Введение
Майкрософт объявляет о доступности новой функции расширенной защиты для проверки подлинности (EPA) на платформе Windows. Эта функция повышает защиту и обработку учетных данных при проверке подлинности сетевых подключений с помощью встроенной проверки подлинности Windows (IWA).
Само обновление не обеспечивает непосредственной защиты от конкретных атак, таких как переадресация учетных данных, но позволяет приложениям согласиться на EPA. Эта рекомендация содержит сведения для разработчиков и системных администраторов об этой новой функции и о том, как ее можно развернуть для защиты учетных данных проверки подлинности.
Дополнительные сведения см. в 973811 Майкрософт рекомендаций по безопасности.
Дополнительные сведения
Это обновление для системы безопасности изменяет интерфейс поставщика поддержки безопасности (SSPI), чтобы улучшить способ работы проверка подлинности Windows, чтобы при включении IWA не было легко пересылать учетные данные.
Если EPA включен, запросы проверки подлинности привязаны как к именам субъектов-служб (SPN) сервера, к которому клиент пытается подключиться, так и к внешнему каналу TLS, по которому выполняется проверка подлинности IWA.
Обновление добавляет новую запись реестра для управления расширенной защитой:
-
Задайте значение SuppressExtendedProtection реестра.
Раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Значение
SuppressExtendedProtection
Тип
REG_DWORD
Данные
0 Включает технологию защиты.
1 Расширенная защита отключена.
3 Расширенная защита отключена, и привязки каналов, отправленные Kerberos, также отключены, даже если приложение предоставляет их.Значение по умолчанию: 0x0
Примечание Проблема, возникающая при включении EPA по умолчанию, описана в разделе Сбой проверки подлинности с серверов NTLM или Kerberos, отличных от Windows, на веб-сайте Майкрософт.
-
Задайте значение реестра LmCompatibilityLevel .
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel к 3. Это существующий ключ, который включает проверку подлинности NTLMv2. EPA применяется только к протоколам проверки подлинности NTLMv2, Kerberos, дайджесту и согласованию и не применяется к NTLMv1.
Примечание Компьютер необходимо перезагрузить после установки значений реестра SuppressExtendedProtection и LmCompatibilityLevel на компьютере с Windows.
Включение расширенной защиты
Примечание По умолчанию расширенная защита и NTLMv2 включены во всех поддерживаемых версиях Windows. Вы можете использовать это руководство, чтобы убедиться, что это так.
Важно! В этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы тщательно выполняете эти действия. Чтобы добавить защиту, создайте резервную копию реестра перед его изменением. Затем можно восстановить реестр в случае возникновения проблемы. Чтобы получить дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
-
KB322756 Резервное копирование и восстановление реестра в Windows
Чтобы включить расширенную защиту самостоятельно после скачивания и установки обновления для системы безопасности для платформы, выполните следующие действия.
-
Запустите редактор реестра. Для этого нажмите кнопку Пуск, нажмите кнопку Выполнить, введите regedit в поле Открыть и нажмите кнопку ОК.
-
Найдите и щелкните следующий подраздел реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Убедитесь, что в реестре имеются значения SuppressExtendedProtection и LmCompatibilityLevel .
Если значения реестра отсутствуют, выполните следующие действия, чтобы создать их:-
Выбрав подраздел реестра, указанный на шаге 2, в меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.
-
Введите SuppressExtendedProtection и нажмите клавишу ВВОД.
-
Выбрав подраздел реестра, указанный на шаге 2, в меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.
-
Введите LmCompatibilityLevel и нажмите клавишу ВВОД.
-
-
Щелкните, чтобы выбрать значение реестра SuppressExtendedProtection .
-
В меню Правка выберите команду Изменить.
-
В поле Значение введите0 и нажмите кнопку ОК.
-
Щелкните, чтобы выбрать значение реестра LmCompatibilityLevel .
-
В меню Правка выберите команду Изменить.
Примечание Этот шаг изменяет требования к проверке подлинности NTLM. Ознакомьтесь со следующей статьей базы знаний Майкрософт, чтобы убедиться, что вы знакомы с этим поведением.KB239869 Включение проверки подлинности NTLM 2
-
В поле Значение введите3 и нажмите кнопку ОК.
-
Закройте редактор реестра.
-
При внесении этих изменений на компьютере с Windows необходимо перезагрузить компьютер, прежде чем изменения вступают в силу.
