Inledning
Microsoft presenterar tillgängligheten för en ny funktion, Extended Protection for Authentication (EPA), på Windows-plattformen. Den här funktionen förbättrar skyddet och hanteringen av autentiseringsuppgifter när nätverksanslutningar autentiseras med hjälp av IWA (Integrated Windows Authentication).i Microsoft säkerhetsmeddelande 973811.
Själva uppdateringen ger inte direkt skydd mot specifika attacker som vidarebefordran av autentiseringsuppgifter, men gör det möjligt för appar att registrera sig för EPA. Den här rådgivningen informerar utvecklare och systemadministratörer om den här nya funktionen och hur den kan distribueras för att skydda autentiseringsuppgifter. Mer information finnsMer information
Den här säkerhetsuppdateringen ändrar SSPI (Security Support Provider Interface) för att förbättra hur Windows-autentisering fungerar så att autentiseringsuppgifterna inte enkelt vidarebefordras när IWA är aktiverat.
När EPA är aktiverat är autentiseringsbegäranden bundna till både SPN (Service Principal Names) för servern som klienten försöker ansluta till och till den yttre TLS-kanalen (Transport Layer Security) som IWA-autentiseringen sker under.Uppdateringen lägger till en ny registerpost för hantering av Utökat skydd:
-
Ange registervärdet SuppressExtendedProtection .
Registernyckel
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Värde
SuppressExtendedProtection
Typ
REG_DWORD
Data
0 Aktiverar skyddsteknik.
1 Utökat skydd är inaktiverat. 3 Utökat skydd inaktiveras och kanalbindningar som skickas av Kerberos inaktiveras också, även om programmet tillhandahåller dem.Standardvärde: 0x0
Obs! Ett problem som uppstår när EPA är aktiverat som standard beskrivs i avsnittet Autentiseringsfel från icke-Windows NTLM- eller Kerberos-servrar på Microsoft webbplats.
-
Ange värdet LmCompatibilityLevel i registret.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel till 3. Det här är en befintlig nyckel som aktiverar NTLMv2-autentisering. EPA gäller endast NTLMv2-, Kerberos-, sammanfattnings- och förhandlingsautentiseringsprotokoll och gäller inte för NTLMv1.
Obs! Du måste starta om datorn när du har angett registervärdena SuppressExtendedProtection och LmCompatibilityLevel på en Windows-dator.
Aktivera utökat skydd
Obs! Som standard är både Extended Protection och NTLMv2 aktiverade i alla versioner av Windows som stöds. Du kan använda den här guiden för att kontrollera att så är fallet.
Viktigt! Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret på fel sätt. Se därför till att du följer de här stegen noggrant. Om du vill ha ytterligare skydd bör du säkerhetskopiera registret innan du ändrar det. Sedan kan du återställa registret om ett problem uppstår. Om du vill ha mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:
-
KB322756 Säkerhetskopiera och återställa registret i Windows
Följ de här stegen om du vill aktivera Extended Protection själv när du har laddat ned och installerat säkerhetsuppdateringen för din plattform:
-
Starta Registereditorn. Det gör du genom att klicka på Start, klicka på Kör, skriva regedit i rutan Öppna och sedan klicka på OK.
-
Leta reda på och klicka sedan på följande registerundernyckel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Kontrollera att registervärdena SuppressExtendedProtection och LmCompatibilityLevel finns.
Om registervärdena inte finns gör du så här för att skapa dem:-
När registerundernyckeln som visas i steg 2 är markerad går du till redigera-menyn , pekar på Nytt och klickar sedan på DWORD-värde.
-
Skriv SuppressExtendedProtection och tryck sedan på Retur.
-
När registerundernyckeln som visas i steg 2 är markerad går du till redigera-menyn , pekar på Nytt och klickar sedan på DWORD-värde.
-
Skriv LmCompatibilityLevel och tryck sedan på Retur.
-
-
Klicka för att välja registervärdet SuppressExtendedProtection .
-
Klicka på Ändra på Redigera-menyn.
-
Skriv 0 i rutan Värdedata och klicka sedan på OK.
-
Klicka för att välja registervärdet LmCompatibilityLevel .
-
Klicka på Ändra på Redigera-menyn.
Observera I det här steget ändras NTLM-autentiseringskrav. Läs följande artikel i Microsoft Knowledge Base för att se till att du är bekant med det här beteendet.KB239869 Så här aktiverar du NTLM 2-autentisering
-
Skriv 3 i rutan Värdedata och klicka sedan på OK.
-
Avsluta Registereditorn.
-
Om du gör de här ändringarna på en Windows-dator måste du starta om datorn innan ändringarna börjar gälla.