Porady dotyczące zabezpieczeń

Porady dotyczące zabezpieczeń firmy Microsoft 973811

Ochrona rozszerzona na potrzeby uwierzytelniania

Opublikowano: 11 sierpnia 2009 r. | Zaktualizowano: 08 stycznia 2013 r.

Wersja: 1.14

Firma Microsoft ogłasza dostępność nowej funkcji rozszerzonej ochrony uwierzytelniania na platformie Windows. Ta funkcja zwiększa ochronę i obsługę poświadczeń podczas uwierzytelniania połączeń sieciowych przy użyciu zintegrowanego uwierzytelniania systemu Windows (IWA).

Sama aktualizacja nie zapewnia bezpośredniej ochrony przed określonymi atakami, takimi jak przekazywanie poświadczeń, ale umożliwia aplikacjom korzystanie z rozszerzonej ochrony na potrzeby uwierzytelniania. Ten poradnik zawiera informacje dla deweloperów i administratorów systemu na temat tej nowej funkcji oraz sposobu jej wdrażania w celu ochrony poświadczeń uwierzytelniania.

Czynniki korygujące:

• Aplikacje korzystające z podpisywania sesji i szyfrowania (takie jak zdalne wywołanie procedury (RPC) z prywatnością i integralnością lub blok komunikatów serwera (SMB) z włączonym podpisywaniem) nie mają wpływu na przekazywanie poświadczeń.

Informacje ogólne

Omówienie

Cel porad: Ten poradnik został wydany, aby ogłosić klientom wydanie aktualizacji niezwiązanej z zabezpieczeniami, aby udostępnić nową funkcję Rozszerzoną ochronę na potrzeby uwierzytelniania na platformie Windows.

Stan porady: Opublikowany poradnik.

Zalecenie: Przejrzyj sugerowane akcje i skonfiguruj odpowiednio.

Informacje	Identyfikator
Artykuł z bazy wiedzy Microsoft Knowledge Base	973811 artykułu bazy wiedzy Microsoft Knowledge Base

Ten poradnik ogłasza wydanie tej funkcji dla następujących platform.

Oprogramowanie, którego dotyczy problem
Windows XP z dodatkiem Service Pack 2 i Windows XP z dodatkiem Service Pack 3\ systemu Windows XP dla systemów opartych na x64 i Windows XP dla systemów z dodatkiem Service Pack 3 opartych na x64
Windows Server 2003 z dodatkiem Service Pack 2\ Windows Server 2003 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2\ systemu Windows Server 2003 dla systemów itanium i Windows Server 2003 dla systemów opartych na itanium z dodatkiem Service Pack 2
Windows Vista, Windows Vista z dodatkiem Service Pack 1 i Windows Vista z dodatkiem Service Pack 2\ dla systemów opartych na x64, Windows Vista dla systemów opartych na x64 i Windows Vista dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2
Windows Server 2008 for 32-bit systems and Windows Server 2008 for 32-bit systems Service Pack 2\ Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2\ Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Oprogramowanie, którego nie dotyczy problem
System Windows 7 dla systemów 32-bitowych\ Windows 7 dla systemów opartych na architekturze x64
Windows Server 2008 R2 dla systemów opartych na architekturze x64\ Windows Server 2008 R2 dla systemów opartych na itanium

Często zadawane pytania

Jaki jest zakres porad?
Firma Microsoft wydała ten poradnik, aby ogłosić wydanie nowej funkcji Rozszerzonej ochrony na potrzeby uwierzytelniania jako aktualizację interfejsu SSPI systemu Windows, aby ułatwić rozwiązywanie problemów z przekazywaniem poświadczeń.

Czy jest to luka w zabezpieczeniach, która wymaga od firmy Microsoft wydania aktualizacji zabezpieczeń?
Nie, nie jest to luka w zabezpieczeniach, która wymaga od firmy Microsoft wydania aktualizacji zabezpieczeń. Ta funkcja wymaga opcjonalnej konfiguracji, którą niektórzy klienci mogą wybrać do wdrożenia. Włączenie tej funkcji nie jest odpowiednie dla wszystkich klientów. Aby uzyskać więcej informacji na temat tej funkcji i sposobu jej odpowiedniego konfigurowania, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 973811. Ta funkcja jest już dostępna w systemach Windows 7 i Windows Server 2008 R2.

Co to jest rozszerzona ochrona uwierzytelniania systemu Windows?
Aktualizacja artykułu bazy wiedzy Microsoft Knowledge Base 968389 modyfikuje interfejs SSPI w celu ulepszenia sposobu działania uwierzytelniania systemu Windows, dzięki czemu poświadczenia nie są łatwo przekazywane po włączeniu zintegrowanego uwierzytelniania systemu Windows (IWA).

Po włączeniu rozszerzonej ochrony uwierzytelniania żądania uwierzytelniania są powiązane zarówno z główną nazwą usługi (SPN) serwera, z którym klient próbuje nawiązać połączenie i z zewnętrznym kanałem protokołu Transport Layer Security (TLS), za pośrednictwem którego odbywa się uwierzytelnianie IWA. Jest to aktualizacja podstawowa, która umożliwia aplikacjom korzystanie z nowej funkcji.

Przyszłe aktualizacje zmodyfikują poszczególne składniki systemu, które wykonują uwierzytelnianie za pomocą IWA, aby składniki używały tego mechanizmu ochrony. Klienci muszą zainstalować zarówno artykuł bazy wiedzy Microsoft Knowledge Base 968389 aktualizacji, jak i odpowiednie aktualizacje specyficzne dla aplikacji klienckich i serwerów, na których należy aktywować rozszerzoną ochronę uwierzytelniania. Podczas instalacji rozszerzona ochrona uwierzytelniania jest kontrolowana na kliencie za pomocą kluczy rejestru. Na serwerze konfiguracja jest specyficzna dla aplikacji.

Jakie inne działania firma Microsoft podejmuje w celu zaimplementowania tej funkcji?

W celu zapewnienia zgody na tę nową technologię ochrony należy wprowadzić zmiany w określonych aplikacjach serwerowych i klienckich korzystających ze zintegrowanego uwierzytelniania systemu Windows (IWA).

Aktualizacje wydane przez firmę Microsoft 11 sierpnia 2009 r. to:

• Artykuł bazy wiedzy Microsoft Knowledge Base 968389 implementuje rozszerzoną ochronę uwierzytelniania w interfejsie dostawcy obsługi Zabezpieczenia Windows (SSPI). Ta aktualizacja umożliwia aplikacjom korzystanie z rozszerzonej ochrony na potrzeby uwierzytelniania.
• Biuletyn zabezpieczeń firmy Microsoft MS09-042 zawiera również dogłębną aktualizację niezwiązaną z zabezpieczeniami, która umożliwia klientowi i serwerowi Telnet wybranie rozszerzonej ochrony na potrzeby uwierzytelniania.

Aktualizacja wydana przez firmę Microsoft 13 października 2009 r. to:

• Biuletyn zabezpieczeń firmy Microsoft MS09-054 zawiera dogłębną aktualizację niezwiązaną z zabezpieczeniami, która umożliwia usłudze WinINET wybranie rozszerzonej ochrony na potrzeby uwierzytelniania.

Aktualizacje wydane przez firmę Microsoft 8 grudnia 2009 r. to:

• Artykuł bazy wiedzy Microsoft Knowledge Base 971737 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia interfejsowi API usług HTTP systemu Windows (WinHTTP) wybranie rozszerzonej ochrony na potrzeby uwierzytelniania.
• Artykuł 970430 bazy wiedzy Microsoft Knowledge Base zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia stosowi protokołu HTTP (http.sys) wyrażenie zgody na rozszerzoną ochronę uwierzytelniania.
• Artykuł bazy wiedzy Microsoft Knowledge Base 973917 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia usługom Internet Information Services (IIS) korzystanie z rozszerzonej ochrony na potrzeby uwierzytelniania. Ta aktualizacja została wydana ponownie 9 marca 2010 r. Aby uzyskać więcej informacji, zobacz Znane problemy w artykule bazy wiedzy Microsoft Knowledge Base 973917.

Aktualizacje wydane przez firmę Microsoft 8 czerwca 2010 r. to:

• Artykuł bazy wiedzy Microsoft Knowledge Base 982532 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia programowi .NET Framework 2.0 z dodatkiem Service Pack 2 w systemie Windows Vista z dodatkiem Service Pack 1 włączenie rozszerzonej ochrony na potrzeby uwierzytelniania.
• Artykuł bazy wiedzy Microsoft Knowledge Base 982533 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia programowi .NET Framework 2.0 z dodatkiem Service Pack 2 w systemie Windows Vista z dodatkiem Service Pack 2 możliwość włączenia rozszerzonej ochrony na potrzeby uwierzytelniania.
• Artykuł bazy wiedzy Microsoft Knowledge Base 982535 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia programowi .NET Framework 2.0 Service Pack 2 + 3.0 z dodatkiem Service Pack 2 w dodatku Service Pack 1 systemu Windows Vista, aby wyrazić zgodę na rozszerzoną ochronę na potrzeby uwierzytelniania.
• Artykuł bazy wiedzy Microsoft Knowledge Base 982536 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia programowi .NET Framework 2.0 Service Pack 2 + 3.0 dodatek Service Pack 2 w dodatku Service Pack 2 systemu Windows Vista do włączenia rozszerzonej ochrony na potrzeby uwierzytelniania.
• Artykuł bazy wiedzy Microsoft Knowledge Base 982167 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia korzystanie z programu .NET Framework 2.0 z dodatkiem Service Pack 2 w systemach Windows XP i Windows Server 2003 w celu włączenia rozszerzonej ochrony na potrzeby uwierzytelniania.
• Artykuł bazy wiedzy Microsoft Knowledge Base 982168 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia programom .NET Framework 2.0 Service Pack 2 + 3.0 z dodatkiem Service Pack 2 w systemach Windows XP i Windows Server 2003, aby wyrazić zgodę na rozszerzoną ochronę na potrzeby uwierzytelniania.

Aktualizacja wydana przez firmę Microsoft 14 września 2010 r. to:

• Artykuł bazy wiedzy Microsoft Knowledge Base 2141007 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia programom Outlook Express i Windows Mail wybranie rozszerzonej ochrony na potrzeby uwierzytelniania.

Aktualizacja wydana przez firmę Microsoft 12 października 2010 r. to:

• Artykuł bazy wiedzy Microsoft Knowledge Base 2345886 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia blokowi komunikatów systemu Windows Server (SMB) wybranie rozszerzonej ochrony na potrzeby uwierzytelniania.

Aktualizacja wydana przez firmę Microsoft 29 grudnia 2010 r. to:

• Nowa wersja portalu usługi spotkania Microsoft® Office Live umożliwia mu obsługę rozszerzonej ochrony na potrzeby uwierzytelniania.

Aktualizacja wydana przez firmę Microsoft 12 kwietnia 2011 r. to:

• Artykuł bazy wiedzy Microsoft Knowledge Base 2509470 zawiera aktualizację niezwiązaną z zabezpieczeniami, która umożliwia programowi Microsoft Outlook wybranie rozszerzonej ochrony na potrzeby uwierzytelniania.

Rozwiązania Microsoft Fix it wydane przez firmę Microsoft 8 stycznia 2013 r. to:

• Artykuł bazy wiedzy Microsoft Knowledge Base 2793313 zawiera rozwiązania microsoft Fix it , które ustawiają systemy Windows XP i Windows Server 2003 na zezwalanie tylko NTLMv2. Zastosowanie tych rozwiązań rozwiązania Microsoft Fix it umożliwia użytkownikom systemu Windows XP i Windows Server 2003 korzystanie z rozszerzonej ochrony na potrzeby uwierzytelniania za pomocą ustawień NTLMv2 wymaganych przez użytkowników systemu Windows XP i Windows Server 2003.

Firma Microsoft planuje rozszerzenie zasięgu, publikując przyszłe aktualizacje, które będą obejmować dodatkowe aplikacje klienckie i serwer firmy Microsoft w tych mechanizmach ochrony. Ten biuletyn zabezpieczeń zostanie zmieniony, aby zawierał zaktualizowane informacje po wydaniu takich aktualizacji.

Jak deweloperzy mogą osadzać tę technologię ochrony w swoich aplikacjach?

Deweloperzy mogą znaleźć więcej informacji na temat korzystania z technologii Rozszerzonej ochrony dla uwierzytelniania w następującym artykule MSDN Integrated Windows Authentication with Extended Protection (Zintegrowane uwierzytelnianie systemu Windows z rozszerzoną ochroną).

Jak mogę włączyć tę funkcję?

Na kliencie muszą zaimplementować następujące ustawienia klucza rejestru.

Szczegółowe instrukcje dotyczące włączania tego klucza rejestru można znaleźć w artykule z bazy wiedzy Microsoft Knowledge Base 968389.

• Ustaw klucz HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection na wartość 0, aby włączyć technologię ochrony. Domyślnie ten klucz jest ustawiony na 1 podczas instalacji, wyłączając ochronę.
• Ustaw klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel na wartość 3. Nie jest to ustawienie domyślne w systemach Windows XP i Windows Server 2003. Jest to istniejący klucz, który umożliwia uwierzytelnianie NTLMv2. Rozszerzona ochrona uwierzytelniania systemu Windows dotyczy tylko protokołów uwierzytelniania NTLMv2 i Kerberos i nie ma zastosowania do NTLMv1. Więcej informacji na temat wymuszania uwierzytelniania NTLMv2 i tego klucza można znaleźć w artykule z bazy wiedzy Microsoft Knowledge Base 239869.

Na serwerze należy włączyć rozszerzoną ochronę uwierzytelniania dla poszczególnych usług. W poniższym omówieniu pokazano, jak włączyć rozszerzoną ochronę dla uwierzytelniania na typowych protokołach, dla których jest ona obecnie dostępna:

Telnet (KB960859)

W przypadku programu Telnet można włączyć rozszerzoną ochronę uwierzytelniania na serwerze, tworząc klucz rejestru DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection. Wartość domyślna tego klucza to Starsza wersja. Ustaw klucz na jedną z następujących wartości:

• Starsza wersja: ustawiając wartość DWORD na 0, rozszerzona ochrona uwierzytelniania zostanie wyłączona na serwerze i żadne połączenia, nawet dla zaktualizowanych i poprawnie skonfigurowanych klientów, będą chronione przed atakami przekazywania poświadczeń.
• Zezwalaj na rozszerzoną ochronę: ustawiając wartość DWORD na 1, serwer będzie chronić te komputery klienckie, które zostały skonfigurowane do korzystania z mechanizmu rozszerzonej ochrony na potrzeby uwierzytelniania przed atakami przekazywania poświadczeń. Klienci, którzy nie zostali zaktualizowani i poprawnie skonfigurowani, nie będą chronieni.
• Wymagaj rozszerzonej ochrony: ustawiając wartość DWORD na 2, serwer będzie wymagać od klientów obsługi rozszerzonej ochrony na potrzeby uwierzytelniania lub w przeciwnym razie odmówi uwierzytelniania. Klienci, którzy nie mają włączonej rozszerzonej ochrony, nie będą mogli uwierzytelniać się na serwerze.

Szczegółowe instrukcje dotyczące tworzenia tego klucza rejestru można znaleźć w artykule 960859 bazy wiedzy Microsoft Knowledge Base.

Internet Information Services (KB973917)

W przypadku usług Internet Information Services można włączyć rozszerzoną ochronę uwierzytelniania na serwerze za pomocą programu IIS Configuration Manager lub bezpośrednio edytując plik konfiguracji ApplicationHost.Config. Szczegółowe informacje na temat konfigurowania usług IIS można znaleźć w artykule z bazy wiedzy Microsoft Knowledge Base 973917.

Co należy wiedzieć podczas wdrażania rozszerzonej ochrony na potrzeby uwierzytelniania?

Klienci muszą zainstalować aktualizację zawartą w artykule bazy wiedzy Microsoft Knowledge Base 968389, zainstalować odpowiednie aktualizacje aplikacji na komputerach klienckich i serwerach oraz poprawnie skonfigurować oba komputery do korzystania z mechanizmu ochrony w celu ochrony przed atakami przesyłania poświadczeń.

Po włączeniu rozszerzonej ochrony uwierzytelniania po stronie klienta jest ona włączona dla wszystkich aplikacji korzystających z usługi IWA. Jednak na serwerze musi być włączony dla poszczególnych aplikacji.

Dlaczego nie jest to aktualizacja zabezpieczeń ogłoszona w biuletynie zabezpieczeń?
Ta aktualizacja implementuje nową funkcję, która może nie być odpowiednia dla wszystkich klientów do włączenia. Zapewnia dodatkową funkcję zabezpieczeń, którą klienci mogą wybrać do wdrożenia w oparciu o ich konkretny scenariusz.

Jest to biuletyn zabezpieczeń dotyczący aktualizacji niezwiązanej z zabezpieczeniami. Czy to nie jest sprzeczność?
Biuletyny zabezpieczeń dotyczą zmian zabezpieczeń, które mogą nie wymagać biuletynu zabezpieczeń, ale nadal mogą mieć wpływ na ogólne zabezpieczenia klienta. Biuletyny zabezpieczeń to sposób, aby firma Microsoft komunikowała klientom informacje dotyczące zabezpieczeń dotyczące problemów, które mogą nie być klasyfikowane jako luki w zabezpieczeniach i mogą nie wymagać biuletynu zabezpieczeń lub problemów, dla których nie wydano biuletynu zabezpieczeń. W takim przypadku komunikujemy dostępność aktualizacji, która nie dotyczy określonej luki w zabezpieczeniach; zamiast tego zajmuje się ogólnymi zabezpieczeniami.

W jaki sposób ta aktualizacja jest oferowana?
Te aktualizacje są dostępne w Centrum pobierania Microsoft. Bezpośrednie linki do aktualizacji określonego oprogramowania, którego dotyczy problem, są wymienione w tabeli Oprogramowania, którego dotyczy problem, w sekcji Przegląd. Aby uzyskać więcej informacji na temat aktualizacji i zmian zachowania, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 968389.

Czy ta aktualizacja jest dystrybuowana w przypadku aktualizacji automatycznej?
Tak. Te aktualizacje są dystrybuowane za pośrednictwem mechanizmu automatycznej aktualizacji.

Jakie wersje systemu Windows są skojarzone z tym poradnikiem?
Funkcja rozwiązana w tym poradniku jest udostępniana dla wszystkich platform wymienionych w podsumowaniu oprogramowania, którego dotyczy problem. Ta funkcja jest dostępna we wszystkich wersjach systemów Windows 7 i Windows Server 2008 R2.

Czy firma Microsoft zna szczegółowe informacje i narzędzia do ataków na sieci NTLMv1 (NT LAN Manager w wersji 1) i uwierzytelniania sieciowego programu LAN Manager (LM)?
Tak. Firma Microsoft jest świadoma szczegółowych informacji i narzędzi do ataków na sieci NTLMv1 (NT LAN Manager w wersji 1) i uwierzytelniania sieciowego programu LAN Manager (LM). Ulepszenia algorytmów sprzętu i oprogramowania komputerowego sprawiły, że te protokoły były podatne na powszechnie publikowane ataki na uzyskiwanie haseł użytkowników. Informacje i dostępne zestawy narzędzi przeznaczone specjalnie dla środowisk docelowych, które nie wymuszają uwierzytelniania NTLMv2.

Szczegółowe informacje na temat zagrożeń i środków zaradczych dotyczących zabezpieczeń sieci systemu Windows i poziomu uwierzytelniania programu LAN Manager są dostępne w witrynie Microsoft TechNet w przewodniku zagrożeń i środków zaradczych.

Firma Microsoft zdecydowanie zachęca klientów do oceny swoich środowisk i aktualizowania ustawień uwierzytelniania sieciowego. Firma Microsoft zaleca zaimplementowanie protokołu NTLMv2 i zaimplementowanie ustawień w celu zmniejszenia lub wyeliminowania korzystania z uwierzytelniania sieciowego NTLMv1 i LM.

Sugerowane akcje

• Zapoznaj się z artykułem bazy wiedzy Microsoft Knowledge Base skojarzonym z tym poradnikiem
  Klienci, którzy chcą dowiedzieć się więcej na temat tej funkcji, powinni zapoznać się z artykułem bazy wiedzy Microsoft Knowledge Base 973811.

• Zastosuj i włącz aktualizacje niezwiązane z zabezpieczeniami wymienione w tym biuletynie zabezpieczeń
  Klienci powinni przejrzeć listę aktualizacji niezwiązanych z zabezpieczeniami i zabezpieczeń, które firma Microsoft wydała w ramach tej aktualizacji zabezpieczeń, oraz w razie potrzeby wdrożyć i skonfigurować te mechanizmy. Listę dostępnych aktualizacji można znaleźć w sekcji Jakie inne akcje podejmuje firma Microsoft w celu zaimplementowania tej funkcji? w sekcji Często zadawane pytania tego poradnika.

• Zastosuj rozwiązania Microsoft Fix it opisane w artykule microsoft Knowledge Base 2793313
  Firma Microsoft zaleca, aby środowiska z systemami Windows XP i Windows Server 2003 zezwalały tylko na NTLMv2. Można to zrobić, ustawiając poziom uwierzytelniania programu LAN Manager na 3 lub wyższy. Aby uzyskać więcej informacji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 2793313, aby uzyskać więcej informacji i użyć zautomatyzowanych rozwiązań microsoft Fix it , które ustawiają te systemy tak, aby zezwalały tylko na używanie protokołu NTLMv2. Zastosowanie tych rozwiązań Microsoft Fix it umożliwia również użytkownikom korzystanie z rozszerzonej ochrony na potrzeby uwierzytelniania za pomocą ustawień NTLMv2 wymaganych przez użytkowników.

• Ochrona komputera
  Zachęcamy klientów do przestrzegania naszych wskazówek dotyczących włączania zapory, pobierania aktualizacji oprogramowania i instalowania oprogramowania antywirusowego przez klientów. Klienci mogą dowiedzieć się więcej o tych krokach, odwiedzając stronę Ochrona komputera. Aby uzyskać więcej informacji o zachowaniu bezpieczeństwa w Internecie, klienci powinni odwiedzić usługę Microsoft Security Central.

• Zachowaj aktualizację systemu Windows
  Wszyscy użytkownicy systemu Windows powinni zastosować najnowsze aktualizacje zabezpieczeń firmy Microsoft, aby upewnić się, że ich komputery są tak chronione, jak to możliwe. Jeśli nie masz pewności, czy oprogramowanie jest aktualne, odwiedź witrynę Windows Update, przeskanuj komputer pod kątem dostępnych aktualizacji i zainstaluj wszystkie oferowane aktualizacje o wysokim priorytcie. Jeśli włączono automatyczne Aktualizacje, aktualizacje są dostarczane po ich wydaniu, ale musisz się upewnić, że je zainstalujesz.

Obejścia

Istnieje wiele obejść, które pomagają chronić systemy przed odbiciem poświadczeń lub przekazywaniem poświadczeń. Firma Microsoft przetestowała następujące obejścia. Chociaż te obejścia nie poprawią bazowej luki w zabezpieczeniach, pomagają blokować znane wektory ataków. Jeśli obejście zmniejsza funkcjonalność, zostanie zidentyfikowana w poniższej sekcji.

Włączanie podpisywania protokołu SMB

Włączenie logowania SMB na serwerze uniemożliwia atakującemu uzyskanie dostępu do serwera w kontekście zalogowanego użytkownika. Pomaga to chronić przed przekazywaniem poświadczeń do usługi SMB. Firma Microsoft zaleca używanie zasad grupy do konfigurowania podpisywania protokołu SMB.

Aby uzyskać szczegółowe instrukcje dotyczące włączania i wyłączania podpisywania protokołu SMB dla systemów Microsoft Windows 2000, Windows XP i Windows Server 2003, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 887429. Instrukcje zawarte w artykule bazy wiedzy Microsoft Knowledge Base 887429 dla systemów Windows XP i Windows Server 2003 dotyczą również systemów Windows Vista i Windows Server 2008.

Wpływ obejścia: użycie podpisywania pakietów SMB może obniżyć wydajność przy użyciu protokołu SMBv1 w przypadku transakcji usługi plików. Komputery z tym zestawem zasad nie będą komunikować się z komputerami, które nie mają włączonego podpisywania pakietów po stronie klienta. Aby uzyskać więcej informacji na temat podpisywania protokołu SMB i potencjalnego wpływu, zobacz artykuł MSDN "Microsoft network server: Digitally sign communications (zawsze)".

Inne informacje

Podziękowania

Firma Microsoft dziękuje za współpracę z nami w celu ochrony klientów:

• Mark Gamache z T-Mobile USA do współpracy z nami w celu ochrony klientów przed atakami na NTLMv1 (NT LAN Manager w wersji 1) i uwierzytelnianie sieci LAN Manager (LM)

Zasoby

• Możesz przekazać opinię, wypełniając formularz, odwiedzając stronę Pomoc i obsługa techniczna firmy Microsoft: Skontaktuj się z nami.
• Klienci w Stany Zjednoczone i Kanadzie mogą otrzymywać pomoc techniczną od działu pomocy technicznej ds. zabezpieczeń. Aby uzyskać więcej informacji na temat dostępnych opcji pomocy technicznej, zobacz Pomoc i obsługa techniczna firmy Microsoft.
• Klienci międzynarodowi mogą otrzymywać pomoc techniczną od swoich lokalnych spółek zależnych firmy Microsoft. Aby uzyskać więcej informacji na temat kontaktowania się z firmą Microsoft w celu uzyskania międzynarodowych problemów z pomocą techniczną, odwiedź stronę Międzynarodowa pomoc techniczna.
• Microsoft TechNet Security zawiera dodatkowe informacje na temat zabezpieczeń w produktach firmy Microsoft.

Zastrzeżenie

Informacje podane w tym poradniku są dostarczane "tak, jak jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.

Poprawki

• Wersja 1.0 (11 sierpnia 2009 r.): Poradnik opublikowany.
• Wersja 1.1 (14 października 2009 r.): Zaktualizowano często zadawane pytania o informacje o aktualizacji niezwiązanej z zabezpieczeniami zawartej w ms09-054 odnoszącej się do winINET.
• Wersja 1.2 (8 grudnia 2009 r.): Zaktualizowano często zadawane pytania o trzy aktualizacje niezwiązane z zabezpieczeniami dotyczące usług HTTP systemu Windows, stosu protokołu HTTP i internetowych usług informacyjnych.
• Wersja 1.3 (9 marca 2010 r.): Zaktualizowano często zadawane pytania, aby ogłosić ponowną wersję aktualizacji, która umożliwia usługom Internet Information Services wybranie rozszerzonej ochrony na potrzeby uwierzytelniania. Aby uzyskać więcej informacji, zobacz Znane problemy w artykule bazy wiedzy Microsoft Knowledge Base 973917.
• Wersja 1.4 (14 kwietnia 2010 r.): Zaktualizowano sekcję Sugerowane akcje , aby skierować klientów do wpisu "Jakie inne działania firma Microsoft podejmuje w celu zaimplementowania tej funkcji?" w sekcji Często zadawane pytania.
• Wersja 1.5 (8 czerwca 2010 r.): Zaktualizowano często zadawane pytania o informacje o sześciu aktualizacjach niezwiązanych z zabezpieczeniami, dzięki czemu program .NET Framework może zdecydować się na rozszerzoną ochronę na potrzeby uwierzytelniania.
• Wersja 1.6 (14 września 2010 r.): Zaktualizowano często zadawane pytania z informacjami na temat aktualizacji niezwiązanej z zabezpieczeniami, aby umożliwić programom Outlook Express i Windows Mail wybranie rozszerzonej ochrony na potrzeby uwierzytelniania.
• Wersja 1.7 (12 października 2010 r.): Zaktualizowano często zadawane pytania z informacjami na temat aktualizacji niezwiązanej z zabezpieczeniami, aby włączyć opcję rozszerzonej ochrony na potrzeby uwierzytelniania.
• Wersja 1.8 (14 grudnia 2010 r.): Zaktualizowano często zadawane pytania o informacje o aktualizacji niezwiązanej z zabezpieczeniami, co umożliwi programowi Microsoft Outlook wybranie rozszerzonej ochrony na potrzeby uwierzytelniania.
• Wersja 1.9 (17 grudnia 2010 r.): Usunięto wpis Często zadawane pytania, pierwotnie dodano 14 grudnia 2010 r. o aktualizacji niezwiązanej z zabezpieczeniami, co umożliwi programowi Microsoft Outlook wybranie rozszerzonej ochrony na potrzeby uwierzytelniania.
• Wersja 1.10 (11 stycznia 2011 r.): Zaktualizowano często zadawane pytania o informacje o nowej wersji umożliwiającej Microsoft® Office Live portalowi usługi spotkań, aby wyrazić zgodę na rozszerzoną ochronę uwierzytelniania.
• Wersja 1.11 (12 stycznia 2011 r.): Poprawiono link do informacji o wersji Microsoft® Office Live Portal usługi spotkań w często zadawanych pytaniach.
• Wersja 1.12 (12 kwietnia 2011 r.): Zaktualizowano często zadawane pytania o informacje o aktualizacji niezwiązanej z zabezpieczeniami, co umożliwi programowi Microsoft Outlook wybranie rozszerzonej ochrony na potrzeby uwierzytelniania.
• Wersja 1.13 (31 października 2012 r.): Poprawiono czynniki korygujące.
• Wersja 1.14 (8 stycznia 2013 r.): Zaktualizowano często zadawane pytania i sugerowane akcje z informacjami o atakach na sieci NTLMv1 (NT LAN Manager w wersji 1) i uwierzytelnianie sieciowe programu LAN Manager (LM). Rozwiązania microsoft Fix it dla systemów Windows XP i Windows Server 2003 są dostępne w celu ochrony przed tymi atakami. Zastosowanie tych rozwiązań Microsoft Fix it umożliwia użytkownikom korzystanie z rozszerzonej ochrony na potrzeby uwierzytelniania za pomocą ustawień NTLMv2 wymaganych przez użytkowników.

Zbudowany pod adresem 2014-04-18T13:49:36Z-07:00