簡介
Microsoft 宣佈在 Windows 平台上推出新功能驗證的延伸保護 (EPA)。 此功能增强了使用整合式 Windows 驗證 (IWA) 對網路連線進行驗證時對認證的保護和處理。Microsoft 安全性公告 973811.
更新本身不直接提供針對特定攻擊 (如認證轉寄) 的保護,但允許應用程式加入 EPA。 此公告向開發人員和系統管理員簡要介紹了這一新功能,以及如何部署它以協助保護驗證認證。 如需詳細資訊,請參閲其他相關資訊
此安全性更新修改了安全性支援提供者介面 (SSPI),以增強 Windows 驗證的運作方式,從而在啟用 IWA 時不能輕易轉寄認證。
啟用 EPA 後,驗證要求會繫結至用戶端嘗試連線至的伺服器之服務主體名稱 (SPN) 和 IWA 驗證發生的外部傳輸層安全性 (TLS) 通道。更新會新增登錄項目以管理延伸保護:
-
設定登錄 SuppressExtendedProtection 值。
登錄機碼
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
值
SuppressExtendedProtection
類型
REG_DWORD
資料
0 啟用保護技術。
1 延伸保護已停用。 3 延伸保護已停用,Kerberos 傳送的通道繫結也已停用,即使應用程式提供它們。預設值:0x0
附註: 預設啟用 EPA 時發生的問題在 Microsoft 網站上的非 Windows NTLM 或 Kerberos 伺服器的驗證失敗主題中進行了描述。
-
設定登錄 LmCompatibilityLevel 值。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel 至 3。 這是啟用 NTLMv2 驗證的現有金鑰。 EPA 僅適用於 NTLMv2、Kerberos、摘要和交涉驗證通訊協定,不適用於 NTLMv1。
附註: 在 Windows 電腦上設定 SuppressExtendedProtection 和 LmCompatibilityLevel 登錄值後,必須重新啟動電腦。
啟用延伸保護
附註: 延伸保護和 NTLMv2 在所有支援的 Windows 版本中都預設啟用。 您可以使用本指南來驗證此案例。
重要: 這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按一下下列文章編號,檢視「Microsoft 知識庫」中的文章:
-
KB322756 如何在 Windows 中備份及還原登錄
若要在下載並安裝適用於您平台的安全性更新後自行啟用延伸保護,請執行以下步驟:
-
啟動 [登錄編輯程式]。 若要這樣做,請按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 「regedit」,然後按一下 [確定]。
-
找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
驗證登錄值 SuppressExtendedProtection 和 LmCompatibilityLevel 都存在。
如果登錄值不存在,請遵循以下步驟建立它們:-
選取步驟 2 中列出的登錄子機碼後,在 [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]。
-
輸入 SuppressExtendedProtection,然後按 Enter。
-
選取步驟 2 中列出的登錄子機碼後,在 [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]。
-
輸入 LmCompatibilityLevel,然後按 Enter。
-
-
按一下以選取 SuppressExtendedProtection 登錄值。
-
在 [編輯] 功能表中,按一下 [修改]。
-
在 [數值資料] 方塊中輸入 「0」,然後按一下 [確定]。
-
按一下以選取 LmCompatibilityLevel 登錄值。
-
在 [編輯] 功能表中,按一下 [修改]。
注意 此步驟變更 NTLM 驗證要求。 請檢閱 Microsoft 知識庫中的以下文章,以確保您熟悉此行為。KB239869 如何啟用 NTLM 2 驗證
-
在 [數值資料] 方塊中輸入 「3」,然後按一下 [確定]。
-
結束 [登錄編輯程式]。
-
如果在 Windows 電腦上進行這些變更,則必須在變更生效之前重新啟動電腦。