Вступ
корпорація Майкрософт оголошує про доступність нової функції Розширений захист для автентифікації (EPA) на платформі Windows. Ця функція підвищує захист і обробку облікових даних під час автентифікації мережевих підключень за допомогою інтегрованої автентифікації Windows (IWA).в статті корпорація Майкрософт 973811 з питань безпеки.
Саме оновлення безпосередньо не забезпечує захист від конкретних атак, таких як пересилання облікових даних, але дозволяє програмам приєднатися до EPA. У цьому навчальному посібнику наведено короткий опис для розробників і системних адміністраторів щодо цієї нової функції та її розгортання для захисту облікових даних автентифікації. Докладні відомості див.Додаткові відомості
Це оновлення системи безпеки змінює інтерфейс постачальника підтримки безпеки (SSPI), щоб покращити спосіб роботи автентифікації Windows, щоб облікові дані не пересилалися, коли активовано IWA.
Якщо активовано EPA, запити автентифікації прив'язані як до імен учасників служби (SPN) сервера, до якого клієнт намагається підключитися, так і до зовнішнього каналу TLS, над яким відбувається автентифікація IWA.Оновлення додає новий запис реєстру для керування розширеним захистом:
-
Установіть значення Registry SuppressExtendedProtection .
Реєстру
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Значення
Заборонити застарілувлапроекції
Тип
REG_DWORD
Дані
0 Вмикає технологію захисту.
1 Розширений захист вимкнуто. 3 Розширений захист вимкнуто, а прив'язування каналу, надіслане Kerberos, також вимкнуто, навіть якщо програма їх постачає.Значення за промовчанням: 0x0
Нотатка Проблема, яка виникає, коли EPA увімкнуто за замовчуванням описано в помилки автентифікації з не Windows NTLM або Kerberos серверів теми на веб-сайті корпорація Майкрософт.
-
Установіть значення LmCompatibilityLevel реєстру.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel до 3. Це наявний ключ, який вмикає автентифікацію NTLMv2. EPA застосовується лише до протоколів NTLMv2, Kerberos, digest і узгодження автентифікації та не застосовується до NTLMv1.
Нотатка Після встановлення Значення реєстру SuppressExtendedProtection і LmCompatibilityLevel на комп'ютері під керуванням ОС Windows слід перезавантажити комп'ютер.
Увімкнути розширений захист
Нотатка За замовчуванням розширений захист і NTLMv2 увімкнуто в усіх підтримуваних версіях Windows. Цей посібник можна використовувати, щоб переконатися, що це так.
Увага! Цей розділ, метод або завдання містить кроки, які визначають, як змінити реєстр. Однак у разі внесення неправильних змін до реєстру можуть виникнути серйозні проблеми. Таким чином, переконайтеся, що виконайте ці кроки ретельно. Для додаткового захисту систуйте резервні копії реєстру, перш ніж змінювати його. Після цього ви можете відновити реєстр, якщо виникла проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру, клацніть номер статті в базі знань корпорація Майкрософт:
-
KB322756 Резервне копіювання та відновлення реєстру у Windows
Щоб увімкнути розширений захист самостійно після завантаження та інсталяції оновлення системи безпеки для своєї платформи, виконайте такі дії:
-
Запустіть редактор реєстру. Для цього натисніть кнопку Пуск, виберіть виконати, введіть regedit у полі Відкрити , а потім натисніть кнопку OK.
-
Знайдіть і клацніть такий підрозділ реєстру:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Переконайтеся, що значення реєстру SuppressExtendedProtection і LmCompatibilityLevel присутні.
Якщо значення реєстру відсутні, створіть їх, дотримуючись наведених нижче інструкцій.-
Коли на кроці 2 вибрано підрозділ реєстру, у меню Редагування наведіть вказівник миші на пункт Створити, а потім виберіть пункт Значення DWORD.
-
Введіть SuppressExtendedProtection і натисніть клавішу Enter.
-
Коли на кроці 2 вибрано підрозділ реєстру, у меню Редагування наведіть вказівник миші на пункт Створити, а потім виберіть пункт Значення DWORD.
-
Введіть LmCompatibilityLevel і натисніть клавішу Enter.
-
-
Клацніть, щоб вибрати значення реєстру SuppressExtendedProtection .
-
У меню Edit (Редагування) виберіть Modify (Змінити).
-
У полі Значення введіть0 і натисніть кнопку OK.
-
Клацніть, щоб вибрати значення реєстру LmCompatibilityLevel .
-
У меню Edit (Редагування) виберіть Modify (Змінити).
Примітка Цей крок змінює вимоги до автентифікації NTLM. Ознайомтеся з наведеною нижче статтею в базі знань корпорація Майкрософт, щоб переконатися, що ви знайомі з такою поведінкою.KB239869 Увімкнення автентифікації NTLM 2
-
У полі Значення введіть3, а потім натисніть кнопку OK.
-
Закрийте редактор реєстру.
-
Якщо ці зміни внесено на комп'ютері з Windows, перезавантажте комп'ютер, перш ніж зміни наберуть сили.