Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Вступ

корпорація Майкрософт оголошує про доступність нової функції Розширений захист для автентифікації (EPA) на платформі Windows. Ця функція підвищує захист і обробку облікових даних під час автентифікації мережевих підключень за допомогою інтегрованої автентифікації Windows (IWA).Саме оновлення безпосередньо не забезпечує захист від конкретних атак, таких як пересилання облікових даних, але дозволяє програмам приєднатися до EPA. У цьому навчальному посібнику наведено короткий опис для розробників і системних адміністраторів щодо цієї нової функції та її розгортання для захисту облікових даних автентифікації.Докладні відомості див. в статті корпорація Майкрософт 973811 з питань безпеки.

Додаткові відомості

Це оновлення системи безпеки змінює інтерфейс постачальника підтримки безпеки (SSPI), щоб покращити спосіб роботи автентифікації Windows, щоб облікові дані не пересилалися, коли активовано IWA.Якщо активовано EPA, запити автентифікації прив'язані як до імен учасників служби (SPN) сервера, до якого клієнт намагається підключитися, так і до зовнішнього каналу TLS, над яким відбувається автентифікація IWA.

Оновлення додає новий запис реєстру для керування розширеним захистом:

  • Установіть значення Registry SuppressExtendedProtection .

    Реєстру

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Значення

    Заборонити застарілувлапроекції

    Тип

    REG_DWORD

    Дані

    0 Вмикає технологію захисту.1 Розширений захист вимкнуто.3 Розширений захист вимкнуто, а прив'язування каналу, надіслане Kerberos, також вимкнуто, навіть якщо програма їх постачає.

    Значення за промовчанням: 0x0

    Нотатка Проблема, яка виникає, коли EPA увімкнуто за замовчуванням описано в помилки автентифікації з не Windows NTLM або Kerberos серверів теми на веб-сайті корпорація Майкрософт.

  • Установіть значення LmCompatibilityLevel реєстру.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel до 3. Це наявний ключ, який вмикає автентифікацію NTLMv2. EPA застосовується лише до протоколів NTLMv2, Kerberos, digest і узгодження автентифікації та не застосовується до NTLMv1.

Нотатка Після встановлення Значення реєстру SuppressExtendedProtection і LmCompatibilityLevel на комп'ютері під керуванням ОС Windows слід перезавантажити комп'ютер.

Увімкнути розширений захист

Нотатка За замовчуванням розширений захист і NTLMv2 увімкнуто в усіх підтримуваних версіях Windows. Цей посібник можна використовувати, щоб переконатися, що це так.

Увага! Цей розділ, метод або завдання містить кроки, які визначають, як змінити реєстр. Однак у разі внесення неправильних змін до реєстру можуть виникнути серйозні проблеми. Таким чином, переконайтеся, що виконайте ці кроки ретельно. Для додаткового захисту систуйте резервні копії реєстру, перш ніж змінювати його. Після цього ви можете відновити реєстр, якщо виникла проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру, клацніть номер статті в базі знань корпорація Майкрософт:

  • KB322756 Резервне копіювання та відновлення реєстру у Windows

Щоб увімкнути розширений захист самостійно після завантаження та інсталяції оновлення системи безпеки для своєї платформи, виконайте такі дії:

  1. Запустіть редактор реєстру. Для цього натисніть кнопку Пуск, виберіть виконати, введіть regedit у полі Відкрити , а потім натисніть кнопку OK.

  2. Знайдіть і клацніть такий підрозділ реєстру:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Переконайтеся, що значення реєстру SuppressExtendedProtection і LmCompatibilityLevel присутні.Якщо значення реєстру відсутні, створіть їх, дотримуючись наведених нижче інструкцій.

    1. Коли на кроці 2 вибрано підрозділ реєстру, у меню Редагування наведіть вказівник миші на пункт Створити, а потім виберіть пункт Значення DWORD.

    2. Введіть SuppressExtendedProtection і натисніть клавішу Enter.

    3. Коли на кроці 2 вибрано підрозділ реєстру, у меню Редагування наведіть вказівник миші на пункт Створити, а потім виберіть пункт Значення DWORD.

    4. Введіть LmCompatibilityLevel і натисніть клавішу Enter.

  4. Клацніть, щоб вибрати значення реєстру SuppressExtendedProtection .

  5. У меню Edit (Редагування) виберіть Modify (Змінити).

  6. У полі Значення введіть0 і натисніть кнопку OK.

  7. Клацніть, щоб вибрати значення реєстру LmCompatibilityLevel .

  8. У меню Edit (Редагування) виберіть Modify (Змінити).Примітка Цей крок змінює вимоги до автентифікації NTLM. Ознайомтеся з наведеною нижче статтею в базі знань корпорація Майкрософт, щоб переконатися, що ви знайомі з такою поведінкою.

    KB239869 Увімкнення автентифікації NTLM 2

  9. У полі Значення введіть3, а потім натисніть кнопку OK.

  10. Закрийте редактор реєстру.

  11. Якщо ці зміни внесено на комп'ютері з Windows, перезавантажте комп'ютер, перш ніж зміни наберуть сили.

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.