Microsofts sikkerhetsveiledning 973811

Artikkel
11/30/2018

Utvidet beskyttelse for godkjenning

Publisert: 11. august 2009 | Oppdatert: 12. april 2011

Versjon: 1.12

Microsoft annonserer tilgjengeligheten til en ny funksjon, utvidet beskyttelse for godkjenning, på Windows-plattformen. Denne funksjonen forbedrer beskyttelsen og håndteringen av legitimasjon ved godkjenning av nettverkstilkoblinger som bruker integrert Windows-godkjenning.

Selve oppdateringen gir ikke direkte beskyttelse mot bestemte angrep, for eksempel videresending av legitimasjon, men den tillater at programmer kan aktivere utvidet beskyttelse for godkjenning. Denne veiledningen gir utviklere og systemadministratorer en innføring i denne nye funksjonaliteten og hvordan den kan distribueres for å bidra til å beskytte godkjenningslegitimasjon.

Begrensende faktorer:

Internet Explorer vil aldri sende legitimasjon automatisk til servere som ligger i Internett-sonen. Dette reduserer risikoen for at legitimasjon kan videresendes av en angriper innen denne sonen.
Programmer som bruker øktpålogging og kryptering (for eksempel Remote Procedure Call (RPC) med personvern og integritet eller servermeldingsblokk (SMB) med pålogging aktivert), er ikke berørt av videresending av legitimasjon.

Generell informasjon

Oversikt

Målet med veiledningen: Denne veiledningen ble utgitt for å informere kunder om utgivelsen av en ikke-sikkerhetsrelatert oppdatering som tilgjengeliggjør en ny funksjon, utvidet beskyttelse for godkjenning, på Windows-plattformen.

Status for veiledningen: Veiledning publisert.

Anbefaling: Les gjennom de foreslåtte handlingene og konfigurer etter behov.

Referanser	Identifisering
Microsoft Knowledge Base-artikkel	Microsoft Knowledge Base-artikkel 973811

Denne veiledningen kunngjør utgivelsen av denne funksjonen for følgende plattformer.

Berørt programvare

Windows XP Service Pack 2 og Windows XP Service Pack 3
Windows XP for x64-baserte systemer Service Pack 2 og Windows XP for x64-baserte systemer Service Pack 3

Windows Server 2003 Service Pack 2
Windows Server 2003 for x64-baserte systemer Service Pack 2
Windows Server 2003 for Itanium-based Systems og Windows Server 2003 for Itanium-based Systems Service Pack 2

Windows Vista, Windows Vista Service Pack 1 og Windows Vista Service Pack 2
Windows Vista for x64-baserte systemer, Windows Vista for x64-baserte systemer Service Pack 1 og Windows Vista for x64-baserte systemer Service Pack 2

Windows Server 2008 for 32-biters systemer og Windows Server 2008 for 32-biters systemer Service Pack 2
Windows Server 2008 for x64-baserte systemer og Windows Server 2008 for x64-baserte systemer Service Pack 2
Windows Server 2008 for Itanium-based Systems og Windows Server 2008 for Itanium-based Systems Service Pack 2

Uberørt programvare

Windows 7 for 32-biters systemer
Windows 7 for x64-baserte systemer

Windows Server 2008 R2 for x64-baserte systemer
Windows Server 2008 R2 for Itanium-based Systems

Vanlige spørsmål

Hva behandles i veiledningen?
Microsoft utgav denne veiledningen for å informere om utgivelsen av en ny funksjon, utvidet beskyttelse for godkjenning, som en oppdatering for Windows SSPI for å løse problemet med videresending av legitimasjon.

Er dette et sikkerhetsproblem som krever at Microsoft gir ut en sikkerhetsoppdatering?
Nei, dette er ikke et sikkerhetsproblem som krever at Microsoft utgir en sikkerhetsoppdatering. Denne funksjonen krever en valgfri konfigurasjon som enkelte kunder kan velge å distribuere. Aktivering av denne funksjonen er ikke aktuelt for alle kunder. Hvis du vil ha mer informasjon om denne funksjonen og hvordan du skal konfigurere den på riktig måte, kan du se Microsoft Knowledge Base-artikkel 973811. Denne funksjonen er allerede inkludert i Windows 7 og Windows Server 2008 R2.

Hva er utvidet beskyttelse for Windows-godkjenning?
Oppdateringen i Microsoft Knowledge Base-artikkel 968389 endrer SSPI for å forbedre måten som Windows-godkjenningen fungerer på, slik at legitimasjon ikke kan videresendes på en enkel måte når integrert Windows-godkjenning er aktivert.

Når utvidet beskyttelse for godkjenning er aktivert, er forespørsler om godkjenning bundet til både SPN-navnet på serveren som klienten prøver å koble seg til, og til den ytre TLS-kanalen som den integrerte Windows-godkjenningen skjer via. Dette er en basisoppdatering som gjør at programmer kan velge å aktivere den nye funksjonen.

Fremtidige oppdateringer endrer individuelle systemkomponenter som utfører integrert Windows-godkjenning slik at komponentene bruker denne beskyttelsesfunksjonaliteten. Kunder må installere både oppdateringen i Microsoft Knowledge Base-artikkel 968389 og de respektive programspesifikke oppdateringene for klientprogrammene og serverne som utvidet beskyttelse for godkjenning må aktiveres på. Ved installasjon kontrolleres utvidet støtte for godkjenning på klienten ved hjelp av bruk av registernøkler. På serveren er konfigurering spesifikk for programmet.

Hvilke andre tiltak setter Microsoft i gang for å implementere denne funksjonen?

Det må gjøres endringer i de spesifikke server- og klientprogrammene som bruker integrert Windows-godkjenning for å sikre at de kan aktivere denne nye beskyttelsesteknologien.

Oppdateringene som utgis av Microsoft den 11. august 2009, er:

Microsoft Knowledge Base-artikkel 968389 implementerer utvidet beskyttelse for godkjenning i SSPI (Windows Security Support Provider Interface). Denne oppdateringen tillater at programmer kan aktivere utvidet beskyttelse for godkjenning.
Microsofts sikkerhetsbulletin MS09-042 inneholder også en ikke-sikkerhetsrelatert dybdeforsvarsoppdatering som gjør det mulig for Telnet-klienten og -serveren å aktivere utvidet beskyttelse for godkjenning.

Oppdateringen som utgis av Microsoft den 13. oktober 2009, er:

Microsofts sikkerhetsbulletin MS09-054 inneholder også en ikke-sikkerhetsrelatert dybdeforsvarsoppdatering som gjør det mulig for WinINET å aktivere utvidet beskyttelse for godkjenning.

Oppdateringene som utgis av Microsoft den 8. desember 2009, er:

Microsoft Knowledge Base-artikkel 971737 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for APIen for Windows HTTP-tjenester (WinHTTP) å aktivere utvidet beskyttelse for godkjenning.
Microsoft Knowledge Base-artikkel 970430 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for HTTP-protokollstakken (http.sys) å aktivere utvidet beskyttelse for godkjenning.
Microsoft Knowledge Base-artikkel 973917 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for Internet Information Services (IIS) å aktivere utvidet beskyttelse for godkjenning. Denne oppdateringen ble publisert på nytt den 9. mars 2010. Hvis du vil ha mer informasjon, kan du se Kjente problemer i Microsoft Knowledge Base-artikkel 973917.

Oppdateringene som utgis av Microsoft den 8. juni 2010, er:

Microsoft Knowledge Base-artikkel 982532 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for .NET Framework 2.0 Service Pack 2 på Windows Vista Service Pack 1 å aktivere utvidet beskyttelse for godkjenning.
Microsoft Knowledge Base-artikkel 982533 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for .NET Framework 2.0 Service Pack 2 på Windows Vista Service Pack 2 å aktivere utvidet beskyttelse for godkjenning.
Microsoft Knowledge Base-artikkel 982535 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 på Windows Vista Service Pack 1 å aktivere utvidet beskyttelse for godkjenning.
Microsoft Knowledge Base-artikkel 982536 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 på Windows Vista Service Pack 2 å aktivere utvidet beskyttelse for godkjenning.
Microsoft Knowledge Base-artikkel 982167 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for .NET Framework 2.0 Service Pack 2 på Windows XP og Windows Server 2003 å aktivere utvidet beskyttelse for godkjenning.
Microsoft Knowledge Base-artikkel 982168 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 på Windows XP og Windows Server 2003 å aktivere utvidet beskyttelse for godkjenning.

Oppdateringen som utgis av Microsoft den 14. september 2010, er:

Microsoft Knowledge Base-artikkel 2141007 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for Outlook Express og Windows Mail å aktivere utvidet beskyttelse for godkjenning.

Oppdateringen som utgis av Microsoft den 12. oktober 2009, er:

Microsoft Knowledge Base-artikkel 2345886 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for SMB (servermeldingsblokk) å aktivere utvidet beskyttelse for godkjenning.

Oppdateringen som ble utgitt av Microsoft den 29. desember 2010, er:

En ny versjon av Microsoft Office Live Meeting Service Portal som har støtte for Utvidet beskyttelse for godkjenning.

Oppdateringen som utgis av Microsoft den 12. oktober 2009, er:

Microsoft Knowledge Base-artikkel 2412171 inneholder en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for Microsoft Outlook å aktivere utvidet beskyttelse for godkjenning.

Microsoft planlegger å utvide dekningen ved å utgi fremtidige oppdateringer som vil inkludere ytterligere server- og klientprogrammer fra Microsoft i denne beskyttelsesfunksjonaliteten. Denne sikkerhetsveiledningen vil bli revidert for å inkludere oppdatert informasjon når slike oppdateringer utgis.

Hvordan kan utviklere bygge inn denne beskyttelsesteknologien i programmene sine?

Utviklere kan finne mer informasjon om hvordan de kan bruke teknologien for utvidet beskyttelse for godkjenning, i følgende MSDN-artikkel: Integrated Windows Authentication with Extended Protection.

Hvordan aktiverer jeg denne funksjonen?

Kundene må implementere følgende registernøkkelinnstillinger på klienten:

Du finner detaljerte instruksjoner om aktivering av denne registernøkkelen i Microsoft Knowledge Base-artikkel 968389.

Sett nøkkelen HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection til 0 for å aktivere beskyttelsesteknologien. Som standard settes denne nøkkelen til 1 ved installasjon, noe som deaktiverer beskyttelsen.
Sett nøkkelen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel til 3. Dette er ikke standard på Windows XP og Windows Server 2003. Dette er en eksisterende nøkkel som aktiverer NTLMv2-godkjenning. Utvidet beskyttelse for Windows-godkjenning gjelder bare godkjenningsprotokollene NTLMv2 og Kerberos og gjelder ikke NTLMv1.

Du finner mer informasjon om innføring av NTLMv2-godkjenning og denne nøkkelen i Microsoft Knowledge Base-artikkel 239869.

På denne serveren må utvidet beskyttelse for godkjenning aktiveres for hver tjeneste. Den følgende oversikten viser hvordan du kan aktivere utvidet beskyttelse for godkjenning på de vanlige protokollene der dette for øyeblikket er tilgjengelig:

Telnet (KB960859)

For Telnet kan utvidet beskyttelse for godkjenning aktiveres på serveren ved å opprette DWORD-registernøkkelen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection. Standardverdien for denne nøkkelen er Legacy. Sett nøkkelen til en av følgende verdier:

Legacy: Ved å sette DWORD-verdien til 0 deaktiveres utvidet beskyttelse for godkjenning på serveren, og ingen tilkoblinger, selv de til oppdaterte og riktig konfigurerte klienter, vil være beskyttet mot angrep av typen videresending av legitimasjon.
Allow Extended Protection: Ved å sette DWORD-verdien til 1 beskytter serveren de klientdatamaskinene som er konfigurert til å bruke funksjonaliteten for utvidet beskyttelse for godkjenning mot angrep av typen videresending av legitimasjon. Klienter som ikke har blitt oppdatert og riktig konfigurert, er ikke beskyttet.
Require Extended Protection: Ved å sette DWORD-verdien til 2 krever serveren at klienter støtter utvidet beskyttelse for godkjenning, ellers nektes godkjenning. Klienter som ikke har utvidet beskyttelse aktivert, godkjennes ikke mot serveren.

Du finner detaljerte instruksjoner om oppretting av denne registernøkkelen i Microsoft Knowledge Base-artikkel 960859.

Internet Information Services (KB973917)

For Internet Information Services kan utvidet beskyttelse for godkjenning aktiveres på serveren ved å bruke IIS Configuration Manager eller ved å redigere konfigurasjonsfilen ApplicationHost.Config direkte. Du finner detaljert informasjon om hvordan du konfigurerer IIS, i Microsoft Knowledge Base-artikkel 973917.

Hva bør jeg være oppmerksom på ved distribusjon av utvidet beskyttelse for godkjenning?

Kunder må installere oppdateringen som finnes i Microsoft Knowledge Base-artikkel 968389, installere oppdateringene for de respektive programmene på klient- og serverdatamaskiner og konfigurere begge datamaskinene på riktig måte for å bruke beskyttelsesfunksjonaliteten for å være beskyttet mot angrep av typen videresending av legitimasjon.

Når utvidet beskyttelse for godkjenning er aktivert på klientsiden, er det aktivert for alle programmer som bruker integrert Windows-godkjenning. Det må imidlertid aktiveres på serveren for hvert program.

Hvorfor er ikke dette en sikkerhetsoppdatering som annonseres i en sikkerhetsbulletin?
Denne oppdateringen implementerer en ny funksjon som det kanskje ikke er aktuelt for alle kunder å aktivere. Den sørger for en ekstra sikkerhetsfunksjon som kundene kan velge å ta i bruk basert på deres spesifikke scenarioer**.**

Dette er en sikkerhetsveiledning om en ikke-sikkerhetsrelatert oppdatering. Er ikke det en selvmotsigelse?
Sikkerhetsveiledninger løser sikkerhetsendringer som kanskje ikke krever en sikkerhetsbulletin, men som likevel kan påvirke kundens totale sikkerhet. Sikkerhetsveiledninger er en måte for Microsoft å formidle sikkerhetsrelatert informasjon til kunder på om problemer som kanskje ikke klassifiseres som sikkerhetsproblemer og trenger en sikkerhetsbulletin, eller om problemer som det ikke er publisert en sikkerhetsbulletin for. I dette tilfellet informerer vi om tilgjengeligheten til en oppdatering som ikke løser et bestemt sikkerhetsproblem, men som omhandler den totale sikkerheten.

Hvordan tilbys denne oppdateringen?
Disse oppdateringene finnes på Microsoft Download Center. Direkte koblinger til oppdateringer for bestemt programvare som er berørt, er oppført i tabellen Berørt programvare i Oversikt-delen. Hvis du vil ha mer informasjon om oppdateringen og endringene i virkemåten, kan du se Microsoft Knowledge Base-artikkel 968389.

Distribueres denne oppdateringen via Automatiske oppdateringer?
Ja. Disse oppdateringene distribueres via funksjonen Automatiske oppdateringer.

Hvilke versjoner av Windows berøres av denne veiledningen?
Funksjonen som omtales i denne veiledningen, gjøres tilgjengelig for alle plattformer som er oppført i sammendraget Berørt programvare. Denne funksjonen finnes i alle versjoner av Windows 7 og Windows Server 2008 R2.

Forslag til tiltak

Les gjennom Microsoft Knowledge Base-artikkelen som er knyttet til denne veiledningen

Kunder som gjerne vil vite mer om denne funksjonen, bør lese gjennom Microsoft Knowledge Base-artikkel 973811.
Ta i bruk og aktiver de ikke-sikkerhetsrelaterte oppdateringene som er oppført i denne sikkerhetsveiledningen

Kunder bør se gjennom listen over ikke-sikkerhetsrelaterte oppdateringer og sikkerhetsoppdateringer som Microsoft har publisert som en del av denne sikkerhetsoppdateringen, og implementere og konfigurere denne funksjonaliteten når det er aktuelt. Du finner listen over tilgjengelige oppdateringer under oppføringen Hvilke andre tiltak setter Microsoft i gang for å implementere denne funksjonen? i delen Vanlige spørsmål i denne veiledningen.
Beskytt din PC

Vi oppfordrer kunder til å følge våre råd om beskyttelse av datamaskinen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet for beskyttelse av datamaskinen.

Kunder kan finne mer informasjon om sikkerhet på Internett på Microsofts sikkerhetssentral.
Hold Windows oppdatert

Alle Windows-brukere bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Windows Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har aktivert Automatiske oppdateringer, leveres oppdateringene til deg når de utgis, men du må påse at du installerer dem.

Løsninger

Det finnes en rekke løsninger som kan bidra til å beskytte systemer mot gjenspeiling av legitimasjon eller videresending av legitimasjon. Microsoft har testet de midlertidige løsningene nedenfor. Disse midlertidige løsningene blokkerer kjente angrepsvektorer, men de løser ikke det underliggende sikkerhetsproblemet. Hvis en midlertidig løsning reduserer funksjonaliteten, angis dette i den følgende delen.

Aktiver SMB-signering

Aktivering av SMB-signering på serveren forhindrer at angriperen kan få tilgang til serveren i konteksten til den påloggede brukeren. Dette bidrar til å beskytte legitimasjonen mot å bli videresendt til SMB-tjenesten. Microsoft anbefaler at du bruker gruppepolicyer til å konfigurere SMB-signering.

Hvis du vil ha detaljerte instruksjoner om hvordan du bruker gruppepolicyer til å aktivere og deaktivere SMB-signering for Microsoft Windows 2000, Windows XP og Windows Server 2003, kan du se Microsoft Knowledge Base-artikkel 887429. Instruksjonene i Microsoft Knowledge Base-artikkel 887429 for Windows XP og Windows Server 2003 gjelder også for Windows Vista og Windows Server 2008.

Hva løsningen kan føre til: Bruk av SMB-pakkesignering kan redusere ytelsen med SMBv1 for filtjenestetransaksjoner. Datamaskiner som har angitt denne policyen, vil ikke kommunisere med datamaskiner som ikke har aktivert klientsidepakkesignering. Hvis du vil ha mer informasjon om SMB-signering og potensiell innvirkning, kan du se MSDN-artikkelen Microsoft network server: Digitally sign communications (always)".

Annen informasjon

Ressurser:

Du kan gi oss tilbakemelding ved å fylle ut skjemaet som du kan få fra Microsoft Hjelp og støtte: Kontakt oss.
Kunder i USA og Canada kan få kundestøtte hos Security Support. Du finner mer informasjon om tilgjengelige alternativer for støtte ved å gå til Microsoft Hjelp og støtte.
Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til Internasjonal støtte.
Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.

Ansvarsfraskrivelse:

Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Revisjoner:

V1.0 (11. august 2009): Veiledning publisert.
V1.1 (14. oktober 2009): Oppdatert delen med vanlige spørsmål med informasjon om en ikke-sikkerhetsrelatert oppdatering som er inkludert i MS09-054, relatert til WinINET.
V2.0 (8. desember 2009): Oppdaterte delen Vanlige spørsmål med informasjon om tre ikke-sikkerhetsrelaterte oppdateringer som er knyttet til Windows HTTP-tjenester, HTTP-protokollstakk og Internet Information Services.
V1.3 (9. mars 2010): Oppdaterte delen Vanlige spørsmål for å informere om nypubliseringen av oppdateringen som gjør at Internet Information Services kan aktivere utvidet beskyttelse for godkjenning. Hvis du vil ha mer informasjon, kan du se Kjente problemer i Microsoft Knowledge Base-artikkel 973917.
V1.4 (14. april 2010): Oppdatert delen Forslag til tiltak for å dirigere kunder til oppføringen Hvilke andre tiltak setter Microsoft i gang for å implementere denne funksjonen? i delen Vanlige spørsmål..
V1.5 (8. juni 2010): Oppdaterte Vanlige spørsmål med informasjon om seks ikke-sikkerhetsrelaterte oppdateringer som gjør det mulig for .NET Framework å aktivere utvidet beskyttelse for godkjenning.
V1.6 (14. september 2010): Oppdaterte delen Vanlige spørsmål med informasjon om en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for Outlook Express og Windows Mail å aktivere utvidet beskyttelse for godkjenning.
V1.7 (12. oktober 2010): Oppdaterte delen Vanlige spørsmål med informasjon om en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for SMB (servermeldingsblokk) å aktivere utvidet beskyttelse for godkjenning.
V1.8 (14. desember 2010): Oppdaterte delen Vanlige spørsmål med informasjon om en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for Microsoft Outlook å aktivere utvidet beskyttelse for godkjenning.
V1.9 (17. desember 2010): Fjernet oppføringen under Vanlige spørsmål som opprinnelig ble lagt til 14. desember 2010, om en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for Microsoft Outlook å aktivere Utvidet beskyttelse for godkjenning.
V1.10 (11. januar 2011): Oppdatert de vanlige spørsmålene med informasjon om en ny versjon som gjør det mulig for Microsoft Office Live Meeting Service Portal å aktivere Utvidet beskyttelse for godkjenning.
V1.11 (12. januar 2011): Rettet koblingen til produktmerknadene for Microsoft Office Live Meeting Service Portal i delen Vanlige spørsmål.
V1.12 (April 12, 2011): Oppdaterte delen Vanlige spørsmål med informasjon om en ikke-sikkerhetsrelatert oppdatering som gjør det mulig for Microsoft Outlook å aktivere utvidet beskyttelse for godkjenning.

Built at 2014-04-18T01:50:00Z-07:00