Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Introdução

Microsoft está a anunciar a disponibilidade de uma nova funcionalidade, a Proteção Expandida para Autenticação (EPA), na plataforma Windows. Esta funcionalidade melhora a proteção e o processamento de credenciais ao autenticar ligações de rede através da Autenticação Integrada do Windows (IWA).A atualização em si não fornece diretamente proteção contra ataques específicos, como o reencaminhamento de credenciais, mas permite que as aplicações optem ativamente por participar na EPA. Este aviso informa os programadores e administradores de sistema sobre esta nova funcionalidade e como podem ser implementados para ajudar a proteger as credenciais de autenticação.Para obter mais informações, veja Microsoft 973811 de Aconselhamento de Segurança.

Mais Informações

Esta atualização de segurança modifica a Interface do Fornecedor de Suporte de Segurança (SSPI) para melhorar a forma como a autenticação do Windows funciona para que as credenciais não sejam facilmente reencaminhadas quando o IWA está ativado.Quando a EPA está ativada, os pedidos de autenticação estão vinculados aos Nomes dos Principais de Serviço (SPN) do servidor ao qual o cliente tenta ligar-se e ao canal TLS (Transport Layer Security) externo através do qual ocorre a autenticação do IWA.

A atualização adiciona uma nova entrada de registo para gerir a Proteção Expandida:

  • Defina o valor SuppressExtendedProtection do registo.

    Chave do registo

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Valor

    SuppressExtendedProtection

    Tipo

    REG_DWORD

    Dados

    0 Ativa a tecnologia de proteção.1 A Proteção Expandida está desativada.3 A Proteção Expandida está desativada e os enlaces de canal enviados pelo Kerberos também são desativados, mesmo que a aplicação os forneça.

    Valor predefinido: 0x0

    Nota Um problema que ocorre quando a EPA está ativada por predefinição está descrito no tópico Falha de autenticação de servidores Não Windows NTLM ou Kerberos no site do Microsoft.

  • Defina o valor LmCompatibilityLevel do registo.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel a 3. Esta é uma chave existente que ativa a Autenticação NTLMv2. A EPA aplica-se apenas aos protocolos de autenticação NTLMv2, Kerberos, digest e negociação e não se aplica ao NTLMv1.

Nota Tem de reiniciar o computador depois de definir os valores de registo SuppressExtendedProtection e LmCompatibilityLevel num computador Windows.

Ativar a Proteção Expandida

Nota Por predefinição, a Proteção Expandida e o NTLMv2 estão ambos ativados em todas as versões suportadas do Windows. Pode utilizar este guia para verificar se é este o caso.

Importante Esta secção, método ou tarefa contém passos que lhe indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorretamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para proteção adicional, faça uma cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

  • KB322756 Como fazer uma cópia de segurança e restaurar o registo no Windows

Para ativar a Proteção Expandida depois de transferir e instalar a atualização de segurança para a sua plataforma, siga estes passos:

  1. Inicie o Editor de Registo. Para tal, clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e, em seguida, clique em OK.

  2. Localize e, em seguida, clique na seguinte subchave de registo:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Verifique se os valores de registo SuppressExtendedProtection e LmCompatibilityLevel estão presentes.Se os valores do registo não estiverem presentes, siga estes passos para os criar:

    1. Com a subchave de registo listada no passo 2 selecionada, no menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD.

    2. Escreva SuppressExtendedProtection e, em seguida, prima Enter.

    3. Com a subchave de registo listada no passo 2 selecionada, no menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD.

    4. Escreva LmCompatibilityLevel e, em seguida, prima Enter.

  4. Clique para selecionar o valor do registo SuppressExtendedProtection .

  5. No menu Editar , clique em Modificar.

  6. Na caixa Dados do valor , escreva 0 e, em seguida, clique em OK.

  7. Clique para selecionar o valor de registo LmCompatibilityLevel .

  8. No menu Editar , clique em Modificar.Nota Este passo altera os requisitos de autenticação NTLM. Reveja o seguinte artigo na Base de Dados de Conhecimento Microsoft para se certificar de que está familiarizado com este comportamento.

    KB239869 Como ativar a autenticação NTLM 2

  9. Na caixa Dados do valor , escreva 3 e, em seguida, clique em OK.

  10. Saia do Editor de Registo.

  11. Se efetuar estas alterações num computador Windows, tem de reiniciar o computador antes de as alterações entrarem em vigor.

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.