Giriş
Microsoft, Windows platformunda Kimlik Doğrulaması için Genişletilmiş Koruma (EPA) adlı yeni bir özelliğin kullanılabilirliğini duyuruyor. Bu özellik, Tümleşik Windows Kimlik Doğrulaması (IWA) kullanarak ağ bağlantılarının kimliğini doğrularken kimlik bilgilerinin korunmasını ve işlenmesini geliştirir.güvenlik önerisi 973811 Microsoft.
Güncelleştirme, kimlik bilgisi iletme gibi belirli saldırılara karşı doğrudan koruma sağlamaz, ancak uygulamaların EPA'ya katılmasını sağlar. Bu öneri, geliştiricilere ve sistem yöneticilerine bu yeni işlevsellik ve kimlik doğrulaması kimlik bilgilerinin korunmasına yardımcı olmak için nasıl dağıtılacağı konusunda bilgi sağlar. Daha fazla bilgi için bkz.Daha Fazla Bilgi
Bu güvenlik güncelleştirmesi, IWA etkinleştirildiğinde kimlik bilgilerinin kolayca iletilmemesi için Windows kimlik doğrulamasının çalışma biçimini geliştirmek için Güvenlik Destek Sağlayıcısı Arabirimi'ni (SSPI) değiştirir.
EPA etkinleştirildiğinde, kimlik doğrulama istekleri istemcinin bağlanmaya çalıştığı sunucunun hizmet asıl adlarına (SPN) ve IWA kimlik doğrulamasının gerçekleştiği dış Aktarım Katmanı Güvenliği (TLS) kanalına bağlanır.Güncelleştirme, Genişletilmiş Korumayı yönetmek için yeni bir kayıt defteri girdisi ekler:
-
Kayıt defteri SuppressExtendedProtection değerini ayarlayın.
Kayıt defteri anahtarı
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Değer
Suppressextendedprotection
Tür
REG_DWORD
Veri
0 Koruma teknolojisini etkinleştirir.
1 Genişletilmiş Koruma devre dışı bırakıldı. 3 Genişletilmiş Koruma devre dışı bırakılır ve uygulama tarafından gönderiliyor olsa bile Kerberos tarafından gönderilen kanal bağlamaları da devre dışı bırakılır.Varsayılan değer: 0x0
Not EPA varsayılan olarak etkinleştirildiğinde oluşan bir sorun, Microsoft web sitesindeki Windows NTLM veya Kerberos dışı sunuculardan kimlik doğrulaması hatası konusunda açıklanmıştır.
-
Kayıt defteri LmCompatibilityLevel değerini ayarlayın.
3'eHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel. Bu, NTLMv2 Kimlik Doğrulamasını etkinleştiren mevcut bir anahtardır. EPA yalnızca NTLMv2, Kerberos, özet ve anlaşma kimlik doğrulama protokolleri için geçerlidir ve NTLMv1 için geçerli değildir.
Not Bir Windows bilgisayarda SuppressExtendedProtection ve LmCompatibilityLevel kayıt defteri değerlerini ayarladıktan sonra bilgisayarı yeniden başlatmanız gerekir.
Genişletilmiş Koruma'yı etkinleştirme
Not Varsayılan olarak, Genişletilmiş Koruma ve NTLMv2 windows'un desteklenen tüm sürümlerinde etkindir. Bu kılavuzu kullanarak durumun böyle olduğunu doğrulayabilirsiniz.
Önemli Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştirebileceğinizi belirten adımlar içerir. Ancak kayıt defterini yanlış değiştirirseniz ciddi sorunlar oluşabilir. Bu nedenle, bu adımları dikkatle izlediğinize emin olun. Daha fazla koruma için, değiştirmeden önce kayıt defterini yedekleyin. Ardından, bir sorun oluşursa kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
-
KB322756 Windows'da kayıt defterini yedekleme ve geri yükleme
Platformunuzun güvenlik güncelleştirmesini indirip yükledikten sonra Genişletilmiş Koruma'yı kendiniz etkinleştirmek için şu adımları izleyin:
-
Kayıt Defteri Düzenleyicisi'ni başlatın. Bunu yapmak için Başlat'a tıklayın, Çalıştır'a tıklayın, Aç kutusuna regedit yazın ve tamam'a tıklayın.
-
Aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
SuppressExtendedProtection ve LmCompatibilityLevel kayıt defteri değerlerinin mevcut olduğunu doğrulayın.
Kayıt defteri değerleri yoksa, bunları oluşturmak için şu adımları izleyin:-
2. adımda listelenen kayıt defteri alt anahtarı seçili durumdayken, Düzen menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ne tıklayın.
-
SuppressExtendedProtection yazın ve Enter tuşuna basın.
-
2. adımda listelenen kayıt defteri alt anahtarı seçili durumdayken, Düzen menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ne tıklayın.
-
LmCompatibilityLevel yazıp Enter tuşuna basın.
-
-
SuppressExtendedProtection kayıt defteri değerini seçmek için tıklayın.
-
Düzenle menüsünde Değiştir'e tıklayın.
-
Değer verileri kutusuna 0 yazın ve Tamam'a tıklayın.
-
LmCompatibilityLevel kayıt defteri değerini seçmek için tıklayın.
-
Düzenle menüsünde Değiştir'e tıklayın.
Not Bu adım, NTLM kimlik doğrulaması gereksinimlerini değiştirir. Bu davranış hakkında bilgi sahibi olduğunuzdan emin olmak için lütfen Microsoft Bilgi Bankası'ndaki aşağıdaki makaleyi gözden geçirin.KB239869 NTLM 2 kimlik doğrulamasını etkinleştirme
-
Değer verileri kutusuna 3 yazın ve Tamam'a tıklayın.
-
Kayıt Defteri Düzenleyicisi'nde çıkın.
-
Bu değişiklikleri bir Windows bilgisayarında yaparsanız, değişiklikler etkili olmadan önce bilgisayarı yeniden başlatmanız gerekir.