Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Sissejuhatus

Microsoft annab windowsi platvormil ülevaate uue funktsiooni laiendatud autentimiskaitse (EPA) kättesaadavusest. See funktsioon parandab identimisteabe kaitset ja töötlemist võrguühenduste autentimisel integreeritud Windowsi autentimise (IWA) abil.Värskendus ise ei paku otse kaitset konkreetsete rünnakute eest, nagu identimisteabe edastamine, kuid võimaldab rakendustel nõustuda EPA-ga. See nõuandla annab arendajatele ja süsteemiadministraatoritele ülevaate sellest uuest funktsioonist ja sellest, kuidas seda saab autentimisteabe kaitsmiseks juurutada.Lisateavet leiate Microsoft turbenõuandla 973811.

Lisateave

Turbevärskendus muudab turbetoe pakkuja liidest (SSPI), et täiustada Windowsi autentimise tööviisi nii, et identimisteavet ei edastataks hõlpsalt, kui IWA on lubatud.Kui EPA on lubatud, on autentimistaotlused seotud nii selle serveri teenusesubjektide nimedega (SPN), millega klient proovib ühendust luua, kui ka välisele transpordikihi turbe (TLS) kanalile, mille kaudu IWA autentimine toimub.

Värskendus lisab laiendatud kaitse haldamiseks uue registrikirje:

  • Määrake registri SuppressExtendedProtection väärtus.

    Registrivõti

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Väärtus

    SuppressExtendedProtection

    Tüüp

    REG_DWORD

    Andmed

    0 Lubab kaitsetehnoloogia.1 Laiendatud kaitse on keelatud.3 Laiendatud kaitse on keelatud ja Kerberose saadetud kanaliköited keelatakse ka siis, kui rakendus need tarnib.

    Vaikeväärtus: 0x0

    Märkus Probleemi, mis ilmneb, kui EPA on vaikimisi lubatud, on kirjeldatud Microsoft veebisaidi teemas Autentimistõrge mitte-Windows NTLM-ist või Kerberose serveritest.

  • Määrake registri LmCompatibilityLevel väärtus.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel kuni 3. See on olemasolev võti, mis lubab NTLMv2 autentimise. EPA kehtib ainult NTLMv2, Kerberose, digesti ja läbirääkimiste autentimise protokollide kohta ning ei kehti NTLMv1 kohta.

Märkus Pärast Windowsi arvutis registriväärtuste SuppressExtendedProtection ja LmCompatibilityLevel määramist peate arvuti taaskäivitama.

Laiendatud kaitse lubamine

Märkus Laiendatud kaitse ja NTLMv2 on vaikimisi kõigis Windowsi toetatud versioonides lubatud. Selle juhendi abil saate kontrollida, kas see on nii.

Tähtis See jaotis, meetod või ülesanne sisaldab etappe, mis annavad teile teada, kuidas registrit muuta. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Seetõttu veenduge, et järgite neid juhiseid hoolikalt. Täiendava kaitse saamiseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake teabebaasi Microsoft artikli kuvamiseks järgmist artiklinumbrit.

  • KB322756 Registri varundamine ja taastamine Windowsis

Kui soovite laiendatud kaitse pärast oma platvormi turbevärskenduse allalaadimist ja installimist ise lubada, tehke järgmist.

  1. Käivitage registriredaktor. Selleks klõpsake nuppu Start, siis käsku Käivita, tippige väljale Ava käsk regedit ja seejärel klõpsake nuppu OK.

  2. Otsige üles järgmine registri alamvõti ja klõpsake seda:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Veenduge, et registriväärtused SuppressExtendedProtection ja LmCompatibilityLevel oleksid olemas.Kui registriväärtusi pole, tehke nende loomiseks järgmist.

    1. Kui registri alamvõti on loetletud juhises 2, osutage menüüs Redigeeri käsule Uus ja seejärel klõpsake käsku DWORD-väärtus.

    2. Tippige tekst SuppressExtendedProtection ja vajutage sisestusklahvi (Enter).

    3. Kui registri alamvõti on loetletud juhises 2, osutage menüüs Redigeeri käsule Uus ja seejärel klõpsake käsku DWORD-väärtus.

    4. Tippige tekst LmCompatibilityLevel ja vajutage sisestusklahvi (Enter).

  4. Klõpsake registriväärtuse SuppressExtendedProtection valimiseks.

  5. Klõpsake menüü Redigeeri käsku Muuda.

  6. Tippige väljale Väärtuseandmedväärtus 0 ja seejärel klõpsake nuppu OK.

  7. Klõpsake registriväärtuse LmCompatibilityLevel valimiseks.

  8. Klõpsake menüü Redigeeri käsku Muuda.Märkus See toiming muudab NTLM-autentimisnõudeid. Veendumaks, et olete sellise käitumisega tuttav, lugege Microsoft teabebaasi järgmist artiklit.

    KB239869 NTLM 2 autentimise lubamine

  9. Tippige väljale Väärtuseandmedväärtus 3 ja klõpsake nuppu OK.

  10. Sulgege registriredaktor.

  11. Kui teete need muudatused Windowsi arvutis, peate enne muudatuste jõustumist arvuti taaskäivitama.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.