Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Inledning

Microsoft presenterar tillgängligheten för en ny funktion, Extended Protection for Authentication (EPA), på Windows-plattformen. Den här funktionen förbättrar skyddet och hanteringen av autentiseringsuppgifter när nätverksanslutningar autentiseras med hjälp av IWA (Integrated Windows Authentication).Själva uppdateringen ger inte direkt skydd mot specifika attacker som vidarebefordran av autentiseringsuppgifter, men gör det möjligt för appar att registrera sig för EPA. Den här rådgivningen informerar utvecklare och systemadministratörer om den här nya funktionen och hur den kan distribueras för att skydda autentiseringsuppgifter.Mer information finns i Microsoft säkerhetsmeddelande 973811.

Mer information

Den här säkerhetsuppdateringen ändrar SSPI (Security Support Provider Interface) för att förbättra hur Windows-autentisering fungerar så att autentiseringsuppgifterna inte enkelt vidarebefordras när IWA är aktiverat.När EPA är aktiverat är autentiseringsbegäranden bundna till både SPN (Service Principal Names) för servern som klienten försöker ansluta till och till den yttre TLS-kanalen (Transport Layer Security) som IWA-autentiseringen sker under.

Uppdateringen lägger till en ny registerpost för hantering av Utökat skydd:

  • Ange registervärdet SuppressExtendedProtection .

    Registernyckel

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Värde

    SuppressExtendedProtection

    Typ

    REG_DWORD

    Data

    0 Aktiverar skyddsteknik.1 Utökat skydd är inaktiverat.3 Utökat skydd inaktiveras och kanalbindningar som skickas av Kerberos inaktiveras också, även om programmet tillhandahåller dem.

    Standardvärde: 0x0

    Obs! Ett problem som uppstår när EPA är aktiverat som standard beskrivs i avsnittet Autentiseringsfel från icke-Windows NTLM- eller Kerberos-servrar på Microsoft webbplats.

  • Ange värdet LmCompatibilityLevel i registret.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel till 3. Det här är en befintlig nyckel som aktiverar NTLMv2-autentisering. EPA gäller endast NTLMv2-, Kerberos-, sammanfattnings- och förhandlingsautentiseringsprotokoll och gäller inte för NTLMv1.

Obs! Du måste starta om datorn när du har angett registervärdena SuppressExtendedProtection och LmCompatibilityLevel på en Windows-dator.

Aktivera utökat skydd

Obs! Som standard är både Extended Protection och NTLMv2 aktiverade i alla versioner av Windows som stöds. Du kan använda den här guiden för att kontrollera att så är fallet.

Viktigt! Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret på fel sätt. Se därför till att du följer de här stegen noggrant. Om du vill ha ytterligare skydd bör du säkerhetskopiera registret innan du ändrar det. Sedan kan du återställa registret om ett problem uppstår. Om du vill ha mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

  • KB322756 Säkerhetskopiera och återställa registret i Windows

Följ de här stegen om du vill aktivera Extended Protection själv när du har laddat ned och installerat säkerhetsuppdateringen för din plattform:

  1. Starta Registereditorn. Det gör du genom att klicka på Start, klicka på Kör, skriva regedit i rutan Öppna och sedan klicka på OK.

  2. Leta reda på och klicka sedan på följande registerundernyckel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Kontrollera att registervärdena SuppressExtendedProtection och LmCompatibilityLevel finns.Om registervärdena inte finns gör du så här för att skapa dem:

    1. När registerundernyckeln som visas i steg 2 är markerad går du till redigera-menyn , pekar på Nytt och klickar sedan på DWORD-värde.

    2. Skriv SuppressExtendedProtection och tryck sedan på Retur.

    3. När registerundernyckeln som visas i steg 2 är markerad går du till redigera-menyn , pekar på Nytt och klickar sedan på DWORD-värde.

    4. Skriv LmCompatibilityLevel och tryck sedan på Retur.

  4. Klicka för att välja registervärdet SuppressExtendedProtection .

  5. Klicka på ÄndraRedigera-menyn.

  6. Skriv 0 i rutan Värdedata och klicka sedan på OK.

  7. Klicka för att välja registervärdet LmCompatibilityLevel .

  8. Klicka på ÄndraRedigera-menyn.Observera I det här steget ändras NTLM-autentiseringskrav. Läs följande artikel i Microsoft Knowledge Base för att se till att du är bekant med det här beteendet.

    KB239869 Så här aktiverar du NTLM 2-autentisering

  9. Skriv 3 i rutan Värdedata och klicka sedan på OK.

  10. Avsluta Registereditorn.

  11. Om du gör de här ändringarna på en Windows-dator måste du starta om datorn innan ändringarna börjar gälla.

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.