Introdução
A Microsoft está anunciando a disponibilidade de um novo recurso, Proteção Estendida para Autenticação (EPA), na plataforma Windows. Esse recurso aprimora a proteção e o manuseio de credenciais ao autenticar conexões de rede usando a Autenticação Integrada do Windows (IWA). A atualização em si não fornece proteção direta contra ataques específicos, como o encaminhamento de credenciais, mas permite que os aplicativos optem pela EPA. Este comunicado informa os desenvolvedores e administradores de sistema sobre essa nova funcionalidade e como ela pode ser implantada para ajudar a proteger as credenciais de autenticação. Para obter mais informações, consulte Comunicado de Segurança da Microsoft 973811.
Informações adicionais
Essa atualização de segurança modifica a interface SSPI (SSPI) para aprimorar a maneira como a autenticação do Windows funciona, de forma que as credenciais não sejam facilmente encaminhadas quando o IWA estiver habilitado. Quando o EPA está ativado, as solicitações de autenticação são vinculadas aos Nomes de Entidades de Serviço (SPN) do servidor ao qual o cliente tenta se conectar e ao canal externo de Segurança da Camada de Transporte (TLS) sobre o qual ocorre a autenticação IWA.
A atualização adiciona uma nova entrada de registro para gerenciar a Proteção Estendida:
-
Defina o valor do Registro SuppressExtendedProtection.
Chave do Registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Valor
SuppressExtendedProtection
Tipo
REG_DWORD
Dados
0 Habilita a tecnologia de proteção.1 Proteção Estendida desabilitada.3 A Proteção Estendida está desativada e as ligações de canais enviadas pelo Kerberos também estão desativadas, mesmo que o aplicativo as forneça.
Valor padrão: 0x0
Observação Um problema que ocorre quando o EPA está ativado por padrão é descrito no tópico Falha de autenticação de servidores não Windows NTLM ou Kerberos no site da Microsoft.
-
Defina o valor do registro LmCompatibilityLevel.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel para 3. Esta é uma chave existente que permite a Autenticação NTLMv2. O EPA se aplica apenas aos protocolos de autenticação NTLMv2, Kerberos, Digest e Negociation e não se aplica ao NTLMv1.
Observação Você precisa reiniciar o computador depois de definir os valores de registro SuppressExtendedProtection e LmCompatibilityLevel em um computador Windows.
Habilita Proteção Estendida
Observação Por padrão, a Proteção Estendida e o NTLMv2 estão habilitados em todas as versões suportadas do Windows. Você pode usar este guia para verificar se esse é o caso.
Importante Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer o backup e a restauração do Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
-
KB322756 Como fazer backup e restaurar o registro no Windows
Para habilitar você mesmo a Proteção Estendida depois de baixar e instalar a atualização de segurança para sua plataforma, siga estas etapas:
-
Inicie o Editor do Registro. Para fazer isso, clique em Iniciar, clique em Executar, digite regedit na caixa Abrir e clique em OK.
-
Localize e clique na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Verifique se os valores do registro SuppressExtendedProtection e LmCompatibilityLevel estão presentes. Se os valores do registro não estiverem presentes, siga estas etapas para criá-los:
-
Com a subchave de registro listada na etapa 2 selecionada, no menu Editar, aponte para Novo e clique em Valor DWORD.
-
Digite SuppressExtendedProtection e pressione Enter.
-
Com a subchave de registro listada na etapa 2 selecionada, no menu Editar, aponte para Novo e clique em Valor DWORD.
-
Digite LmCompatibilityLevel e pressione Enter.
-
-
Clique para selecionar o valor do Registro SuppressExtendedProtection.
-
No menu Editar, clique em Modificar.
-
Na caixa Dados do valor, digite 0 e clique em OK.
-
Clique para selecionar o valor do Registro LmCompatibilityLevel.
-
No menu Editar, clique em Modificar.Observação Esta etapa altera os requisitos de autenticação NTLM. Leia o artigo a seguir na Base de Dados de Conhecimento da Microsoft para verificar se você está familiarizado com esse comportamento.
KB239869 Como habilitar a autenticação NTLM 2
-
Na caixa Dados de valor, digite 3 e clique em OK.
-
Saia do Editor do Registro.
-
Se você fizer essas alterações em um computador Windows, será necessário reiniciar o computador antes que as alterações entrem em vigor.
