Restrições ao registrar e instalar um pacote de segurança

  • Artigo

A remoção, substituição ou encapsulamento de pacotes de segurança de caixa de entrada (por exemplo, Kerberos ou NTLM) não é uma ação com suporte no Windows e, a partir de 10 de janeiro de 2017, ela é impedida. Pacotes de segurança de terceiros (SSPs/APs) podem ser adicionados; no entanto, o Windows não dá suporte à remoção de SSPs/APs pré-configurados. Especificamente, nunca houve suporte para a edição da configuração do registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages .

A partir de Windows 8.1, os clientes que desejam fornecer funcionalidade adicional podem adicionar seus Pacotes de Segurança usando a configuração do Registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages (Registrando DLLs SSP/AP) e a configuração de registro associada SecurityProviders (Gravando e instalando um provedor de suporte de segurança), se aplicável. Além disso, a finalidade dos Pacotes de Segurança é implementar novos protocolos de segurança que podem estar na forma de um SSP (provedor de suporte de segurança) ou um AP ( pacote de autenticação ). A finalidade de um SSP é fornecer conexão autenticada, integridade de mensagem e serviços de criptografia de mensagem que ainda não têm suporte no sistema, enquanto uma AP é usada para adicionar uma nova lógica de autenticação usada para determinar se um usuário deve fazer logon.

A Microsoft está investindo na segurança do cliente e está tentando garantir que processos críticos, como SSPs e APs, não sejam facilmente removíveis do sistema. Portanto, a configuração do registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages foi restrita a partir de Windows 8.1 para evitar alterações nele. Para facilitar pacotes de segurança de terceiros, HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages foi feita a configuração designada para SSPs/APs personalizados. É recomendável ainda que qualquer funcionalidade em SSPs/APs personalizados fora do escopo dos Pacotes de Segurança definidos pela Microsoft seja removida desses SSPs/APs personalizados e que os Pacotes de Segurança da Caixa de Entrada não sejam removidos por nenhum produto.