项目
03/14/2024

安全公告

Microsoft 安全咨询973811

针对身份验证的扩展保护

发布时间： 2009 年 8 月 11 日 |更新时间：2013 年 1 月 8 日

版本： 1.14

Microsoft 宣布在 Windows 平台上推出新功能扩展身份验证保护。此功能增强了使用集成 Windows 身份验证（IWA）对网络连接进行身份验证时凭据的保护和处理。

更新本身不会直接提供针对凭据转发等特定攻击的保护，但允许应用程序选择加入扩展身份验证保护。此公告向开发人员和系统管理员介绍了这一新功能以及如何部署此功能来帮助保护身份验证凭据。

缓解因素：

使用会话签名和加密的应用程序（如具有隐私和完整性的远程过程调用（RPC），或者启用了签名的服务器消息块（SMB）不受凭据转发的影响。

常规信息

概述

公告目的： 此公告已发布，向客户宣布发布非安全更新，以便在 Windows 平台上提供新功能扩展身份验证保护。

公告状态： 已发布公告。

建议： 查看建议的操作并根据需要进行配置。

参考	标识
Microsoft 知识库文章	Microsoft 知识库文章973811

此公告宣布为以下平台发布此功能。

受影响的软件
基于 x64 的系统 Service Pack 2 和 Windows XP Service Pack 3\ 的 Windows XP Service Pack 2 和基于 x64 的系统 Service Pack 3 的 Windows XP
Windows Server 2003 Service Pack 2\ Windows Server 2003 for x64 based Systems Service Pack 2\ Windows Server 2003 for Itanium based Systems and Windows Server 2003 for Itanium-based Systems Service Pack 2
Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2\ Windows Vista for x64 基于 x64 的系统、基于 x64 的系统 Service Pack 1 的 Windows Vista 和基于 x64 的系统 Service Pack 2 的 Windows Vista
适用于 32 位系统的 Windows Server 2008 和适用于 32 位系统 Service Pack 2 Windows Server 2008 的 Windows Server 2008 \ （适用于基于 x64 的系统）和 Windows Server 2008（适用于基于 Itanium 的系统 2008）和基于 Itanium 的系统 Service Pack \ 2 的 Windows Server 2008
受影响的软件
适用于 32 位系统的 Windows 7\ 基于 x64 的系统的 Windows 7
适用于基于 x64 的系统的 Windows Server 2008 R2\ Windows Server 2008 R2（适用于基于 Itanium 的系统）

常见问题

公告的范围是什么？
Microsoft 发布了此公告，宣布发布新功能“扩展身份验证保护”，作为 Windows SSPI 的更新，以帮助解决凭据转发问题。

这是否是要求 Microsoft 发出安全更新的安全漏洞？
否，这不是要求 Microsoft 发出安全更新的安全漏洞。此功能需要一些客户可以选择部署的可选配置。启用此功能不适用于所有客户。有关此功能以及如何适当配置此功能的详细信息，请参阅 Microsoft 知识库文章973811。此功能已包含在 Windows 7 和 Windows Server 2008 R2 中。

什么是适用于 Windows 身份验证的扩展保护？
Microsoft 知识库文章中的更新968389修改 SSPI，以增强Windows 身份验证工作方式，以便在启用集成 Windows 身份验证（IWA）时不会轻易转发凭据。

启用身份验证扩展保护后，身份验证请求将绑定到客户端尝试连接到的服务器的服务主体名称（SPN）和 IWA 身份验证所通过的外部传输层安全性（TLS）通道。这是一个基本更新，使应用程序能够选择加入新功能。

将来的更新将修改执行 IWA 身份验证的单个系统组件，以便组件使用此保护机制。客户必须同时安装 Microsoft 知识库文章968389 更新以及需要激活扩展身份验证保护的客户端应用程序和服务器的相应特定于应用程序的更新。安装后，使用注册表项在客户端上控制用于身份验证的扩展保护。在服务器上，配置特定于应用程序。

Microsoft 执行哪些其他操作来实现此功能？

必须对使用集成 Windows 身份验证（IWA）的特定服务器和客户端应用程序进行更改，以确保他们选择采用这种新的保护技术。

Microsoft 于 2009 年 8 月 11 日发布的更新包括：

Microsoft 知识库文章968389在 Windows 安全支持提供程序接口（SSPI）中实现用于身份验证的扩展保护。此更新允许应用程序选择加入扩展保护进行身份验证。
Microsoft 安全公告 MS09-042 还包含深度防御非安全更新，使 Telnet 客户端和服务器能够选择加入扩展保护进行身份验证。

Microsoft 于 2009 年 10 月 13 日发布的更新为：

Microsoft 安全公告 MS09-054 包含深度防御的非安全更新，使 WinINET 能够选择加入扩展身份验证保护。

Microsoft 于 2009 年 12 月 8 日发布的更新包括：

Microsoft 知识库文章971737 包含一个非安全更新，使 Windows HTTP 服务（WinHTTP） API 能够选择加入扩展的身份验证保护。
Microsoft 知识库文章 970430 包含一个非安全更新，使 HTTP 协议堆栈（http.sys）能够选择加入扩展保护进行身份验证。
Microsoft 知识库文章973917 包含一个非安全更新，使 Internet Information Services （IIS）能够选择加入扩展身份验证保护。此更新于 2010 年 3 月 9 日重新发布。有关详细信息，请参阅 Microsoft 知识库文章973917中的已知问题。

Microsoft 于 2010 年 6 月 8 日发布的更新包括：

Microsoft 知识库文章982532 包含一个非安全更新，使 Windows Vista Service Pack 1 上的 .NET Framework 2.0 Service Pack 2 能够选择加入扩展保护进行身份验证。
Microsoft 知识库文章982533 包含一项非安全更新，使 Windows Vista Service Pack 2 上的 .NET Framework 2.0 Service Pack 2 能够选择加入扩展保护进行身份验证。
Microsoft 知识库文章982535 包含一项非安全更新，使 Windows Vista Service Pack 1 上的 .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 可以选择加入扩展保护进行身份验证。
Microsoft 知识库文章982536 包含一个非安全更新，使 Windows Vista Service Pack 2 上的 .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 可以选择加入扩展保护进行身份验证。
Microsoft 知识库文章982167 包含一个非安全更新，使 Windows XP 和 Windows Server 2003 上的 .NET Framework 2.0 Service Pack 2 能够选择加入扩展保护进行身份验证。
Microsoft 知识库文章982168 包含一个非安全更新，它使 Windows XP 和 Windows Server 2003 上的 .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 可以选择加入扩展保护进行身份验证。

Microsoft 于 2010 年 9 月 14 日发布的更新为：

Microsoft 知识库文章2141007 包含一个非安全更新，使 Outlook Express 和 Windows 邮件能够选择加入扩展的身份验证保护。

Microsoft 于 2010 年 10 月 12 日发布的更新为：

Microsoft 知识库文章2345886 包含一个非安全更新，使 Windows Server 消息块（SMB）能够选择加入扩展身份验证保护。

Microsoft 于 2010 年 12 月 29 日发布的更新为：

Microsoft 办公室实时会议服务门户的新版本支持对身份验证的扩展保护。

Microsoft 于 2011 年 4 月 12 日发布的更新为：

Microsoft 知识库文章2509470 包含一个非安全更新，使 Microsoft Outlook 能够选择加入用于身份验证的扩展保护。

Microsoft 于 2013 年 1 月 8 日发布的 Microsoft 修复解决方案包括：

Microsoft 知识库文章2793313 包含 Microsoft 修复了将 Windows XP 和 Windows Server 2003 系统设置为仅允许 NTLMv2 的解决方案。应用这些 Microsoft 修复解决方案 可启用 Windows XP 和 Windows Server 2003 用户所需的 NTLMv2 设置，以利用扩展的身份验证保护。

Microsoft 计划通过发布未来的更新来扩展覆盖范围，这些更新将包括其他 Microsoft 服务器和客户端应用程序到这些保护机制中。此安全公告将修订为在发布此类更新时包含更新的信息。

开发人员如何在应用程序中嵌入此保护技术？

开发人员可以在以下 MSDN 文章（将 Windows 身份验证与扩展保护集成在一起）中找到有关如何使用扩展保护进行身份验证技术的详细信息。

如何实现启用此功能？

在客户端上，客户必须实现以下注册表项设置。

有关启用此注册表项的详细说明，请参阅 Microsoft 知识库文章968389。

将密钥HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection 设置为 0 以启用保护技术。默认情况下，此密钥在安装时设置为 1，禁用保护。
将键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel 设置为 3。这不是 Windows XP 和 Windows Server 2003 上的默认值。这是一个启用 NTLMv2 身份验证的现有密钥。 Windows 身份验证的扩展保护仅适用于 NTLMv2 和 Kerberos 身份验证协议，不适用于 NTLMv1。有关强制实施 NTLMv2 身份验证的详细信息，可在 Microsoft 知识库文章239869中找到此密钥。

在服务器上，必须基于每个服务启用用于身份验证的扩展保护。以下概述演示如何在当前可用的常见协议上为身份验证启用扩展保护：

Telnet （知识库(KB)960859）

对于 Telnet，可以通过创建 DWORD 注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection 在服务器上启用用于身份验证的扩展保护。此密钥的默认值为旧密钥。将密钥设置为以下值之一：

旧版：通过将 DWORD 值设置为 0，在服务器上将禁用用于身份验证的扩展保护，并且不会连接（即使是已更新和正确配置的客户端的连接）将受到凭据转发攻击的保护。
允许扩展保护：通过将 DWORD 值设置为 1，服务器将保护已配置为使用扩展保护进行身份验证机制的客户端计算机免受凭据中继攻击。未更新和正确配置的客户端将不受保护。
需要扩展保护：通过将 DWORD 值设置为 2，服务器将要求客户端支持扩展身份验证保护，否则将拒绝身份验证。未启用扩展保护的客户端将无法对服务器进行身份验证。

有关创建此注册表项的详细说明，请参阅 Microsoft 知识库文章960859。

Internet Information Services （知识库(KB)973917）

对于 Internet Information Services，可以使用 IIS 配置管理器在服务器上启用扩展身份验证保护，也可以直接编辑 ApplicationHost.Config 配置文件。有关如何配置 IIS 的详细信息，请参阅 Microsoft 知识库文章973917。

部署用于身份验证的扩展保护时，应注意哪些事项？

客户必须安装 Microsoft 知识库文章968389中包含的更新，在客户端和服务器计算机上安装相应的应用程序更新，并正确配置这两台计算机以使用保护机制，以防止凭据转发攻击。

在客户端启用身份验证扩展保护时，将使用 IWA 为所有应用程序启用扩展保护。但是，在服务器上，需要按应用程序启用它。

为什么这不是安全公告中宣布的安全更新？
此更新实现一项新功能，该功能可能不适合所有客户启用。它提供了一项额外的安全功能，客户可以根据自己的特定方案选择部署。

这是有关非安全更新的安全公告。这不是矛盾吗？
安全公告解决了可能不需要安全公告的安全更改，但仍可能会影响客户的整体安全性。安全公告是 Microsoft 向客户传达安全相关信息的一种方法，说明可能未归类为漏洞的问题，可能不需要安全公告，或者没有发布安全公告的问题。在这种情况下，我们将传达不解决特定安全漏洞的更新的可用性;相反，它解决了整体安全性问题。

如何提供此更新？
Microsoft 下载中心提供这些更新。指向特定受影响软件更新的直接链接列在“概述”部分的“受影响的软件”表中。有关更新和行为更改的详细信息，请参阅 Microsoft 知识库文章968389。

此更新是否在自动更新上分发？
是的。这些更新通过自动更新机制进行分发。

哪些版本的 Windows 与此公告相关联？
此公告中介绍的功能适用于受影响的软件摘要中列出的所有平台。此功能存在于 Windows 7 和 Windows Server 2008 R2 的所有版本中。

Microsoft 是否知道针对 NTLMv1（NT LAN Manager 版本 1）和 LAN 管理器（LM）网络身份验证的攻击的详细信息和工具？
是的。 Microsoft 了解针对 NTLMv1（NT LAN Manager 版本 1）和 LAN 管理器（LM）网络身份验证的攻击的详细信息和工具。计算机硬件和软件算法的改进使这些协议容易受到广泛发布的攻击，以获取用户密码。信息和可用工具集专门面向不强制实施 NTLMv2 身份验证的环境。

有关 Windows 网络安全的威胁和对策和 LAN 管理器身份验证级别的详细信息，请参阅 Microsoft TechNet 中的威胁和对策指南。

Microsoft 强烈建议客户评估其环境并更新其网络身份验证设置。 Microsoft 建议实现 NTLMv2，并实施设置以减少或消除 NTLMv1 和 LM 网络身份验证的使用。

建议的操作

查看与此公告关联的 Microsoft 知识库文章
有兴趣详细了解此功能的客户应查看 Microsoft 知识库文章973811。
应用并启用此安全公告中列出的非安全更新
客户应查看 Microsoft 作为此安全更新的一部分发布的非安全和安全更新列表，并在适当情况下实施和配置这些机制。可在 Microsoft 执行哪些其他操作来实现此功能时找到可用更新列表？此公告的常见问题解答部分的条目。
应用 Microsoft 知识库文章2793313中所述的 Microsoft 修复解决方案
Microsoft 建议具有 Windows XP 和 Windows Server 2003 的环境仅允许 NTLMv2。这可以通过将 LAN 管理器身份验证级别设置为 3 或更高版本来完成。有关详细信息，请参阅 Microsoft 知识库文章2793313，并使用自动 Microsoft 修复解决方案来设置这些系统以仅允许 NTLMv2。应用这些 Microsoft 修复解决方案 还使用户能够利用针对身份验证的扩展保护所需的 NTLMv2 设置。
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南，了解如何启用防火墙、获取软件更新和安装防病毒软件。客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。有关在 Internet 上保持安全的详细信息，客户应访问 Microsoft 安全中心。
保持Windows 更新
所有 Windows 用户都应应用最新的 Microsoft 安全更新，以帮助确保其计算机尽可能受到保护。如果不确定软件是否是最新的，请访问Windows 更新，扫描计算机以获取可用更新，并安装你提供的任何高优先级更新。如果启用了自动汇报，则更新会在发布时传送给你，但你必须确保安装它们。

解决方法

存在许多解决方法，可帮助保护系统免受凭据反射或凭据转发。 Microsoft 已测试以下解决方法。尽管这些解决方法不会纠正基础漏洞，但它们有助于阻止已知的攻击途径。当解决方法减少功能时，将在以下部分中标识它。

启用 SMB 签名

在服务器上启用 SMB 签名可防止攻击者在登录用户的上下文中访问服务器。这有助于防止凭据转发到 SMB 服务。 Microsoft 建议使用组策略配置 SMB 签名。

有关使用组策略为 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 启用和禁用 SMB 签名的详细说明，请参阅 Microsoft 知识库文章887429。适用于 Windows XP 和 Windows Server 2003 的 Microsoft 知识库文章887429也适用于 Windows Vista 和 Windows Server 2008。

解决方法的影响： 对文件服务事务使用 SMB 数据包签名可能会降低 SMBv1 的性能。具有此策略集的计算机不会与未启用客户端数据包签名的计算机通信。有关 SMB 签名和潜在影响的详细信息，请参阅 MSDN 文章“Microsoft 网络服务器：数字签名通信（始终）”。

其他信息

致谢

Microsoft 感谢以下部门与我们合作，帮助保护客户：

适用于美国 T-Mobile 的 Mark Gamache ，帮助我们帮助保护客户免受 NTLMv1（NT LAN Manager 版本 1）和 LAN 管理器（LM）网络身份验证的攻击

资源

可以通过访问 Microsoft 帮助和支持部门完成表单来提供反馈：联系我们。
美国和加拿大的客户可以从安全支持部门获得技术支持。有关可用支持选项的详细信息，请参阅 Microsoft 帮助和支持。
国际客户可以从其本地 Microsoft 子公司获得支持。有关如何联系 Microsoft 以获取国际支持问题的详细信息，请访问国际支持。
Microsoft TechNet 安全性提供有关 Microsoft 产品安全性的其他信息。

免责声明

此公告中提供的信息“按原样”提供，没有任何担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修订

V1.0（2009 年 8 月 11 日）：已发布公告。
V1.1（2009 年 10 月 14 日）：更新了常见问题解答，其中包含与 WinINET 相关的 MS09-054 中有关非安全更新的信息。
V1.2（2009 年 12 月 8 日）：更新了常见问题解答，其中包含有关 Windows HTTP 服务、HTTP 协议堆栈和 Internet Information Services 的三个非安全更新的信息。
V1.3（2010 年 3 月 9 日）：更新了常见问题解答，宣布更新的重新发布，使 Internet 信息服务可以选择加入扩展保护进行身份验证。有关详细信息，请参阅 Microsoft 知识库文章973917中的已知问题 。
V1.4（2010 年 4 月 14 日）：更新 了“建议的操作 ”部分，以将客户定向到“Microsoft 为实施此功能而采取的其他操作？”一节 中的“常见问题解答”条目。
V1.5（2010 年 6 月 8 日）：更新了常见问题解答，其中包含有关 6 个非安全更新的信息，使 .NET Framework 能够选择加入扩展身份验证保护。
V1.6（2010 年 9 月 14 日）：更新了常见问题解答，其中包含有关非安全更新的信息，使 Outlook Express 和 Windows 邮件能够选择加入扩展的身份验证保护。
V1.7（2010 年 10 月 12 日）：更新了常见问题解答，其中包含有关启用 Windows Server 消息块（SMB）的非安全更新的信息，以选择加入扩展的身份验证保护。
V1.8（2010 年 12 月 14 日）：更新了常见问题解答，其中包含有关非安全更新的信息，使 Microsoft Outlook 能够选择加入扩展身份验证保护。
V1.9（2010 年 12 月 17 日）：删除了常见问题解答条目，最初添加了 2010 年 12 月 14 日，关于允许 Microsoft Outlook 选择加入扩展身份验证保护的非安全更新。
V1.10（2011 年 1 月 11 日）：更新了常见问题解答，其中包含有关允许Microsoft 办公室实时会议服务门户选择加入扩展身份验证保护的新版本的信息。
V1.11（2011 年 1 月 12 日）：更正了常见问题解答中Microsoft 办公室实时会议服务门户的发行说明的链接。
V1.12（2011 年 4 月 12 日）：更新了常见问题解答，其中包含有关非安全更新的信息，使 Microsoft Outlook 能够选择加入扩展身份验证保护。
V1.13（2012 年 10 月 31 日）：更正了缓解因素。
V1.14（2013 年 1 月 8 日）：更新了常见问题解答和建议的操作，其中包含针对 NTLMv1（NT LAN 管理器版本 1）和 LAN 管理器（LM）网络身份验证的攻击信息。 Microsoft 修复了适用于 Windows XP 和 Windows Server 2003 的解决方案，可帮助防范这些攻击。应用这些 Microsoft 修复解决方案使用户能够利用扩展身份验证保护所需的 NTLMv2 设置。

生成于 2014-04-18T13：49：36Z-07：00