Restrições ao registrar e instalar um pacote de segurança

A remoção, substituição ou encapsulamento de pacotes de segurança de caixa de entrada (por exemplo, Kerberos ou NTLM) não é uma ação com suporte no Windows e, a partir de 10 de janeiro de 2017, ela é impedida. Pacotes de segurança de terceiros (SSPs/APs) podem ser adicionados; no entanto, Windows não dá suporte à remoção de SSPs/APs pré-configurados. Especificamente, a edição da configuração do registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages nunca teve suporte.

A partir Windows 8.1, os clientes que desejam fornecer funcionalidades adicionais podem adicionar seus Pacotes de Segurança usando a configuração de registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages (Registrando DLLs SSP/AP) e a configuração de registro associada SecurityProviders (Gravando e instalando um provedor de suporte de segurança), se aplicável. Além disso, a finalidade dos Pacotes de Segurança é implementar novos protocolos de segurança que podem estar na forma de um SSP (provedor de suporte à segurança) ou um AP (pacote de autenticação ). A finalidade de um SSP é fornecer serviços de conexão autenticada, integridade de mensagem e criptografia de mensagem que ainda não têm suporte no sistema, enquanto uma AP é usada para adicionar uma nova lógica de autenticação usada para determinar se um usuário deve fazer logon.

A Microsoft está investida na segurança do cliente e está tentando garantir que processos críticos, como SSPs e APs, não sejam facilmente removíveis do sistema. Portanto, a configuração do registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages foi restrita a partir de Windows 8.1 para evitar alterações nele. Para facilitar pacotes de segurança de terceiros, HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages foi feita a configuração designada para SSPs/APs personalizados. É recomendável ainda que qualquer funcionalidade em SSPs/APs personalizados que esteja fora do escopo dos Pacotes de Segurança definidos pela Microsoft seja removida desses SSPs/APs personalizados e que os Pacotes de Segurança da Caixa de Entrada não sejam removidos por nenhum produto.