Beschreibung des Credential Security Supportprovider (CredSSP) in Windows XP Servicepack 3

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 951608 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel beschreibt den Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3 (SP3).

Weitere Informationen

CredSSP ist ein neuer Security Support Provider (SSP), der über Security Support Provider Interface (SSPI) in Windows XP SP3 verfügbar ist. CredSSP ermöglicht es einem Programm, mit dem clientseitigen SSP die Benutzeranmeldeinformationen vom Clientcomputer an den Zielserver zu delegieren. (Auf den Zielserver wird mittels serverseitigem SSP zugegriffen.) Windows XP SP3 verwendet nur die clientseitige SSP-Implementierung. Die clientseitige SSP-Implementierung wird derzeit von Remote Desktop Protocol (RDP) 6.1 Terminal Services (TS) verwendet. Die clientseitige SSP-Implementierung kann jedoch von einem Fremdanbieter-Programm verwendet werden, das bereit ist, den clientseitigen SSP für die Interaktion mit Programmen zu verwenden, die serverseitige SSP-Implementierungen in Windows Vista oder Windows Server 2008 ausführen.

Um die Protokollspezifikation für CredSSP herunterzuladen, besuchen Sie die folgende Website von Microsoft:
http://Download.Microsoft.com/Download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/%5BMS-CSSP%5D.PDF
Hinweis Standardmäßig ist CredSSP in Windows XP SP3 deaktiviert.

CredSSP aktivieren

Um für Sie CredSSP aktivieren lassen möchten, fahren Sie mit dem "Problem automatisch beheben"Abschnitt. Wenn Sie dieses Problem selbst beheben möchten, fahren Sie fort mit "Problem manuell beheben"Abschnitt.

Problem automatisch beheben



Um dieses Problem automatisch zu beheben, klicken Sie auf die Schaltfläche Fix it oder den Link. Klicken Sie auf Ausführen , klicken Sie im Dialogfeld Dateidownload , und befolgen Sie die Schritte in den Fix es Assistenten.


CredSSP aktivieren
Microsoft Fix it 50588


Hinweise
  • Dieser Assistent kann nur auf Englisch verfügbar sein. Die automatische Korrektur funktioniert auch für andere Sprachversionen von Windows.
  • Wenn Sie nicht den Computer verwenden, auf dem das Problem auftritt, speichern Sie die Fix it-Lösung auf ein Flashlaufwerk oder einer CD, und führen Sie sie dann auf dem Computer aus, auf dem das Problem auftritt.




Problem manuell beheben

Wichtig: Dieser Abschnitt, die Methode oder die Aufgabe enthält Schritte, die erklären, wie Sie die Windows-Registry ändern. Es können schwerwiegende Probleme auftreten, wenn Sie die Windows-Registry falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie Änderungen vornehmen. Gegebenenfalls können Sie dann die Registrierung wiederherstellen, wenn ein Problem auftritt. Für Weitere Informationen zum Sichern und Wiederherstellen der Registrierung, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben regedit, und drücken Sie dann die EINGABETASTE.
  2. Suchen Sie im Navigationsbereich den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Klicken Sie im Detailbereich mit der rechten Maustaste Sicherheitspaketeund klicken Sie dann auf Ändern.
  4. Geben Sie im Feld Wertdatentspkg. Lassen Sie alle Daten, die für andere SSPs spezifisch sind, und klicken Sie dann auf OK.
  5. Suchen Sie im Navigationsbereich den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
  6. Klicken Sie im Detailbereich mit der rechten Maustaste auf
    SecurityProviders
    , und klicken Sie dann auf Ändern.
  7. Geben Sie im Feld WertdatenCredSSP.dll. Lassen Sie alle Daten, die für andere SSPs spezifisch sind, und klicken Sie dann auf OK.
  8. Beenden Sie den Registrierungs-Editor.
  9. Starten Sie den Computer neu.

Szenarien für die Verwendung von CredSSP

Szenario 1: Programmgesteuerte Verwendung des SSP

Mit CredSSP können Sie nun die Client-seitige Authentifizierung in Windows XP SP3 durchführen. Sie können CredSSP zusammen mit Authentifizierungs-APIs verwenden, um die entsprechenden serverseitigen Programme erfolgreich zu authentifizieren, die in Windows Vista oder Windows Server 2008 ausgeführt werden.

Weitere Informationen über die Funktion AcquireCredentialsHandle (CredSSP) finden Sie auf der folgenden Microsoft-Website:
http://msdn2.Microsoft.com/en-us/library/aa965463 (VS. 85
Weitere Informationen über die Funktion InitializeSecurityContext (CredSSP) finden Sie auf der folgenden Microsoft-Website:
http://msdn2.Microsoft.com/en-us/library/aa965582.aspx

Szenario 2: Verwendung der Terminaldienste, um von Windows XP SP3 eine Verbindung zu Windows Vista oder Windows Server 2008 herzustellen

  • Verwenden Sie die Terminal Services zusammen mit dem einmaligen Anmelden, um von einem Computer mit Windows XP SP3 unter Verwendung der (voreingestellten) Standardanmeldeinformationen eine Verbindung zu einem Computer mit Windows Vista oder Windows Server 2008 herzustellen. Hierzu müssen Sie Registrierungsschlüssel ändern, die sich auf die Delegierung von Anmeldeinformationen beziehen.
  • Verwenden Sie Terminaldienste, um eine Verbindung von einem Windows XP SP3-basierten Computer zu einem Computer mit Windows Vista oder Windows Server 2008 herzustellen, wenn NLA (Network Level Authentication) erzwungen wird.
Hinweis Sie müssen CredSSP aktivieren, um Terminaldienste von einem Windows XP SP3-basierten Computer zum Herstellen einer Verbindung zu einem Computer mit Windows Vista oder Windows Server 2008 und erzwungener NLA verwenden zu können.

Gruppenrichtlinieneinstellungen für CredSSP

Windows XP SP3 unterstützt CredSSP-Gruppenrichtlinieneinstellungen, die für die Delegierung von Anmeldeinformationen spezifisch sind, wie sie in Windows Vista oder Windows Server 2008 angewendet wird. Die Gruppenrichtlinieneinstellungen für CredSSP sind jedoch nicht als ein Gruppenrichtlinienobjekt (GPO) in Windows XP SP3 verfügbar. Die Gruppenrichtlinieneinstellungen für CredSSP können angewendet werden, indem Registrierungseinträge für die erforderliche CredSSP Gruppenrichtlinieneinstellung erstellt oder geändert werden. Die Registrierungseinträge enthalten die Liste der Server-Dienstprinzipalnamen (SPN), auf die die zugehörige Gruppenrichtlinieneinstellung angewendet wird. Darüber hinaus enthalten die Registrierungseinträge die Seriennummer der Server.

Weitere Informationen über Gruppenrichtlinieneinstellungen für CredSSP finden Sie auf der folgenden Microsoft-Website:
http://msdn2.Microsoft.com/en-us/library/bb204773 (VS. 85
Die folgenden Registrierungsschlüssel entsprechen Gruppenrichtlinieneinstellungen:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    Wert: 1 (aktiviert) 0 (deaktiviert)

    REG_DWORD: ConcatenateDefaults_AllowDefault
    Wert: 1 (aktiviert) 0 (deaktiviert)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

    "<serial_no>"="<server spn="">" </server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefCredentialsWhenNTLMOnly
    Wert: 1 (aktiviert) 0 (deaktiviert)

    REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
    Wert: 1 (aktiviert) 0 (deaktiviert)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentials
    Wert: 1 (aktiviert) 0 (deaktiviert)

    REG_DWORD: ConcatenateDefaults_AllowFresh
    Wert: 1 (aktiviert) 0 (deaktiviert)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
    Wert: 1 (aktiviert) 0 (deaktiviert)

    REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
    Wert: 1 (aktiviert) 0 (deaktiviert)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentials
    Wert: 1 (aktiviert) 0 (deaktiviert)

    REG_DWORD: ConcatenateDefaults_AllowSaved
    Wert: 1 (aktiviert) 0 (deaktiviert)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
    Wert: 1 (aktiviert) 0 (deaktiviert)

    REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
    Wert: 1 (aktiviert) 0 (deaktiviert)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyDefaultCredentials
    Wert: 1 (aktiviert) 0 (deaktiviert)

    REG_DWORD: ConcatenateDefaults_DenyDefault
    Wert: 1 (aktiviert) 0 (deaktiviert)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyFreshCredentials
    Wert: 1 (aktiviert) 0 (deaktiviert)

    REG_DWORD: ConcatenateDefaults_DenyFresh
    Wert: 1 (aktiviert) 0 (deaktiviert)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenySavedCredentials
    Wert: 1 (aktiviert) 0 (deaktiviert)

    REG_DWORD: ConcatenateDefaults_DenySaved
    Wert: 1 (aktiviert) 0 (deaktiviert)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
Nehmen wir beispielsweise an, dass Sie die einmalige Anmeldung (SSO) aktivieren, wenn Sie Terminaldienste verwenden, um von einem Windows XP SP3-basierten Computer eine Verbindung zu einem Computer mit Windows Vista oder Windows Server 2008 herzustellen. In diesem Fall würden Sie die folgenden Registrierungseinträge auf dem Computer mit Windows XP SP3 hinzufügen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Wertdaten: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Wertdaten: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV / *"

Eigenschaften

Artikel-ID: 951608 - Geändert am: Sonntag, 22. Juni 2014 - Version: 9.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Service Pack 3
Keywords: 
kbexpertiseadvanced kbhowto kbinfo kbfixme kbmsifixme kbmt KB951608 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 951608
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com