简介
Microsoft 宣布在 Windows 平台上推出新功能针对验证的扩展保护 (EPA)。 使用集成 Windows 身份验证 (IWA) 对网络连接进行身份验证时,此功能增强了对凭据的保护和处理。Microsoft Security Advisory 973811。
更新本身不会直接提供对特定攻击(如凭据转发)的保护,但允许应用程序选择加入到 EPA。 此公告向开发人员和系统管理员简要介绍了此新功能以及如何部署它来帮助保护身份验证凭据。 有关详细信息,请参阅更多信息
此安全更新修改了安全支持提供程序接口 (SSPI), 以增强 Windows 身份验证的工作方式,以便在启用 IWA 时不会轻松转发凭据。
当启用了 EPA 时,身份验证请求将绑定到客户端尝试连接到的服务器的服务主体名称 (SPN) 以及 IWA 身份验证所通过的外部传输层安全性 (TLS) 通道。此更新添加了一个新的注册表项来管理扩展保护:
-
设置注册表 SuppressExtendedProtection 值。
注册表项
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
值
SuppressExtendedProtection
类型
REG_DWORD
数据
0 启用保护技术。
1 扩展保护已禁用。 3 扩展保护被禁用,并且 Kerberos 发送的通道绑定也被禁用,即使应用程序提供了它们也是如此。默认值:0x0
备注 Microsoft 网站上的 非 Windows NTLM 或 Kerberos 服务器的身份验证失败 主题中描述了默认启用 EPA 时出现的问题。
-
设置注册表 LmCompatibilityLevel 值。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel 到 3. 这是启用 NTLMv2 身份验证的现有密钥。 此项仅适用于 NTLMv2、Kerberos、摘要和协商身份验证协议,不适用于 NTLMv1。
备注 在 Windows 计算机上设置 SuppressExtendedProtection 和 LmCompatibilityLevel 注册表值后,必须重新启动计算机。
启用扩展保护
备注 默认情况下,扩展保护和 NTLMv2 均在所有受支持的 Windows 版本中启用。 可以使用本指南来验证情况。
重要说明 此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的更多信息,请单击下面的文章编号查看 Microsoft 知识库中相应的文章:
-
KB322756 如何在 Windows 中备份和还原注册表
若要在下载并安装平台的安全更新后自行启用扩展保护,请执行以下步骤:
-
启动注册表编辑器。 为此,单击“开始”,然后单击“运行”,在“打开”对话框中键入 regedit,然后单击“确定”。
-
找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
验证注册表值 SuppressExtendedProtection 和 LmCompatibilityLevel 是否存在。
如果注册表值不存在,请按照下列步骤创建它们:-
选择步骤 2 中列出的注册表子项后,在 “编辑” 菜单上,指向 “新建”,然后单击 “DWORD 值”。
-
键入 SuppressExtendedProtection,然后按 Enter。
-
选择步骤 2 中列出的注册表子项后,在 “编辑” 菜单上,指向 “新建”,然后单击 “DWORD 值”。
-
键入 LmCompatibilityLevel,然后按 Enter。
-
-
单击以选择 SuppressExtendedProtection 注册表值。
-
在“编辑”菜单上,单击“修改”。
-
在“数值数据”框中,键入 0,然后单击“OK”。
-
单击以选择 LmCompatibilityLevel 注册表值。
-
在“编辑”菜单上,单击“修改”。
注意 此步骤更改 NTLM 身份验证要求。 请查看 Microsoft 知识库中的以下文章,确保熟悉此行为。KB239869 如何启用 NTLM 2 身份验证
-
在“数值数据”框中,键入 3,然后单击“OK”。
-
退出注册表编辑器。
-
如果在 Windows 计算机上进行这些更改,则必须在更改生效之前重新启动计算机。