Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Введение

Майкрософт объявляет о доступности новой функции расширенной защиты для проверки подлинности (EPA) на платформе Windows. Эта функция повышает защиту и обработку учетных данных при проверке подлинности сетевых подключений с помощью встроенной проверки подлинности Windows (IWA).Само обновление не обеспечивает непосредственной защиты от конкретных атак, таких как переадресация учетных данных, но позволяет приложениям согласиться на EPA. Эта рекомендация содержит сведения для разработчиков и системных администраторов об этой новой функции и о том, как ее можно развернуть для защиты учетных данных проверки подлинности.Дополнительные сведения см. в 973811 Майкрософт рекомендаций по безопасности.

Дополнительные сведения

Это обновление для системы безопасности изменяет интерфейс поставщика поддержки безопасности (SSPI), чтобы улучшить способ работы проверка подлинности Windows, чтобы при включении IWA не было легко пересылать учетные данные.Если EPA включен, запросы проверки подлинности привязаны как к именам субъектов-служб (SPN) сервера, к которому клиент пытается подключиться, так и к внешнему каналу TLS, по которому выполняется проверка подлинности IWA.

Обновление добавляет новую запись реестра для управления расширенной защитой:

  • Задайте значение SuppressExtendedProtection реестра.

    Раздел реестра

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Значение

    SuppressExtendedProtection

    Тип

    REG_DWORD

    Данные

    0 Включает технологию защиты.1 Расширенная защита отключена.3 Расширенная защита отключена, и привязки каналов, отправленные Kerberos, также отключены, даже если приложение предоставляет их.

    Значение по умолчанию: 0x0

    Примечание Проблема, возникающая при включении EPA по умолчанию, описана в разделе Сбой проверки подлинности с серверов NTLM или Kerberos, отличных от Windows, на веб-сайте Майкрософт.

  • Задайте значение реестра LmCompatibilityLevel .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel к 3. Это существующий ключ, который включает проверку подлинности NTLMv2. EPA применяется только к протоколам проверки подлинности NTLMv2, Kerberos, дайджесту и согласованию и не применяется к NTLMv1.

Примечание Компьютер необходимо перезагрузить после установки значений реестра SuppressExtendedProtection и LmCompatibilityLevel на компьютере с Windows.

Включение расширенной защиты

Примечание По умолчанию расширенная защита и NTLMv2 включены во всех поддерживаемых версиях Windows. Вы можете использовать это руководство, чтобы убедиться, что это так.

Важно! В этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы тщательно выполняете эти действия. Чтобы добавить защиту, создайте резервную копию реестра перед его изменением. Затем можно восстановить реестр в случае возникновения проблемы. Чтобы получить дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

  • KB322756 Резервное копирование и восстановление реестра в Windows

Чтобы включить расширенную защиту самостоятельно после скачивания и установки обновления для системы безопасности для платформы, выполните следующие действия.

  1. Запустите редактор реестра. Для этого нажмите кнопку Пуск, нажмите кнопку Выполнить, введите regedit в поле Открыть и нажмите кнопку ОК.

  2. Найдите и щелкните следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Убедитесь, что в реестре имеются значения SuppressExtendedProtection и LmCompatibilityLevel .Если значения реестра отсутствуют, выполните следующие действия, чтобы создать их:

    1. Выбрав подраздел реестра, указанный на шаге 2, в меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.

    2. Введите SuppressExtendedProtection и нажмите клавишу ВВОД.

    3. Выбрав подраздел реестра, указанный на шаге 2, в меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.

    4. Введите LmCompatibilityLevel и нажмите клавишу ВВОД.

  4. Щелкните, чтобы выбрать значение реестра SuppressExtendedProtection .

  5. В меню Правка выберите команду Изменить.

  6. В поле Значение введите0 и нажмите кнопку ОК.

  7. Щелкните, чтобы выбрать значение реестра LmCompatibilityLevel .

  8. В меню Правка выберите команду Изменить.Примечание Этот шаг изменяет требования к проверке подлинности NTLM. Ознакомьтесь со следующей статьей базы знаний Майкрософт, чтобы убедиться, что вы знакомы с этим поведением.

    KB239869 Включение проверки подлинности NTLM 2

  9. В поле Значение введите3 и нажмите кнопку ОК.

  10. Закройте редактор реестра.

  11. При внесении этих изменений на компьютере с Windows необходимо перезагрузить компьютер, прежде чем изменения вступают в силу.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.