Einschränkungen beim Registrieren und Installieren eines Sicherheitspakets

Das Entfernen, Ersetzen oder Umschließen von Posteingangssicherheitspaketen (z. B. Kerberos oder NTLM) wird in Windows nicht unterstützt, und ab dem 10. Januar 2017 wird dies verhindert. Sicherheitspakete von Drittanbietern (SSPs/APs) können hinzugefügt werden. Allerdings unterstützt Windows das Entfernen vorkonfigurierten SSPs/APs nicht. Insbesondere das Bearbeiten der Registrierungseinstellung HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ OSConfig Security \ Packages wurde nie unterstützt.

Ab Windows 8.1 können Kunden, die zusätzliche Funktionen bereitstellen möchten, ihre Sicherheitspakete mithilfe der Registrierungseinstellung HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa Security \ Packages (Registering SSP/AP DLLs)und der zugehörigen Registrierungseinstellung SecurityProviders (Writing and Installing a Security Support Provider) (Schreiben und Installieren eines Sicherheitssupportanbieters) hinzufügen( falls zutreffend). Darüber hinaus besteht der Zweck von Sicherheitspaketen in der Implementierung neuer Sicherheitsprotokolle, die in Form eines Sicherheitssupportanbieters (Security Support Provider, SSP) oder eines Authentifizierungspakets (AP) verwendet werden können. Der Zweck eines SSP besteht im Bereitstellen authentifizierter Verbindungs-, Nachrichtenintegritäts- und Nachrichtenverschlüsselungsdienste, die nicht bereits im System unterstützt werden, während ein AP verwendet wird, um neue Authentifizierungslogik hinzuzufügen, mit der bestimmt wird, ob ein Benutzer sich anmelden darf.

Microsoft investiert in die Kundensicherheit und versucht sicherzustellen, dass kritische Prozesse wie SSPs und APs nicht einfach aus dem System austauschbar sind. Daher wurde die Registrierungseinstellung HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ OSConfig Security \ Packages ab Windows 8.1 eingeschränkt, um Änderungen daran zu verhindern. Zur Vereinfachung von Sicherheitspaketen von Drittanbietern wurde HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa Security \ Packages zur festgelegten Einstellung für benutzerdefinierte SSPs/APs gemacht. Darüber hinaus wird empfohlen, alle Funktionen in benutzerdefinierten SSPs/APs, die außerhalb des von Microsoft definierten Bereichs von Sicherheitspaketen liegen, aus solchen benutzerdefinierten SSPs/APs zu entfernen, und dass Posteingangssicherheitspakete von keinen Produkten entfernt werden.