共用方式為

註冊和安裝安全性套件的限制

  • 發行項

從 2017 年 1 月 10 日起,移除、替換或包裝內建的安全性套件(如 Kerberos 或 NTLM)在 Windows 中是不被支援且被阻止的動作。 可以新增第三方安全性套件 (SSP/AP) ;不過,Windows 不支援移除預先設定的 SSP/AP。 具體而言,從未支援編輯 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages 登錄設定。

從 Windows 8.1 開始, 想要提供其他功能的客戶可以使用登錄設定 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages註冊 SSP/AP DLL) 和相關聯的登錄設定 SecurityProviders撰寫及安裝安全性支援提供者),如果適用的話。 此外,安全性套件 的目的是實作新的 安全性通訊協定,其形式可以是安全性支援提供者(SSP)或 驗證套件(AP)。 SSP 的目的是提供 已驗證的連接訊息完整性,以及 訊息加密服務 系統中尚未支援,而 AP 則用來新增 驗證邏輯, 用來判斷是否允許使用者登入。

Microsoft投資客戶安全性,並嘗試確保 SSP 和 AP 等重要程式不容易從系統卸除。 因此,從 Windows 8.1 開始,HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages 登錄設定受到限制,以防止變更。 為了方便第三方安全性套件,HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages 已針對自定義 SSP/APs 進行指定的設定。 此外,建議從這類自定義 SSP/AP 中移除任何超出 Microsoft 定義的安全性套件範圍的功能,且任何產品都不應移除收件匣安全性套件。