Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Introduktion

Microsoft annoncerer tilgængeligheden af en ny funktion, Extended Protection for Authentication (EPA), på Windows-platformen. Denne funktion forbedrer beskyttelsen og håndteringen af legitimationsoplysninger, når du godkender netværksforbindelser ved hjælp af integreret Windows-godkendelse (IWA).Selve opdateringen giver ikke direkte beskyttelse mod specifikke angreb som videresendelse af legitimationsoplysninger, men giver mulighed for, at applikationer kan tilmelde sig EPA. Denne vejledning orienterer udviklere og systemadministratorer om denne nye funktionalitet, og hvordan den kan installeres for at beskytte legitimationsoplysninger til godkendelse.Du kan få mere at vide under Microsoft Security Advisory-973811.

Flere oplysninger

Denne sikkerhedsopdatering ændrer SSPI (Security Support Provider Interface) for at forbedre den måde, Windows-godkendelse fungerer på, så legitimationsoplysninger ikke let videresendes, når IWA er aktiveret.Når EPA er aktiveret, er godkendelsesanmodninger bundet til både SERVICE Principal Names (SPN) for den server, klienten forsøger at oprette forbindelse til og til den ydre TLS-kanal (Transport Layer Security), hvor IWA-godkendelsen forekommer.

Opdateringen tilføjer en ny post i registreringsdatabasen for at administrere Udvidet beskyttelse:

  • Angiv registreringsdatabasen SuppressExtendedProtection-værdien .

    Registreringsdatabasenøgle

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Værdi

    SuppressExtendedProtection

    Type

    REG_DWORD

    Data

    0 Aktiverer beskyttelsesteknologi.1 Udvidet beskyttelse er deaktiveret.3 Udvidet beskyttelse er deaktiveret, og kanalbindinger, der sendes af Kerberos, deaktiveres også, selvom programmet leverer dem.

    Standardværdi: 0x0

    Bemærk! Et problem, der opstår, når EPA er aktiveret som standard, er beskrevet i emnet Godkendelsesfejl fra ikke-Windows NTLM- eller Kerberos-servere på Microsoft websted.

  • Angiv værdien LmCompatibilityLevel i registreringsdatabasen.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel til 3. Dette er en eksisterende nøgle, der aktiverer NTLMv2-godkendelse. EPA gælder kun for NTLMv2-, Kerberos-, digest- og forhandlingsgodkendelsesprotokoller og gælder ikke for NTLMv1.

Bemærk! Du skal genstarte computeren, når du har angivet registreringsdatabaseværdierne SuppressExtendedProtection og LmCompatibilityLevel på en Windows-computer.

Aktivér udvidet beskyttelse

Bemærk! Udvidet beskyttelse og NTLMv2 er som standard begge aktiveret i alle understøttede versioner af Windows. Du kan bruge denne vejledning til at bekræfte, at det er tilfældet.

Vigtigt! Dette afsnit, denne metode eller denne opgave indeholder trin, der fortæller dig, hvordan du redigerer registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis du redigerer registreringsdatabasen forkert. Derfor skal du sørge for at følge disse trin omhyggeligt. Du kan få ekstra beskyttelse ved at sikkerhedskopiere registreringsdatabasen, før du redigerer den. Derefter kan du gendanne registreringsdatabasen, hvis der opstår et problem. Flere oplysninger om, hvordan du sikkerhedskopier og gendanner registreringsdatabasen, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

  • KB322756 Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows

Hvis du selv vil aktivere Udvidet beskyttelse, når du har downloadet og installeret sikkerhedsopdateringen til din platform, skal du følge disse trin:

  1. Start Registreringseditor. Det gør du ved at klikke på Start, klikke på Kør, skrive regedit i feltet Åbn og derefter klikke på OK.

  2. Find og klik derefter på følgende undernøgle i registreringsdatabasen:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Kontrollér, at registreringsdatabaseværdierne SuppressExtendedProtection og LmCompatibilityLevel er til stede.Hvis registreringsdatabaseværdierne ikke findes, skal du følge disse trin for at oprette dem:

    1. Med den undernøgle i registreringsdatabasen, der er angivet i trin 2 markeret, skal du pege på Ny i menuen Rediger og derefter klikke på DWORD-værdi.

    2. Skriv SuppressExtendedProtection, og tryk derefter på Enter.

    3. Med den undernøgle i registreringsdatabasen, der er angivet i trin 2 markeret, skal du pege på Ny i menuen Rediger og derefter klikke på DWORD-værdi.

    4. Skriv LmCompatibilityLevel, og tryk derefter på Enter.

  4. Klik for at vælge registreringsdatabaseværdien SuppressExtendedProtection .

  5. Klik på Rediger i menuen Rediger.

  6. Skriv 0 i feltet Værdidata, og klik derefter på OK.

  7. Klik for at vælge registreringsdatabaseværdien LmCompatibilityLevel .

  8. Klik på Rediger i menuen Rediger.Bemærk Dette trin ændrer kravene til NTLM-godkendelse. Læs følgende artikel i Microsoft Knowledge Base for at sikre, at du kender denne funktionsmåde.

    KB239869 Sådan aktiveres NTLM 2-godkendelse

  9. Skriv 3 i feltet Værdidata, og klik derefter på OK.

  10. Afslut Registreringseditor.

  11. Hvis du foretager disse ændringer på en Windows-computer, skal du genstarte computeren, før ændringerne træder i kraft.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.