Sissejuhatus
Microsoft annab windowsi platvormil ülevaate uue funktsiooni laiendatud autentimiskaitse (EPA) kättesaadavusest. See funktsioon parandab identimisteabe kaitset ja töötlemist võrguühenduste autentimisel integreeritud Windowsi autentimise (IWA) abil.Microsoft turbenõuandla 973811.
Värskendus ise ei paku otse kaitset konkreetsete rünnakute eest, nagu identimisteabe edastamine, kuid võimaldab rakendustel nõustuda EPA-ga. See nõuandla annab arendajatele ja süsteemiadministraatoritele ülevaate sellest uuest funktsioonist ja sellest, kuidas seda saab autentimisteabe kaitsmiseks juurutada. Lisateavet leiateLisateave
Turbevärskendus muudab turbetoe pakkuja liidest (SSPI), et täiustada Windowsi autentimise tööviisi nii, et identimisteavet ei edastataks hõlpsalt, kui IWA on lubatud.
Kui EPA on lubatud, on autentimistaotlused seotud nii selle serveri teenusesubjektide nimedega (SPN), millega klient proovib ühendust luua, kui ka välisele transpordikihi turbe (TLS) kanalile, mille kaudu IWA autentimine toimub.Värskendus lisab laiendatud kaitse haldamiseks uue registrikirje:
-
Määrake registri SuppressExtendedProtection väärtus.
Registrivõti
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Väärtus
SuppressExtendedProtection
Tüüp
REG_DWORD
Andmed
0 Lubab kaitsetehnoloogia.
1 Laiendatud kaitse on keelatud. 3 Laiendatud kaitse on keelatud ja Kerberose saadetud kanaliköited keelatakse ka siis, kui rakendus need tarnib.Vaikeväärtus: 0x0
Märkus Probleemi, mis ilmneb, kui EPA on vaikimisi lubatud, on kirjeldatud Microsoft veebisaidi teemas Autentimistõrge mitte-Windows NTLM-ist või Kerberose serveritest.
-
Määrake registri LmCompatibilityLevel väärtus.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel kuni 3. See on olemasolev võti, mis lubab NTLMv2 autentimise. EPA kehtib ainult NTLMv2, Kerberose, digesti ja läbirääkimiste autentimise protokollide kohta ning ei kehti NTLMv1 kohta.
Märkus Pärast Windowsi arvutis registriväärtuste SuppressExtendedProtection ja LmCompatibilityLevel määramist peate arvuti taaskäivitama.
Laiendatud kaitse lubamine
Märkus Laiendatud kaitse ja NTLMv2 on vaikimisi kõigis Windowsi toetatud versioonides lubatud. Selle juhendi abil saate kontrollida, kas see on nii.
Tähtis See jaotis, meetod või ülesanne sisaldab etappe, mis annavad teile teada, kuidas registrit muuta. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Seetõttu veenduge, et järgite neid juhiseid hoolikalt. Täiendava kaitse saamiseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake teabebaasi Microsoft artikli kuvamiseks järgmist artiklinumbrit.
-
KB322756 Registri varundamine ja taastamine Windowsis
Kui soovite laiendatud kaitse pärast oma platvormi turbevärskenduse allalaadimist ja installimist ise lubada, tehke järgmist.
-
Käivitage registriredaktor. Selleks klõpsake nuppu Start, siis käsku Käivita, tippige väljale Ava käsk regedit ja seejärel klõpsake nuppu OK.
-
Otsige üles järgmine registri alamvõti ja klõpsake seda:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Veenduge, et registriväärtused SuppressExtendedProtection ja LmCompatibilityLevel oleksid olemas.
Kui registriväärtusi pole, tehke nende loomiseks järgmist.-
Kui registri alamvõti on loetletud juhises 2, osutage menüüs Redigeeri käsule Uus ja seejärel klõpsake käsku DWORD-väärtus.
-
Tippige tekst SuppressExtendedProtection ja vajutage sisestusklahvi (Enter).
-
Kui registri alamvõti on loetletud juhises 2, osutage menüüs Redigeeri käsule Uus ja seejärel klõpsake käsku DWORD-väärtus.
-
Tippige tekst LmCompatibilityLevel ja vajutage sisestusklahvi (Enter).
-
-
Klõpsake registriväärtuse SuppressExtendedProtection valimiseks.
-
Klõpsake menüü Redigeeri käsku Muuda.
-
Tippige väljale Väärtuseandmedväärtus 0 ja seejärel klõpsake nuppu OK.
-
Klõpsake registriväärtuse LmCompatibilityLevel valimiseks.
-
Klõpsake menüü Redigeeri käsku Muuda.
Märkus See toiming muudab NTLM-autentimisnõudeid. Veendumaks, et olete sellise käitumisega tuttav, lugege Microsoft teabebaasi järgmist artiklit.KB239869 NTLM 2 autentimise lubamine
-
Tippige väljale Väärtuseandmedväärtus 3 ja klõpsake nuppu OK.
-
Sulgege registriredaktor.
-
Kui teete need muudatused Windowsi arvutis, peate enne muudatuste jõustumist arvuti taaskäivitama.