Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Giriş

Microsoft, Windows platformunda Kimlik Doğrulaması için Genişletilmiş Koruma (EPA) adlı yeni bir özelliğin kullanılabilirliğini duyuruyor. Bu özellik, Tümleşik Windows Kimlik Doğrulaması (IWA) kullanarak ağ bağlantılarının kimliğini doğrularken kimlik bilgilerinin korunmasını ve işlenmesini geliştirir.Güncelleştirme, kimlik bilgisi iletme gibi belirli saldırılara karşı doğrudan koruma sağlamaz, ancak uygulamaların EPA'ya katılmasını sağlar. Bu öneri, geliştiricilere ve sistem yöneticilerine bu yeni işlevsellik ve kimlik doğrulaması kimlik bilgilerinin korunmasına yardımcı olmak için nasıl dağıtılacağı konusunda bilgi sağlar.Daha fazla bilgi için bkz. güvenlik önerisi 973811 Microsoft.

Daha Fazla Bilgi

Bu güvenlik güncelleştirmesi, IWA etkinleştirildiğinde kimlik bilgilerinin kolayca iletilmemesi için Windows kimlik doğrulamasının çalışma biçimini geliştirmek için Güvenlik Destek Sağlayıcısı Arabirimi'ni (SSPI) değiştirir.EPA etkinleştirildiğinde, kimlik doğrulama istekleri istemcinin bağlanmaya çalıştığı sunucunun hizmet asıl adlarına (SPN) ve IWA kimlik doğrulamasının gerçekleştiği dış Aktarım Katmanı Güvenliği (TLS) kanalına bağlanır.

Güncelleştirme, Genişletilmiş Korumayı yönetmek için yeni bir kayıt defteri girdisi ekler:

  • Kayıt defteri SuppressExtendedProtection değerini ayarlayın.

    Kayıt defteri anahtarı

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Değer

    Suppressextendedprotection

    Tür

    REG_DWORD

    Veri

    0 Koruma teknolojisini etkinleştirir.1 Genişletilmiş Koruma devre dışı bırakıldı.3 Genişletilmiş Koruma devre dışı bırakılır ve uygulama tarafından gönderiliyor olsa bile Kerberos tarafından gönderilen kanal bağlamaları da devre dışı bırakılır.

    Varsayılan değer: 0x0

    Not EPA varsayılan olarak etkinleştirildiğinde oluşan bir sorun, Microsoft web sitesindeki Windows NTLM veya Kerberos dışı sunuculardan kimlik doğrulaması hatası konusunda açıklanmıştır.

  • Kayıt defteri LmCompatibilityLevel değerini ayarlayın.3'eHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel. Bu, NTLMv2 Kimlik Doğrulamasını etkinleştiren mevcut bir anahtardır. EPA yalnızca NTLMv2, Kerberos, özet ve anlaşma kimlik doğrulama protokolleri için geçerlidir ve NTLMv1 için geçerli değildir.

Not Bir Windows bilgisayarda SuppressExtendedProtection ve LmCompatibilityLevel kayıt defteri değerlerini ayarladıktan sonra bilgisayarı yeniden başlatmanız gerekir.

Genişletilmiş Koruma'yı etkinleştirme

Not Varsayılan olarak, Genişletilmiş Koruma ve NTLMv2 windows'un desteklenen tüm sürümlerinde etkindir. Bu kılavuzu kullanarak durumun böyle olduğunu doğrulayabilirsiniz.

Önemli Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştirebileceğinizi belirten adımlar içerir. Ancak kayıt defterini yanlış değiştirirseniz ciddi sorunlar oluşabilir. Bu nedenle, bu adımları dikkatle izlediğinize emin olun. Daha fazla koruma için, değiştirmeden önce kayıt defterini yedekleyin. Ardından, bir sorun oluşursa kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

  • KB322756 Windows'da kayıt defterini yedekleme ve geri yükleme

Platformunuzun güvenlik güncelleştirmesini indirip yükledikten sonra Genişletilmiş Koruma'yı kendiniz etkinleştirmek için şu adımları izleyin:

  1. Kayıt Defteri Düzenleyicisi'ni başlatın. Bunu yapmak için Başlat'a tıklayın, Çalıştır'a tıklayın, kutusuna regedit yazın ve tamam'a tıklayın.

  2. Aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. SuppressExtendedProtection ve LmCompatibilityLevel kayıt defteri değerlerinin mevcut olduğunu doğrulayın.Kayıt defteri değerleri yoksa, bunları oluşturmak için şu adımları izleyin:

    1. 2. adımda listelenen kayıt defteri alt anahtarı seçili durumdayken, Düzen menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ne tıklayın.

    2. SuppressExtendedProtection yazın ve Enter tuşuna basın.

    3. 2. adımda listelenen kayıt defteri alt anahtarı seçili durumdayken, Düzen menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ne tıklayın.

    4. LmCompatibilityLevel yazıp Enter tuşuna basın.

  4. SuppressExtendedProtection kayıt defteri değerini seçmek için tıklayın.

  5. Düzenle menüsünde Değiştir'e tıklayın.

  6. Değer verileri kutusuna 0 yazın ve Tamam'a tıklayın.

  7. LmCompatibilityLevel kayıt defteri değerini seçmek için tıklayın.

  8. Düzenle menüsünde Değiştir'e tıklayın.Not Bu adım, NTLM kimlik doğrulaması gereksinimlerini değiştirir. Bu davranış hakkında bilgi sahibi olduğunuzdan emin olmak için lütfen Microsoft Bilgi Bankası'ndaki aşağıdaki makaleyi gözden geçirin.

    KB239869 NTLM 2 kimlik doğrulamasını etkinleştirme

  9. Değer verileri kutusuna 3 yazın ve Tamam'a tıklayın.

  10. Kayıt Defteri Düzenleyicisi'nde çıkın.

  11. Bu değişiklikleri bir Windows bilgisayarında yaparsanız, değişiklikler etkili olmadan önce bilgisayarı yeniden başlatmanız gerekir.

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.