Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

簡介

Microsoft 宣佈在 Windows 平台上推出新功能驗證的延伸保護 (EPA)。 此功能增强了使用整合式 Windows 驗證 (IWA) 對網路連線進行驗證時對認證的保護和處理。 更新本身不直接提供針對特定攻擊 (如認證轉寄) 的保護,但允許應用程式加入 EPA。 此公告向開發人員和系統管理員簡要介紹了這一新功能,以及如何部署它以協助保護驗證認證。 如需詳細資訊,請參閲 Microsoft 安全性公告 973811.

其他相關資訊

此安全性更新修改了安全性支援提供者介面 (SSPI),以增強 Windows 驗證的運作方式,從而在啟用 IWA 時不能輕易轉寄認證。 啟用 EPA 後,驗證要求會繫結至用戶端嘗試連線至的伺服器之服務主體名稱 (SPN) 和 IWA 驗證發生的外部傳輸層安全性 (TLS) 通道。

更新會新增登錄項目以管理延伸保護:

  • 設定登錄 SuppressExtendedProtection 值。

    登錄機碼

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    SuppressExtendedProtection

    類型

    REG_DWORD

    資料

    0 啟用保護技術。1 延伸保護已停用。3 延伸保護已停用,Kerberos 傳送的通道繫結也已停用,即使應用程式提供它們。

    預設值:0x0

    附註: 預設啟用 EPA 時發生的問題在 Microsoft 網站上的非 Windows NTLM 或 Kerberos 伺服器的驗證失敗主題中進行了描述。

  • 設定登錄 LmCompatibilityLevel 值。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel3。 這是啟用 NTLMv2 驗證的現有金鑰。 EPA 僅適用於 NTLMv2、Kerberos、摘要和交涉驗證通訊協定,不適用於 NTLMv1。

附註: 在 Windows 電腦上設定 SuppressExtendedProtectionLmCompatibilityLevel 登錄值後,必須重新啟動電腦。

啟用延伸保護

附註: 延伸保護和 NTLMv2 在所有支援的 Windows 版本中都預設啟用。 您可以使用本指南來驗證此案例。

重要: 這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按一下下列文章編號,檢視「Microsoft 知識庫」中的文章:

  • KB322756 如何在 Windows 中備份及還原登錄

若要在下載並安裝適用於您平台的安全性更新後自行啟用延伸保護,請執行以下步驟:

  1. 啟動 [登錄編輯程式]。 若要這樣做,請按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 「regedit」,然後按一下 [確定]

  2. 找出並按一下下列登錄子機碼:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. 驗證登錄值 SuppressExtendedProtectionLmCompatibilityLevel 都存在。 如果登錄值不存在,請遵循以下步驟建立它們:

    1. 選取步驟 2 中列出的登錄子機碼後,在 [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]

    2. 輸入 SuppressExtendedProtection,然後按 Enter。

    3. 選取步驟 2 中列出的登錄子機碼後,在 [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]

    4. 輸入 LmCompatibilityLevel,然後按 Enter。

  4. 按一下以選取 SuppressExtendedProtection 登錄值。

  5. [編輯] 功能表中,按一下 [修改]

  6. [數值資料] 方塊中輸入 「0」,然後按一下 [確定]

  7. 按一下以選取 LmCompatibilityLevel 登錄值。

  8. [編輯] 功能表中,按一下 [修改]注意 此步驟變更 NTLM 驗證要求。 請檢閱 Microsoft 知識庫中的以下文章,以確保您熟悉此行為。

    KB239869 如何啟用 NTLM 2 驗證

  9. [數值資料] 方塊中輸入 「3」,然後按一下 [確定]

  10. 結束 [登錄編輯程式]。

  11. 如果在 Windows 電腦上進行這些變更,則必須在變更生效之前重新啟動電腦。

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。