Giới thiệu
Microsoft báo về tính khả dụng của tính năng mới, Bảo vệ Xác thực Mở rộng (EPA) trên nền tảng Windows. Tính năng này nâng cao khả năng bảo vệ và xử lý thông tin xác thực khi xác thực kết nối mạng bằng cách sử dụng Xác thực Windows Tích hợp (IWA).hãy Microsoft tư vấn bảo mật 973811.
Bản cập nhật không trực tiếp cung cấp bảo vệ chống lại các cuộc tấn công cụ thể như chuyển tiếp thông tin xác thực nhưng cho phép các ứng dụng tham gia EPA. Tư vấn này giới thiệu ngắn gọn về nhà phát triển và người quản trị hệ thống về chức năng mới này và cách triển khai để giúp bảo vệ thông tin xác thực. Để biết thêm thông tin,Thông tin Thêm
Bản cập nhật bảo mật này sửa đổi Giao diện Nhà cung cấp Hỗ trợ Bảo mật (SSPI) để nâng cao cách thức hoạt động của xác thực Windows để thông tin xác thực không dễ dàng chuyển tiếp khi IWA được bật.
Khi EPA được bật, yêu cầu xác thực được liên kết với cả hai Tên Chính của Dịch vụ (SPN) của máy chủ, máy khách sẽ cố gắng kết nối và đến kênh Transport Layer Security (TLS) bên ngoài mà xác thực IWA xảy ra.Bản cập nhật thêm một mục đăng ký mới để quản lý Bảo vệ Mở rộng:
-
Đặt giá trị suppressExtendedProtection của sổ đăng ký.
Khóa đăng ký
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Giá trị
SuppressExtendedProtection
Loại
REG_DWORD
Dữ liệu
0 Cho phép công nghệ bảo vệ.
1 Bảo vệ Mở rộng bị tắt. 3 Bảo vệ Mở rộng bị vô hiệu hóa và ràng buộc kênh do Kerberos gửi cũng bị vô hiệu hóa, ngay cả khi ứng dụng cung cấp chúng.Giá trị mặc định: 0x0
Lưu ý Sự cố xảy ra khi EPA được bật theo mặc định được mô tả trong chủ đề Xác thực thất bại từ các máy chủ không phải là Windows NTLM hoặc Kerberos trên trang web Microsoft web.
-
Đặt giá trị LmCompatibilityLevel của sổ đăng ký.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel đến 3. Đây là khóa hiện có cho phép Xác thực NTLMv2. EPA chỉ áp dụng cho các giao thức xác thực NTLMv2, Kerberos, digest và negotiation và không áp dụng cho NTLMv1.
Lưu ý Bạn phải khởi động lại máy tính sau khi đặt giá trị đăng ký SuppressExtendedProtection và LmCompatibilityLevel trên máy tính chạy Windows.
Bật Bảo vệ Mở rộng
Lưu ý Theo mặc định, Bảo vệ Mở rộng và NTLMv2 đều được bật trong tất cả các phiên bản Windows được hỗ trợ. Bạn có thể sử dụng hướng dẫn này để xác minh trường hợp này.
Quan trọng Mục, phương pháp hoặc tác vụ này chứa các bước hướng dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, các vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Do đó, hãy đảm bảo rằng bạn làm theo các bước sau một cách cẩn thận. Để tăng thêm khả năng bảo vệ, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Microsoft liệu:
-
KB322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows
Để tự bật Bảo vệ Mở rộng sau khi bạn tải xuống và cài đặt bản cập nhật bảo mật cho nền tảng của mình, hãy làm theo các bước sau:
-
Khởi động Trình soạn thảo Sổ đăng ký. Để thực hiện bước này, bấm vào Bắt đầu, bấm vào Chạy, nhậpregedit vào hộp Mở, rồi bấm vào OK.
-
Định vị, rồi bấm vào khóa đăng ký phụ sau:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Xác minh rằng các giá trị sổ đăng ký SuppressExtendedProtectionvà LmCompatibilityLevel đã xuất hiện.
Nếu các giá trị của sổ đăng ký không xuất hiện, hãy làm theo các bước sau để tạo giá trị đó:-
Với khóa phụ của sổ đăng ký được liệt kê ở bước 2 được chọn, trên menu Chỉnh sửa, trỏ tới Mới, rồi bấm vào Giá trị DWORD.
-
Nhập SuppressExtendedProtection, rồi nhấn Enter.
-
Với khóa phụ của sổ đăng ký được liệt kê ở bước 2 được chọn, trên menu Chỉnh sửa, trỏ tới Mới, rồi bấm vào Giá trị DWORD.
-
Nhập LmCompatibilityLevel, rồi nhấn Enter.
-
-
Bấm để chọn giá trị đăng ký SuppressExtendedProtection .
-
Trên menu Chỉnh sửa , bấm vào Sửa đổi.
-
Trong hộp Dữ liệu giá trị, nhập 0, rồi bấm OK.
-
Bấm để chọn giá trị đăng ký LmCompatibilityLevel .
-
Trên menu Chỉnh sửa , bấm vào Sửa đổi.
Lưu ý Bước này sẽ thay đổi yêu cầu xác thực NTLM. Vui lòng xem lại bài viết sau đây trong Microsoft Knowledge Base để đảm bảo rằng bạn đã quen thuộc với hành vi này.KB239869 Cách bật xác thực NTLM 2
-
Trong hộp Dữ liệu giá trị, nhập 3, rồi bấm OK.
-
Thoát khỏi Trình soạn thảo Sổ đăng ký.
-
Nếu bạn thực hiện những thay đổi này trên máy tính chạy Windows, bạn phải khởi động lại máy tính trước khi các thay đổi có hiệu lực.