknij polecenie Modyfikuj.

  6. W polu Dane wartości wpisz wartość 0, a następnie kliknij przycisk OK.

  7. Kliknij, aby wybrać wartość rejestru LmCompatibilityLevel .

  8. W menu Edycja kliknij polecenie Modyfikuj.Uwaga Ten krok zmienia wymagania uwierzytelniania NTLM. Zapoznaj się z następującym artykułem w bazie wiedzy Microsoft Knowledge Base, aby upewnić się, że znasz to zachowanie.

    KB239869 Jak włączyć uwierzytelnianie NTLM 2

  9. W polu Dane wartości wpisz wartość 3, a następnie kliknij przycisk OK.

  10. Zamknij Edytor rejestru.

  11. Jeśli wprowadzisz te zmiany na komputerze z systemem Windows, musisz ponownie uruchomić komputer, zanim zmiany zostaną wprowadzone.

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.