注册和安装安全包的限制

删除、替换或包装收件箱安全包 (例如，Kerberos 或 NTLM) 在 Windows 中不受支持，从 2017 年 1 月 10 日起，将阻止此操作。 可以添加第三方安全包 (SSP/AP) ;但是，Windows 不支持删除预配置的 SSP/AP。 具体而言，从未支持编辑 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages 注册表设置。

从 Windows 8.1 开始，想要提供其他功能的客户可以使用注册表设置 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages (注册 SSP/AP DLL) 添加其安全包，以及关联的注册表设置 SecurityProviders (编写和安装安全支持提供程序) （如果适用）。 此外， 安全包 的目的是实现新的 安全协议 ，这些协议可以是安全支持提供程序 (SSP) 或 身份验证包 (AP) 。 SSP 的目的是提供系统中尚不支持的 经过身份验证的连接、 消息完整性和 消息加密服务 ，而 AP 用于添加用于确定是否允许用户登录的新 身份验证逻辑 。

Microsoft 在客户安全性方面投入了大量资金，并试图确保 SSP 和 AP 等关键流程不容易从系统中删除。 因此，HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages 注册表设置从 Windows 8.1 开始受到限制，以防止更改。 为了方便第三方安全包， HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages 成为自定义 SSP/AP 的指定设置。 进一步建议从此类自定义 SSP/AP 中删除 Microsoft 定义的安全包范围之外的任何自定义 SSP/AP 中的任何功能，并且任何产品都不会删除收件箱安全包。