Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Introdução

A Microsoft está anunciando a disponibilidade de um novo recurso, Proteção Estendida para Autenticação (EPA), na plataforma Windows. Esse recurso aprimora a proteção e o manuseio de credenciais ao autenticar conexões de rede usando a Autenticação Integrada do Windows (IWA). A atualização em si não fornece proteção direta contra ataques específicos, como o encaminhamento de credenciais, mas permite que os aplicativos optem pela EPA. Este comunicado informa os desenvolvedores e administradores de sistema sobre essa nova funcionalidade e como ela pode ser implantada para ajudar a proteger as credenciais de autenticação. Para obter mais informações, consulte Comunicado de Segurança da Microsoft 973811.

Informações adicionais

Essa atualização de segurança modifica a interface SSPI (SSPI) para aprimorar a maneira como a autenticação do Windows funciona, de forma que as credenciais não sejam facilmente encaminhadas quando o IWA estiver habilitado. Quando o EPA está ativado, as solicitações de autenticação são vinculadas aos Nomes de Entidades de Serviço (SPN) do servidor ao qual o cliente tenta se conectar e ao canal externo de Segurança da Camada de Transporte (TLS) sobre o qual ocorre a autenticação IWA.

A atualização adiciona uma nova entrada de registro para gerenciar a Proteção Estendida:

  • Defina o valor do Registro SuppressExtendedProtection.

    Chave do Registro

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Valor

    SuppressExtendedProtection

    Tipo

    REG_DWORD

    Dados

    0 Habilita a tecnologia de proteção.1 Proteção Estendida desabilitada.3 A Proteção Estendida está desativada e as ligações de canais enviadas pelo Kerberos também estão desativadas, mesmo que o aplicativo as forneça.

    Valor padrão: 0x0

    Observação Um problema que ocorre quando o EPA está ativado por padrão é descrito no tópico Falha de autenticação de servidores não Windows NTLM ou Kerberos no site da Microsoft.

  • Defina o valor do registro LmCompatibilityLevel.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel para 3. Esta é uma chave existente que permite a Autenticação NTLMv2. O EPA se aplica apenas aos protocolos de autenticação NTLMv2, Kerberos, Digest e Negociation e não se aplica ao NTLMv1.

Observação Você precisa reiniciar o computador depois de definir os valores de registro SuppressExtendedProtection e LmCompatibilityLevel em um computador Windows.

Habilita Proteção Estendida

Observação Por padrão, a Proteção Estendida e o NTLMv2 estão habilitados em todas as versões suportadas do Windows. Você pode usar este guia para verificar se esse é o caso.

Importante Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer o backup e a restauração do Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

  • KB322756 Como fazer backup e restaurar o registro no Windows

Para habilitar você mesmo a Proteção Estendida depois de baixar e instalar a atualização de segurança para sua plataforma, siga estas etapas:

  1. Inicie o Editor do Registro. Para fazer isso, clique em Iniciar, clique em Executar, digite regedit na caixa Abrir e clique em OK.

  2. Localize e clique na seguinte subchave do Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Verifique se os valores do registro SuppressExtendedProtection e LmCompatibilityLevel estão presentes. Se os valores do registro não estiverem presentes, siga estas etapas para criá-los:

    1. Com a subchave de registro listada na etapa 2 selecionada, no menu Editar, aponte para Novo e clique em Valor DWORD.

    2. Digite SuppressExtendedProtection e pressione Enter.

    3. Com a subchave de registro listada na etapa 2 selecionada, no menu Editar, aponte para Novo e clique em Valor DWORD.

    4. Digite LmCompatibilityLevel e pressione Enter.

  4. Clique para selecionar o valor do Registro SuppressExtendedProtection.

  5. No menu Editar, clique em Modificar.

  6. Na caixa Dados do valor, digite 0 e clique em OK.

  7. Clique para selecionar o valor do Registro LmCompatibilityLevel.

  8. No menu Editar, clique em Modificar.Observação Esta etapa altera os requisitos de autenticação NTLM. Leia o artigo a seguir na Base de Dados de Conhecimento da Microsoft para verificar se você está familiarizado com esse comportamento.

    KB239869 Como habilitar a autenticação NTLM 2

  9. Na caixa Dados de valor, digite 3 e clique em OK.

  10. Saia do Editor do Registro.

  11. Se você fizer essas alterações em um computador Windows, será necessário reiniciar o computador antes que as alterações entrem em vigor.

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.