บทนำ
Microsoftจะประกาศความพร้อมใช้งานของฟีเจอร์ใหม่ ซึ่งก็คือการป้องกันเพิ่มเติมสําหรับการรับรองความถูกต้อง (EPA) บนแพลตฟอร์ม Windows คุณลักษณะนี้ปรับปรุงการป้องกันและการจัดการข้อมูลประจําตัวเมื่อรับรองความถูกต้องของการเชื่อมต่อเครือข่ายโดยใช้การรับรองความถูกต้องของ Windows แบบรวม (IWA)ที่ 973811คําแนะนําด้านความปลอดภัยMicrosoft
การอัปเดตเองไม่ได้ให้การป้องกันการโจมตีที่เฉพาะเจาะจงโดยตรง เช่น การส่งต่อข้อมูลประจําตัว แต่อนุญาตให้แอปพลิเคชันเลือกรับ EPA คําแนะนํานี้จะแนะนํานักพัฒนาและผู้ดูแลระบบเกี่ยวกับฟังก์ชันการทํางานใหม่นี้ และวิธีการปรับใช้เพื่อช่วยปกป้องข้อมูลประจําตัวในการรับรองความถูกต้อง ดูข้อมูลเพิ่มเติมได้ข้อมูลเพิ่มเติม
การอัปเดตความปลอดภัยนี้จะปรับเปลี่ยน Security Support Provider Interface (SSPI) เพื่อปรับปรุงวิธีการทํางานของการรับรองความถูกต้องของ Windows เพื่อให้ข้อมูลประจําตัวไม่ได้รับการส่งต่ออย่างง่ายดายเมื่อเปิดใช้งาน IWA
เมื่อเปิดใช้งาน EPA คําขอการรับรองความถูกต้องจะผูกกับทั้งชื่อหลักบริการ (SPN) ของเซิร์ฟเวอร์ที่ไคลเอ็นต์พยายามเชื่อมต่อและไปยังช่องทาง Transport Layer Security (TLS) ภายนอกที่มีการรับรองความถูกต้อง IWA เกิดขึ้นการอัปเดตเพิ่มรายการรีจิสทรีใหม่เพื่อจัดการการป้องกันเพิ่มเติม:
-
ตั้งค่ารีจิสทรี SuppressExtendedProtection
รีจิสทรีคีย์
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
ค่า
SuppressExtendedProtection
ชนิด
Reg_dword
ข้อมูล
0 เปิดใช้งานเทคโนโลยีการป้องกัน
1 การป้องกันเพิ่มเติมถูกปิดใช้งาน 3 การป้องกันเพิ่มเติมถูกปิดใช้งาน และการผูกแชนเนลที่ส่งโดย Kerberos จะถูกปิดใช้งานด้วย แม้ว่าแอปพลิเคชันจะจัดหาให้ค่าเริ่มต้น: 0x0
หมายเหตุ ปัญหาที่เกิดขึ้นเมื่อเปิดใช้งาน EPA ตามค่าเริ่มต้นมีอธิบายไว้ในหัวข้อการรับรองความถูกต้องล้มเหลวจากเซิร์ฟเวอร์ NTLM ที่ไม่ใช่ของ Windows หรือ Kerberos บนเว็บไซต์Microsoft
-
ตั้งค่ารีจิสทรี LmCompatibilityLevel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel ถึง 3 นี่คือคีย์ที่มีอยู่ซึ่งเปิดใช้งานการรับรองความถูกต้อง NTLMv2 EPA ใช้ได้กับโพรโทคอลการรับรองความถูกต้อง NTLMv2, Kerberos, digest และ negotiation เท่านั้น และไม่สามารถใช้กับ NTLMv1 ได้
หมายเหตุ คุณต้องเริ่มการทํางานของคอมพิวเตอร์ใหม่หลังจากที่คุณตั้งค่ารีจิสทรี SuppressExtendedProtection และ ค่ารีจิสทรี LmCompatibilityLevel บนคอมพิวเตอร์ Windows
เปิดใช้งานการป้องกันเพิ่มเติม
หมายเหตุ ตามค่าเริ่มต้น การป้องกันเพิ่มเติมและ NTLMv2 จะเปิดใช้งานใน Windows ทุกรุ่นที่ได้รับการสนับสนุน คุณสามารถใช้คู่มือนี้เพื่อตรวจสอบว่าเป็นกรณีนี้
สำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบถึงวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นตรวจสอบให้แน่ใจว่าคุณทําตามขั้นตอนเหล่านี้อย่างระมัดระวัง สําหรับการป้องกันเพิ่มเติม ให้สํารองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสํารองข้อมูลและคืนค่า Microsoftรีจิสทรี
-
KB322756 วิธีการสํารองข้อมูลและคืนค่ารีจิสทรีใน Windows
เมื่อต้องการเปิดใช้งานการป้องกันเพิ่มเติมด้วยตนเองหลังจากที่คุณดาวน์โหลดและติดตั้งการอัปเดตความปลอดภัยสําหรับแพลตฟอร์มของคุณ ให้ทําตามขั้นตอนเหล่านี้:
-
เริ่ม Registry Editor เมื่อต้องการทําเช่นนี้ ให้คลิก เริ่ม คลิก เรียกใช้ พิมพ์ regedit ในกล่อง เปิด แล้วคลิก ตกลง
-
ค้นหา แล้วคลิกซับคีย์รีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
ตรวจสอบว่ามีค่ารีจิสทรี SuppressExtendedProtection และ LmCompatibilityLevel อยู่หรือไม่
หากค่ารีจิสทรีไม่ปรากฏ ให้ทําตามขั้นตอนเหล่านี้เพื่อสร้างค่ารีจิสทรี:-
เมื่อเลือกซับคีย์รีจิสทรีที่แสดงในขั้นตอนที่ 2 แล้ว บนเมนู แก้ไข ให้ชี้ไปที่ ใหม่ แล้วคลิก ค่า DWORD
-
พิมพ์ SuppressExtendedProtection แล้วกด Enter
-
เมื่อเลือกซับคีย์รีจิสทรีที่แสดงในขั้นตอนที่ 2 แล้ว บนเมนู แก้ไข ให้ชี้ไปที่ ใหม่ แล้วคลิก ค่า DWORD
-
พิมพ์ LmCompatibilityLevel แล้วกด Enter
-
-
คลิกเพื่อเลือกค่ารีจิสทรี SuppressExtendedProtection
-
บนเมนู แก้ไข ให้คลิก ปรับเปลี่ยน
-
ในกล่อง ข้อมูลค่า ให้พิมพ์ 0 แล้วคลิก ตกลง
-
คลิกเพื่อเลือกค่ารีจิสทรี LmCompatibilityLevel
-
บนเมนู แก้ไข ให้คลิก ปรับเปลี่ยน
หมาย เหตุ ขั้นตอนนี้เปลี่ยนข้อกําหนดการรับรองความถูกต้อง NTLM โปรดดูบทความต่อไปนี้ในMicrosoft Knowledge Base เพื่อให้แน่ใจว่าคุณคุ้นเคยกับลักษณะการทํางานนี้KB239869 วิธีเปิดใช้งานการรับรองความถูกต้อง NTLM 2
-
ในกล่อง ข้อมูลค่า ให้พิมพ์ 3 แล้วคลิก ตกลง
-
ออกจาก Registry Editor
-
ถ้าคุณทําการเปลี่ยนแปลงเหล่านี้บนคอมพิวเตอร์ที่ใช้ Windows คุณต้องเริ่มการทํางานของคอมพิวเตอร์ใหม่ก่อนที่การเปลี่ยนแปลงจะมีผล