Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Uvod

Microsoft o razpoložljivosti nove funkcije, razširjene zaščite za preverjanje pristnosti (EPA) na platformi Windows. Ta funkcija izboljša zaščito in obravnavanje poverilnic pri preverjanju pristnosti omrežnih povezav z integriranim preverjanjem pristnosti sistema Windows (IWA).Sama posodobitev ne zagotavlja neposredne zaščite pred določenimi napadi, kot je posredovanje poverilnic, omogoča pa, da aplikacije privolijo v sodelovanje v SGP. V tem nasvetu so razvijalci in skrbniki sistema na kratko razjasnjeni o tej novi funkciji in o tem, kako ga lahko uvedejo, da zaščitijo poverilnice za preverjanje pristnosti.Če želite več informacij, glejte Microsoft Security Advisory 973811.

Več informacij

Ta varnostna posodobitev spremeni vmesnik SSPI (Security Support Provider Interface) za izboljšanje načina delovanja preverjanja pristnosti sistema Windows, tako da poverilnic ni mogoče preprosto posredovati, ko je IWA omogočen.Ko je epa omogočena, so zahteve za preverjanje pristnosti vezane tako na glavna imena storitve (SPN) strežnika, s katerim odjemalec poskuša vzpostaviti povezavo, in z zunanjim kanalom TLS (Transport Layer Security), prek katerega pride do preverjanja pristnosti aplikacije IWA.

Posodobitev doda nov vnos v register za upravljanje razširjene zaščite:

  • Nastavite vrednost registra SuppressExtendedProtection .

    Registrski ključ

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Vrednost

    SuppressExtendedProtection

    Vrsta

    REG_DWORD

    Podatki

    0 Omogoča zaščito tehnologije.1 Razširjena zaščita je onemogočena.3 Razširjena zaščita je onemogočena, prav tako pa so onemogočene vezave kanalov, ki jih pošlje Kerberos, tudi če jih aplikacija pošlje.

    Privzeta vrednost: 0x0

    Opomba Težava, do katere pride, ko je EPA privzeto omogočena, je opisana v temi Napaka preverjanja pristnosti iz strežnikov NTLM ali Kerberos, ki niso Windows, na spletnem Microsoft preverjanja pristnosti.

  • Nastavite vrednost registra LmCompatibilityLevel .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel do 3. To je obstoječi ključ, ki omogoča preverjanje pristnosti NTLMv2. Epa velja le za protokole NTLMv2, Kerberos, digest in pogajalske protokole za preverjanje pristnosti in ne velja za NTLMv1.

Opomba Ko nastavite vrednosti registra SuppressExtendedProtection in LmCompatibilityLevel v računalniku s sistemom Windows, morate znova zagnati računalnik.

Omogoči razširjeno zaščito

Opomba Razširjena zaščita in NTLMv2 sta privzeto omogočeni v vseh podprtih različicah sistema Windows. V tem vodniku lahko preverite, ali je temu tako.

Pomembno V tem razdelku, načinu ali opravilu so navodila za spreminjanje registra. Če register spremenite nepravilno, lahko pride do resnih težav. Zato pozorno upoštevajte ta navodila. Za dodatno zaščito pred spreminjanjem registra varnostno kopirajte register. Če pride do težave, lahko register obnovite. Če želite več informacij o tem, kako varnostno kopirate in obnovite register, kliknite to številko članka, da si ogledate članek v Microsoft zbirke znanja:

  • KB322756 Varnostno kopiranje in obnavljanje registra v sistemu Windows

Če želite razširjeno zaščito omogočiti sami po prenosu in namestitvi varnostne posodobitve za vašo platformo, sledite tem korakom:

  1. Zaženite urejevalnik registra. To naredite tako, da kliknete Začetek, nato Zaženi, v polje Odpri vnesete regedit in kliknete V redu.

  2. Poiščite in kliknite ta registrski podključ:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Preverite, ali so vrednosti registra SuppressExtendedProtection in LmCompatibilityLevel prisotne.Če vrednosti registra niso prisotne, jih ustvarite po teh korakih:

    1. Ko izberete registrski podključ, ki je naveden v 2. koraku, v meniju Urejanje pokažite na Novo in kliknite Vrednost DWORD.

    2. Vnesite SuppressExtendedProtection in pritisnite Enter.

    3. Ko izberete registrski podključ, ki je naveden v 2. koraku, v meniju Urejanje pokažite na Novo in kliknite Vrednost DWORD.

    4. Vnesite LmCompatibilityLevel in pritisnite Enter.

  4. Kliknite, da izberete vrednost registra SuppressExtendedProtection .

  5. V meniju Urejanje kliknite Spremeni.

  6. V polje Podatki o vrednosti vnesite 0 in kliknite V redu.

  7. Kliknite, da izberete vrednost registra LmCompatibilityLevel .

  8. V meniju Urejanje kliknite Spremeni.Opomba Ta korak spremeni zahteve preverjanja pristnosti NTLM. Preglejte naslednji članek v Microsoft znanja, da se prepričate, ali ste seznanjeni s tem vedenjem.

    KB239869 Omogočanje preverjanja pristnosti NTLM 2

  9. V polje Podatki o vrednosti vnesite 3 in kliknite V redu.

  10. Zaprite urejevalnik registra.

  11. Če te spremembe naredite v računalniku s sistemom Windows, morate znova zagnati računalnik, preden spremembe uveljavijo.

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.