Introduktion
Microsoft annoncerer tilgængeligheden af en ny funktion, Extended Protection for Authentication (EPA), på Windows-platformen. Denne funktion forbedrer beskyttelsen og håndteringen af legitimationsoplysninger, når du godkender netværksforbindelser ved hjælp af integreret Windows-godkendelse (IWA).under Microsoft Security Advisory-973811.
Selve opdateringen giver ikke direkte beskyttelse mod specifikke angreb som videresendelse af legitimationsoplysninger, men giver mulighed for, at applikationer kan tilmelde sig EPA. Denne vejledning orienterer udviklere og systemadministratorer om denne nye funktionalitet, og hvordan den kan installeres for at beskytte legitimationsoplysninger til godkendelse. Du kan få mere at videFlere oplysninger
Denne sikkerhedsopdatering ændrer SSPI (Security Support Provider Interface) for at forbedre den måde, Windows-godkendelse fungerer på, så legitimationsoplysninger ikke let videresendes, når IWA er aktiveret.
Når EPA er aktiveret, er godkendelsesanmodninger bundet til både SERVICE Principal Names (SPN) for den server, klienten forsøger at oprette forbindelse til og til den ydre TLS-kanal (Transport Layer Security), hvor IWA-godkendelsen forekommer.Opdateringen tilføjer en ny post i registreringsdatabasen for at administrere Udvidet beskyttelse:
-
Angiv registreringsdatabasen SuppressExtendedProtection-værdien .
Registreringsdatabasenøgle
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Værdi
SuppressExtendedProtection
Type
REG_DWORD
Data
0 Aktiverer beskyttelsesteknologi.
1 Udvidet beskyttelse er deaktiveret. 3 Udvidet beskyttelse er deaktiveret, og kanalbindinger, der sendes af Kerberos, deaktiveres også, selvom programmet leverer dem.Standardværdi: 0x0
Bemærk! Et problem, der opstår, når EPA er aktiveret som standard, er beskrevet i emnet Godkendelsesfejl fra ikke-Windows NTLM- eller Kerberos-servere på Microsoft websted.
-
Angiv værdien LmCompatibilityLevel i registreringsdatabasen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel til 3. Dette er en eksisterende nøgle, der aktiverer NTLMv2-godkendelse. EPA gælder kun for NTLMv2-, Kerberos-, digest- og forhandlingsgodkendelsesprotokoller og gælder ikke for NTLMv1.
Bemærk! Du skal genstarte computeren, når du har angivet registreringsdatabaseværdierne SuppressExtendedProtection og LmCompatibilityLevel på en Windows-computer.
Aktivér udvidet beskyttelse
Bemærk! Udvidet beskyttelse og NTLMv2 er som standard begge aktiveret i alle understøttede versioner af Windows. Du kan bruge denne vejledning til at bekræfte, at det er tilfældet.
Vigtigt! Dette afsnit, denne metode eller denne opgave indeholder trin, der fortæller dig, hvordan du redigerer registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis du redigerer registreringsdatabasen forkert. Derfor skal du sørge for at følge disse trin omhyggeligt. Du kan få ekstra beskyttelse ved at sikkerhedskopiere registreringsdatabasen, før du redigerer den. Derefter kan du gendanne registreringsdatabasen, hvis der opstår et problem. Flere oplysninger om, hvordan du sikkerhedskopier og gendanner registreringsdatabasen, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
-
KB322756 Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows
Hvis du selv vil aktivere Udvidet beskyttelse, når du har downloadet og installeret sikkerhedsopdateringen til din platform, skal du følge disse trin:
-
Start Registreringseditor. Det gør du ved at klikke på Start, klikke på Kør, skrive regedit i feltet Åbn og derefter klikke på OK.
-
Find og klik derefter på følgende undernøgle i registreringsdatabasen:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Kontrollér, at registreringsdatabaseværdierne SuppressExtendedProtection og LmCompatibilityLevel er til stede.
Hvis registreringsdatabaseværdierne ikke findes, skal du følge disse trin for at oprette dem:-
Med den undernøgle i registreringsdatabasen, der er angivet i trin 2 markeret, skal du pege på Ny i menuen Rediger og derefter klikke på DWORD-værdi.
-
Skriv SuppressExtendedProtection, og tryk derefter på Enter.
-
Med den undernøgle i registreringsdatabasen, der er angivet i trin 2 markeret, skal du pege på Ny i menuen Rediger og derefter klikke på DWORD-værdi.
-
Skriv LmCompatibilityLevel, og tryk derefter på Enter.
-
-
Klik for at vælge registreringsdatabaseværdien SuppressExtendedProtection .
-
Klik på Rediger i menuen Rediger.
-
Skriv 0 i feltet Værdidata, og klik derefter på OK.
-
Klik for at vælge registreringsdatabaseværdien LmCompatibilityLevel .
-
Klik på Rediger i menuen Rediger.
Bemærk Dette trin ændrer kravene til NTLM-godkendelse. Læs følgende artikel i Microsoft Knowledge Base for at sikre, at du kender denne funktionsmåde.KB239869 Sådan aktiveres NTLM 2-godkendelse
-
Skriv 3 i feltet Værdidata, og klik derefter på OK.
-
Afslut Registreringseditor.
-
Hvis du foretager disse ændringer på en Windows-computer, skal du genstarte computeren, før ændringerne træder i kraft.