Поделиться через

Ограничения на регистрацию и установку пакета безопасности

  • Статья

Удаление, замена или упаковка пакетов безопасности для папки "Входящие" (например, Kerberos или NTLM) не поддерживается в Windows, и с 10 января 2017 г. оно запрещено. Можно добавить сторонние пакеты безопасности (SSP/APS); Однако Windows не поддерживает удаление предварительно настроенных SSP/APs. В частности, изменение параметра реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages никогда не поддерживалось.

Начиная с Windows 8.1, клиенты, которые хотят предоставить дополнительные функциональные возможности, могут добавлять свои пакеты безопасности с помощью параметра реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages (Регистрация библиотек DLL SSP/AP) и связанного параметра реестра SecurityProviders (Запись и установка поставщика поддержки безопасности), если применимо. Кроме того, целью пакетов безопасности является реализация новых протоколов безопасности , которые могут быть в виде поставщика поддержки безопасности (SSP) или пакета проверки подлинности (AP). Целью поставщика общих служб является предоставление прошедших проверку подлинности подключений, целостности сообщений и служб шифрования сообщений , которые еще не поддерживаются в системе, в то время как AP используется для добавления новой логики проверки подлинности , используемой для определения разрешения пользователю на вход.

Корпорация Майкрософт инвестирует в безопасность клиентов и пытается обеспечить, чтобы критически важные процессы, такие как SSP и точки доступа, не были легко удалены из системы. Таким образом, параметр реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages был ограничен начиная с Windows 8.1, чтобы предотвратить изменения в нем. Чтобы упростить сторонние пакеты безопасности, HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages был сделан назначенным параметром для пользовательских SSP/APs. Кроме того, рекомендуется удалить все функциональные возможности пользовательских SSP/APS, которые находятся вне область пакетов безопасности, определенных корпорацией Майкрософт, из таких пользовательских SSP/APs, а также чтобы пакеты безопасности для папки "Входящие" не были удалены каким-либо продуктом.