Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

บทนำ

Microsoftจะประกาศความพร้อมใช้งานของฟีเจอร์ใหม่ ซึ่งก็คือการป้องกันเพิ่มเติมสําหรับการรับรองความถูกต้อง (EPA) บนแพลตฟอร์ม Windows คุณลักษณะนี้ปรับปรุงการป้องกันและการจัดการข้อมูลประจําตัวเมื่อรับรองความถูกต้องของการเชื่อมต่อเครือข่ายโดยใช้การรับรองความถูกต้องของ Windows แบบรวม (IWA)การอัปเดตเองไม่ได้ให้การป้องกันการโจมตีที่เฉพาะเจาะจงโดยตรง เช่น การส่งต่อข้อมูลประจําตัว แต่อนุญาตให้แอปพลิเคชันเลือกรับ EPA คําแนะนํานี้จะแนะนํานักพัฒนาและผู้ดูแลระบบเกี่ยวกับฟังก์ชันการทํางานใหม่นี้ และวิธีการปรับใช้เพื่อช่วยปกป้องข้อมูลประจําตัวในการรับรองความถูกต้องดูข้อมูลเพิ่มเติมได้ที่ 973811คําแนะนําด้านความปลอดภัยMicrosoft

ข้อมูลเพิ่มเติม

การอัปเดตความปลอดภัยนี้จะปรับเปลี่ยน Security Support Provider Interface (SSPI) เพื่อปรับปรุงวิธีการทํางานของการรับรองความถูกต้องของ Windows เพื่อให้ข้อมูลประจําตัวไม่ได้รับการส่งต่ออย่างง่ายดายเมื่อเปิดใช้งาน IWAเมื่อเปิดใช้งาน EPA คําขอการรับรองความถูกต้องจะผูกกับทั้งชื่อหลักบริการ (SPN) ของเซิร์ฟเวอร์ที่ไคลเอ็นต์พยายามเชื่อมต่อและไปยังช่องทาง Transport Layer Security (TLS) ภายนอกที่มีการรับรองความถูกต้อง IWA เกิดขึ้น

การอัปเดตเพิ่มรายการรีจิสทรีใหม่เพื่อจัดการการป้องกันเพิ่มเติม:

  • ตั้งค่ารีจิสทรี SuppressExtendedProtection

    รีจิสทรีคีย์

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    ค่า

    SuppressExtendedProtection

    ชนิด

    Reg_dword

    ข้อมูล

    0 เปิดใช้งานเทคโนโลยีการป้องกัน1 การป้องกันเพิ่มเติมถูกปิดใช้งาน3 การป้องกันเพิ่มเติมถูกปิดใช้งาน และการผูกแชนเนลที่ส่งโดย Kerberos จะถูกปิดใช้งานด้วย แม้ว่าแอปพลิเคชันจะจัดหาให้

    ค่าเริ่มต้น: 0x0

    หมายเหตุ ปัญหาที่เกิดขึ้นเมื่อเปิดใช้งาน EPA ตามค่าเริ่มต้นมีอธิบายไว้ในหัวข้อการรับรองความถูกต้องล้มเหลวจากเซิร์ฟเวอร์ NTLM ที่ไม่ใช่ของ Windows หรือ Kerberos บนเว็บไซต์Microsoft

  • ตั้งค่ารีจิสทรี LmCompatibilityLevelHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel ถึง 3 นี่คือคีย์ที่มีอยู่ซึ่งเปิดใช้งานการรับรองความถูกต้อง NTLMv2 EPA ใช้ได้กับโพรโทคอลการรับรองความถูกต้อง NTLMv2, Kerberos, digest และ negotiation เท่านั้น และไม่สามารถใช้กับ NTLMv1 ได้

หมายเหตุ คุณต้องเริ่มการทํางานของคอมพิวเตอร์ใหม่หลังจากที่คุณตั้งค่ารีจิสทรี SuppressExtendedProtection และ ค่ารีจิสทรี LmCompatibilityLevel บนคอมพิวเตอร์ Windows

เปิดใช้งานการป้องกันเพิ่มเติม

หมายเหตุ ตามค่าเริ่มต้น การป้องกันเพิ่มเติมและ NTLMv2 จะเปิดใช้งานใน Windows ทุกรุ่นที่ได้รับการสนับสนุน คุณสามารถใช้คู่มือนี้เพื่อตรวจสอบว่าเป็นกรณีนี้

สำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบถึงวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นตรวจสอบให้แน่ใจว่าคุณทําตามขั้นตอนเหล่านี้อย่างระมัดระวัง สําหรับการป้องกันเพิ่มเติม ให้สํารองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสํารองข้อมูลและคืนค่า Microsoftรีจิสทรี

  • KB322756 วิธีการสํารองข้อมูลและคืนค่ารีจิสทรีใน Windows

เมื่อต้องการเปิดใช้งานการป้องกันเพิ่มเติมด้วยตนเองหลังจากที่คุณดาวน์โหลดและติดตั้งการอัปเดตความปลอดภัยสําหรับแพลตฟอร์มของคุณ ให้ทําตามขั้นตอนเหล่านี้:

  1. เริ่ม Registry Editor เมื่อต้องการทําเช่นนี้ ให้คลิก เริ่ม คลิก เรียกใช้ พิมพ์ regedit ในกล่อง เปิด แล้วคลิก ตกลง

  2. ค้นหา แล้วคลิกซับคีย์รีจิสทรีต่อไปนี้:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. ตรวจสอบว่ามีค่ารีจิสทรี SuppressExtendedProtection และ LmCompatibilityLevel อยู่หรือไม่หากค่ารีจิสทรีไม่ปรากฏ ให้ทําตามขั้นตอนเหล่านี้เพื่อสร้างค่ารีจิสทรี:

    1. เมื่อเลือกซับคีย์รีจิสทรีที่แสดงในขั้นตอนที่ 2 แล้ว บนเมนู แก้ไข ให้ชี้ไปที่ ใหม่ แล้วคลิก ค่า DWORD

    2. พิมพ์ SuppressExtendedProtection แล้วกด Enter

    3. เมื่อเลือกซับคีย์รีจิสทรีที่แสดงในขั้นตอนที่ 2 แล้ว บนเมนู แก้ไข ให้ชี้ไปที่ ใหม่ แล้วคลิก ค่า DWORD

    4. พิมพ์ LmCompatibilityLevel แล้วกด Enter

  4. คลิกเพื่อเลือกค่ารีจิสทรี SuppressExtendedProtection

  5. บนเมนู แก้ไข ให้คลิก ปรับเปลี่ยน

  6. ในกล่อง ข้อมูลค่า ให้พิมพ์ 0 แล้วคลิก ตกลง

  7. คลิกเพื่อเลือกค่ารีจิสทรี LmCompatibilityLevel

  8. บนเมนู แก้ไข ให้คลิก ปรับเปลี่ยนหมาย เหตุ ขั้นตอนนี้เปลี่ยนข้อกําหนดการรับรองความถูกต้อง NTLM โปรดดูบทความต่อไปนี้ในMicrosoft Knowledge Base เพื่อให้แน่ใจว่าคุณคุ้นเคยกับลักษณะการทํางานนี้

    KB239869 วิธีเปิดใช้งานการรับรองความถูกต้อง NTLM 2

  9. ในกล่อง ข้อมูลค่า ให้พิมพ์ 3 แล้วคลิก ตกลง

  10. ออกจาก Registry Editor

  11. ถ้าคุณทําการเปลี่ยนแปลงเหล่านี้บนคอมพิวเตอร์ที่ใช้ Windows คุณต้องเริ่มการทํางานของคอมพิวเตอร์ใหม่ก่อนที่การเปลี่ยนแปลงจะมีผล

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย