Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

简介

Microsoft 宣布在 Windows 平台上推出新功能针对验证的扩展保护 (EPA)。 使用集成 Windows 身份验证 (IWA) 对网络连接进行身份验证时,此功能增强了对凭据的保护和处理。 更新本身不会直接提供对特定攻击(如凭据转发)的保护,但允许应用程序选择加入到 EPA。 此公告向开发人员和系统管理员简要介绍了此新功能以及如何部署它来帮助保护身份验证凭据。 有关详细信息,请参阅 Microsoft Security Advisory 973811

更多信息

此安全更新修改了安全支持提供程序接口 (SSPI), 以增强 Windows 身份验证的工作方式,以便在启用 IWA 时不会轻松转发凭据。 当启用了 EPA 时,身份验证请求将绑定到客户端尝试连接到的服务器的服务主体名称 (SPN) 以及 IWA 身份验证所通过的外部传输层安全性 (TLS) 通道。

此更新添加了一个新的注册表项来管理扩展保护:

  • 设置注册表 SuppressExtendedProtection 值。

    注册表项

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    SuppressExtendedProtection

    类型

    REG_DWORD

    数据

    0 启用保护技术。1 扩展保护已禁用。3 扩展保护被禁用,并且 Kerberos 发送的通道绑定也被禁用,即使应用程序提供了它们也是如此。

    默认值:0x0

    备注 Microsoft 网站上的 非 Windows NTLM 或 Kerberos 服务器的身份验证失败 主题中描述了默认启用 EPA 时出现的问题。

  • 设置注册表 LmCompatibilityLevel 值。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel3. 这是启用 NTLMv2 身份验证的现有密钥。 此项仅适用于 NTLMv2、Kerberos、摘要和协商身份验证协议,不适用于 NTLMv1。

备注 在 Windows 计算机上设置 SuppressExtendedProtectionLmCompatibilityLevel 注册表值后,必须重新启动计算机。

启用扩展保护

备注 默认情况下,扩展保护和 NTLMv2 均在所有受支持的 Windows 版本中启用。 可以使用本指南来验证情况。

重要说明 此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的更多信息,请单击下面的文章编号查看 Microsoft 知识库中相应的文章:

  • KB322756 如何在 Windows 中备份和还原注册表

若要在下载并安装平台的安全更新后自行启用扩展保护,请执行以下步骤:

  1. 启动注册表编辑器。 为此,单击“开始”,然后单击“运行”,在“打开”对话框中键入 regedit,然后单击“确定”。

  2. 找到并单击下面的注册表子项:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. 验证注册表值 SuppressExtendedProtectionLmCompatibilityLevel 是否存在。 如果注册表值不存在,请按照下列步骤创建它们:

    1. 选择步骤 2 中列出的注册表子项后,在 “编辑” 菜单上,指向 “新建”,然后单击 “DWORD 值”

    2. 键入 SuppressExtendedProtection,然后按 Enter。

    3. 选择步骤 2 中列出的注册表子项后,在 “编辑” 菜单上,指向 “新建”,然后单击 “DWORD 值”

    4. 键入 LmCompatibilityLevel,然后按 Enter。

  4. 单击以选择 SuppressExtendedProtection 注册表值。

  5. 在“编辑”菜单上,单击“修改”。

  6. 在“数值数据”框中,键入 0,然后单击“OK”。

  7. 单击以选择 LmCompatibilityLevel 注册表值。

  8. 在“编辑”菜单上,单击“修改”。注意 此步骤更改 NTLM 身份验证要求。 请查看 Microsoft 知识库中的以下文章,确保熟悉此行为。

    KB239869 如何启用 NTLM 2 身份验证

  9. 在“数值数据”框中,键入 3,然后单击“OK”。

  10. 退出注册表编辑器。

  11. 如果在 Windows 计算机上进行这些更改,则必须在更改生效之前重新启动计算机。

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。