Описание на предоставянето на поддръжка за защита на идентификационни данни (CredSSP) в Windows XP Service Pack 3

Преводи на статии Преводи на статии
ID на статията: 951608 - Преглед на продукти, за които се отнася тази статия.
Разгъване на всички | Сгъване на всички

На тази страница

ВЪВЕДЕНИЕ

Тази статия описва предоставянето на поддръжка за защита на идентификационни данни (CredSSP) в Windows XP Service Pack 3 (SP3).

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

CredSSP е ново предоставяне на поддръжка за защита (SSP), което се предлага в Windows XP SP3, като се използва интерфейсът за предоставяне на поддръжка за защита (SSPI). CredSSP разрешава на дадена програма да използва SSP от страната на клиента, за да делегира идентификационни данни на потребител от компютъра клиент към целевия сървър. (Достъпът до целевия сървър става чрез SSP на страната на сървъра.) Windows XP SP3 включва приложение на SSP на страната на сървъра. Реализирането на SSP на страната на клиента в момента се използва от терминалните услуги (TS) на протокола за отдалечен работен плот (RDP) 6.1. Обаче реализацията на SSP на страната на клиента може се използва от програма на друг производител, която иска да използва SSP на страната на клиента за взаимодействие с програми, които изпълняват реализации на SSP на страната на клиента в Windows Vista или в Windows Server 2008.

За да изтеглите спецификация на протокола CredSSP, посетете следния уеб сайт на Microsoft:
http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/%5BMS-CSSP%5D.pdf
Забележка По подразбиране CredSSP е изключено в Windows XP SP3.

Как да се включи CredSSP

За да включим CredSSP вместо вас, отидете на раздела "Решете моя проблем". Ако предпочитате да решите проблема сами, отидете на раздела "Нека реша проблема сам".

Решете моя проблем



За да решите автоматично този проблем, щракнете върху бутона или връзката Fix it. Щракнете върху Изпълнение в диалоговия прозорец Изтегляне на файлове и следвайте стъпките в съветника "Fix it".


Включване на CredSSP
Microsoft Fix it 50588


Забележки
  • Възможно е този съветник да е само на английски език. Автоматичната корекция обаче работи и за други езикови версии на Windows.
  • Ако не използвате проблемния компютър, можете да запишете решението "Fix it" на флаш устройство или компактдиск и след това да го изпълните на проблемния компютър.




Нека реша проблема сам

Важно Този раздел, метод или задача съдържа информация за модифициране на системния регистър. Имайте предвид, че при неправилна промяна на системния регистър е възможно да възникнат сериозни проблеми. Затова спазвайте внимателно тези стъпки. За допълнителна сигурност направете резервно копие на системния регистър, преди да го промените. В случай на възникване на проблем чрез това копие ще можете да възстановите системния регистър. За допълнителна информация как да направите резервно копие на системния регистър или да го възстановите щракнете върху следния номер на статия от Базата знания на Microsoft, за да я прегледате:
322756 Създаване на резервно копие и възстановяване на системния регистър в Windows
  1. Щракнете върху Старт, изберете Изпълнение, въведете regedit и след това натиснете ENTER.
  2. В навигационния екран намерете следния подключ в системния регистър и щракнете върху него:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. В екрана с подробни данни щракнете с десния бутон върху Security Packages (Пакети за защита) и след това щракнете върху Modify (Промяна).
  4. В полето Value data (Данни за стойността) въведете tspkg. Оставете всички данни, които се отнасят конкретно до други SSP, и щракнете върху OK.
  5. В навигационния екран намерете следния подключ в системния регистър и щракнете върху него:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
  6. В екрана с подробни данни щракнете с десния бутон върху
    SecurityProviders
    и после върху Modify (Промяна).
  7. В полето Value data (Данни за стойността) въведете credssp.dll. Оставете всички данни, които се отнасят конкретно до други SSP, и щракнете върху OK.
  8. Затворете редактора на системния регистър.
  9. Рестартирайте компютъра.

Сценарии за използване на CredSSP

Сценарий 1: Използване на SSP по програмен път

Сега можете да използвате CredSSP, за да изпълните удостоверяване на страната на клиента в Windows XP SP3. Можете да използвате CredSSP заедно с API за удостоверяване, за да удостоверите еквивалентните програми на страната на сървъра, които работят в Windows Vista или в Windows Server 2008.

За допълнителна информация относно функцията AcquireCredentialsHandle (CredSSP) посетете следния уеб сайт на Microsoft:
http://msdn2.microsoft.com/en-us/library/aa965463(VS.85).aspx
За допълнителна информация относно функцията InitializeSecurityContext (CredSSP) посетете следния уеб сайт на Microsoft:
http://msdn2.microsoft.com/en-us/library/aa965582.aspx

Сценарий 2: Използвайте терминалните услуги, за да се свържете с Windows Vista или с Windows Server 2008 от Windows XP SP3

  • Използвайте терминалните услуги заедно с възможността за еднократна идентификация, за да свържете към компютър, базиран на Windows Vista, или към компютър, базиран на Windows Server 2008, от към компютър, базиран на Windows XP SP3, с използване на идентификационните данни по подразбиране (зададени). Тази функция изисква да промените ключовете на системния регистър, които са свързани с делегирането на идентификационни данни.
  • Използвайте терминалните услуги, за да свържете от към компютър, базиран на Windows XP SP3, към компютър, базиран на Windows Vista, или към компютър, базиран на Windows Server 2008, когато е приложено удостоверяване на мрежово ниво (NLA).
Забележка Трябва да включите CredSSP, за да използвате успешно терминалните услуги, за да се свържете към компютър, базиран на Windows Vista, с приложено NLA или към компютър, базиран на Windows Server 2008, с приложено NLA от компютър, базиран на Windows XP SP3.

Настройки на групови правила на CredSSP

Windows XP SP3 поддържа настройки на групови правила на CredSSP, които са конкретни за делегирането на идентификационни данни, както то се прилага в Windows Vista или в Windows Server 2008. Обаче настройки на групови правила на CredSSP не са налични като обект на групови правила (GPO) в Windows XP SP3. Настройките на групови правила на CredSSP могат да се прилагат със създаване или промяна на записи в системния регистър за необходимата настройка на групови правила на CredSSP. Записите в системния регистър съдържат списъка от главни имена на услуга (SPN), за които се отнася съответната настройка на групови правила. Освен това, записите в системния регистър съдържат серийния номер на сървърите.

За допълнителна информация относно настройките на групови правила на CredSSP посетете следния уеб сайт на Microsoft:
http://msdn2.microsoft.com/en-us/library/bb204773(VS.85).aspx
Следните ключове на системния регистър отговарят настройките на групови правила:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    REG_DWORD: ConcatenateDefaults_AllowDefault
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefCredentialsWhenNTLMOnly
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentials
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    REG_DWORD: ConcatenateDefaults_AllowFresh
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentials
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    REG_DWORD: ConcatenateDefaults_AllowSaved
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyDefaultCredentials
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    REG_DWORD: ConcatenateDefaults_DenyDefault
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyFreshCredentials
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    REG_DWORD: ConcatenateDefaults_DenyFresh
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenySavedCredentials
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    REG_DWORD: ConcatenateDefaults_DenySaved
    Value data (Данни за стойността): 1 (разрешаване) 0 (забраняване)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

    "<serial_no>"="<server SPN>"
Например, да приемем, че искате да включите възможността за еднократна идентификация, когато използвате терминалните услуги, за да свържете към компютър, базиран на Windows Vista, или към компютър, базиран на Windows Server 2008, от към компютър, базиран на Windows XP SP3. В този случай трябва да добавите следните записи в системния регистър на компютър, базиран на Windows XP SP3:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Value data (Данни за стойността): 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Value data (Данни за стойността): 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV/*"
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.

Свойства

ID на статията: 951608 - Последна рецензия: 15 май 2011 г. - Редакция: 2.0
ВАЖИ ЗА:
  • Microsoft Windows XP Service Pack 3
Ключови думи: 
kbexpertiseadvanced kbhowto kbinfo kbfixme kbmsifixme KB951608

Изпратете обратна информация

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com