Winlogon是Windows登入過程的安全核心組件，在近日win11 更新下(負責處理使用者驗證和登入會話的管理。)可能會造成其他相關供應商呼叫類式元件API發生問題如Notes NSL(早期稱SSO,但實際新本Client採用核心技術不同)請求失效問題

Windows 11 24H2 版中的MPR預設變更

Multiple Provider Router (MPR) 在Windows作業系統中,扮演著重要的角色,它負責處理作業系統與多個網路供應商之間的通訊。正確配置MPR策略對於確保系統的穩定性和安全性至關重要。

自 Windows 11 24H2 版本起，系統預設透過 NPLogonNotify 與 NPPasswordChangeNotify API 中的組策略，將 MPR 通知內的密碼承載功能設為 disabled(若要暫時解決Notes NSL問題可能需要再次啟用)。這些 API 未來可能會被移除，主要原因在於安全性考量：

• 若啟用該功能，呼叫端將能夠擷取使用者密碼，進而增加密碼外洩或被惡意利用的風險。
• 為降低此潛在風險，預設狀態下將密碼承載功能禁用；如有需求，可另行調整設定。

若您希望在 MPR 通知中包含密碼承載，請將 EnableMPRNotifications 原則設定為 enabled。

如何啟用 MPR 通知的方式

根據最新資訊，啟用 MPR 通知主要有以下兩種方式：

1. 透過群組原則管理編輯器 (Group Policy Management Editor)：

   • 導航至：
     電腦設定 > 系統管理範本 > Windows 元件 > Windows 登入選項 > 設定 MPR 通知

   • 此設定控制 Winlogon 是否發送 MPR 通知。

     注意： Winlogon 為 Windows 登入過程中的核心安全組件，負責處理使用者驗證及登入會話管理。近期的安全更新可能導致 Winlogon 與其他供應商元件（例如 Notes SSO）的整合出現問題，進而造成相關請求失效。

2. 透過登錄檔 (Registry)：
   在登錄檔路徑
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
   新增或修改 DWORD 值：

   ini

   "EnableMPR"=dword:00000001


MPR 的重要性

Multiple Provider Router (MPR) 在 Windows 作業系統中扮演著關鍵角色，其主要功能包括：

• 負責協調作業系統與多個網路供應商之間的通訊。
• 確保系統能正確識別及處理來自不同網路供應商的請求。

正確配置 MPR 策略對於確保系統穩定性與安全性具有決定性意義，尤其在需要與多個網路資源互動的環境中更為重要。

實際應用案例

根據 OpenText 社群的討論，升級至 Windows 11 24H2 及更高版本後，啟用 LSA (Local Security Authority) 配合 MPR 策略，可使 iPrint 安全印表機達成單一登入功能。此案例突顯了 MPR 策略在身份驗證及安全管理上的關鍵作用。

安全性考量

Tenable 在其安全審計報告中亦強調了 MPR 策略配置的重要性。若配置不當，可能會導致以下問題：

• 增加使用者密碼被未經授權存取的風險。
• 影響系統與第三方安全元件（如 Notes SSO）的互動，導致驗證請求失效。

因此，IT 專業人員在配置 MPR 策略時，應根據實際環境及需求，充分考慮安全風險與相容性問題，特別是在升級 Windows 版本後，更應留意相關變更。

結論

總結來看，正確配置 MPR 策略對於保障 Windows 系統的穩定性與安全性至關重要。無論是透過群組原則管理編輯器還是直接修改登錄檔，IT 管理員都應根據環境需求仔細調整設定。同時，應注意 Winlogon 安全核心組件的更新可能對其他供應商元件（例如 Notes SSO）造成影響，務必進行相應的測試與驗證，以確保系統整體功能正常運作。

AI 建議

作為 AI 提供者，我建議在實際部署前：

• 詳細測試不同 MPR 配置選項對系統和相關應用程式的影響；
• 參考 Microsoft 最新的最佳實踐與技術文檔；
• 為可能出現的相容性問題（如 Winlogon 更新導致的第三方元件失效）制定應急處理方案。

參考文獻

• Microsoft 官方文檔（相關 API 與群組原則說明，日期不詳）
• OpenText 社群討論
• Tenable 安全審計報告

本文內容根據公開資訊整理，如有最新更新請參考官方公告。

此文為AI自行依網路探索撰寫。

### 參考文獻

* Microsoft. (N/A). Enable MPR Notifications in Windows Server 2012?. Retrieved from [https://learn.microsoft.com/en-us/answers/questions/2131726/enable-mpr-notifications-in-windows-server-2012](https://learn.microsoft.com/en-us/answers/questions/2131726/enable-mpr-notifications-in-windows-server-2012)
* OpenText. (N/A). iPrint – Enable LSA using MPR policy to allow single sign-on for iPrint secure printers after upgrade to Windows 11 24H2 and above. Retrieved from [https://community.opentext.com/img/iprint/w/tips/49272/iprint—enable-lsa-using-mpr-policy-to-allow-single-sign-on-for-iprint-secure-printers-after-upgrade-to-windows-11-24h2-and-above](https://community.opentext.com/img/iprint/w/tips/49272/iprint—enable-lsa-using-mpr-policy-to-allow-single-sign-on-for-iprint-secure-printers-after-upgrade-to-windows-11-24h2-and-above)
* Tenable. (N/A). CIS Microsoft Windows 10 Enterprise v3.0.0 L1. Retrieved from [https://www.tenable.com/audits/items/CIS_Microsoft_Windows_10_Enterprise_v3.0.0_L1.audit:b9c5b52f0ed6f74e268fad5e87dd6cf0](https://www.tenable.com/audits/items/CIS_Microsoft_Windows_10_Enterprise_v3.0.0_L1.audit:b9c5b52f0ed6f74e268fad5e87dd6cf0)