Einschränkungen beim Registrieren und Installieren eines Sicherheitspakets
Das Entfernen, Ersetzen oder Umschließen von Posteingangssicherheitspaketen (z. B. Kerberos oder NTLM) wird in Windows nicht unterstützt, und ab dem 10. Januar 2017 wird dies verhindert. Sicherheitspakete von Drittanbietern (SSPs/APs) können hinzugefügt werden. Das Entfernen von vorkonfigurierten SSPs/APs wird von Windows jedoch nicht unterstützt. Insbesondere wurde die Bearbeitung der Registrierungseinstellung HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages nie unterstützt.
Ab Windows 8.1 können Kunden, die zusätzliche Funktionen bereitstellen möchten, ihre Sicherheitspakete mithilfe der Registrierungseinstellung HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages (Registrieren von SSP/AP-DLLs) und ggf. der zugehörigen Registrierungseinstellung SecurityProviders (Schreiben und Installieren eines Sicherheitsunterstützungsanbieters) hinzufügen. Darüber hinaus besteht der Zweck von Sicherheitspaketen darin, neue Sicherheitsprotokolle zu implementieren, die in Form eines Sicherheitsunterstützungsanbieters (Security Support Provider, SSP) oder eines Authentifizierungspakets (AP ) sein können. Der Zweck eines SSP besteht darin, authentifizierte Verbindungs-, Nachrichtenintegritäts- und Nachrichtenverschlüsselungsdienste bereitzustellen, die nicht bereits im System unterstützt werden, während ein AP verwendet wird, um neue Authentifizierungslogik hinzuzufügen, mit der bestimmt wird, ob ein Benutzer sich anmelden kann.
Microsoft investiert in die Kundensicherheit und versucht sicherzustellen, dass kritische Prozesse wie SSPs und APs nicht einfach aus dem System entfernt werden können. Daher wurde die Registrierungseinstellung HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages ab Windows 8.1 eingeschränkt, um Änderungen daran zu verhindern. Um Sicherheitspakete von Drittanbietern zu vereinfachen, wurde HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages als festgelegte Einstellung für benutzerdefinierte SSPs/APs festgelegt. Es wird außerdem empfohlen, alle Funktionen in benutzerdefinierten SSPs/APs, die außerhalb des Bereichs der von Microsoft definierten Sicherheitspakete liegen, aus solchen benutzerdefinierten SSPs/APs zu entfernen, und dass Posteingangssicherheitspakete von keinem Produkt entfernt werden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für