Descripción de Proveedor de servicios de seguridad mediante credenciales (CredSSP) en Windows XP Service Pack 3

Seleccione idioma Seleccione idioma
Id. de artículo: 951608 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En este artículo se describe Proveedor de servicios de seguridad mediante credenciales (CredSSP) en Windows XP Service Pack 3 (SP3).

Más información

CredSSP es un nuevo proveedor de servicios de seguridad (SSP) que está disponible en Windows XP SP3 mediante el uso de la interfaz de proveedor de servicios de seguridad (SSPI). CredSSP permite a un programa utilizar SSP de cliente con objeto de delegar credenciales de usuario del equipo cliente al servidor de destino. (Se obtiene acceso al servidor de destino mediante el uso del SSP de servidor). Windows XP SP3 sólo incluye la implementación del SSP de cliente. Actualmente utiliza la implementación del SSP de cliente el Protocolo de escritorio remoto (RDP) 6.1 Servicios de terminal (TS). No obstante, cualquier programa de otro fabricante puede utilizar la implementación del SSP de cliente si está dispuesto a que dicho SSP interactúe con programas que ejecutan implementaciones del SSP de servidor en Windows Vista o en Windows Server 2008.

Para descargar la especificación del protocolo CredSSP, visite el siguiente sitio web de Microsoft:
http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/%5BMS-CSSP%5D.pdf
Nota De forma predeterminada, CredSSP está desactivado en Windows XP SP3.

Cómo activar CredSSP

Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo realizar una copia de seguridad, modificar y restaurar el Registro en Windows XP y Windows Server 2003
  1. Haga clic en Inicio y en Ejecutar, escriba regedit y presione ENTRAR.
  2. En el panel de navegación, busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. En el panel de detalles, haga clic con el botón secundario en Paquetes de seguridad y, a continuación, haga clic en Modificar.
  4. En el cuadro Información del valor, escriba tspkg. Deje cualquier dato específico de otros SSP, y después haga clic en Aceptar.
  5. En el panel de navegación, busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
  6. En el panel de detalles, haga clic con el botón secundario en
    SecurityProviders
    , y, a continuación, haga clic en Modificar.
  7. En el cuadro Información del valor, escriba credssp.dll. Deje cualquier dato específico de otros SSP, y después haga clic en Aceptar.
  8. Salga del Editor del Registro.
  9. Reinicie el equipo.

Escenarios para utilizar CredSSP

Escenario 1: Utilizar el SSP mediante programación

Ahora puede utilizar CredSSP para realizar la autenticación de cliente en Windows XP SP3. Puede utilizar CredSSP junto con las API para autenticar correctamente los programas homólogos de servidor que se ejecutan en Windows Vista o en Windows Server 2008.

Para obtener más información acerca de la función AcquireCredentialsHandle (CredSSP), visite el siguiente sitio web de Microsoft:
http://msdn.microsoft.com/es-es/library/aa965463(VS.85).aspx
Para obtener más información acerca de la función InitializeSecurityContext (CredSSP), visite el siguiente sitio web de Microsoft:
http://msdn.microsoft.com/es-es/library/aa965582(VS.85).aspx

Escenario 2: Usar Servicios de terminal para conectar a Windows Vista o a Windows Server 2008 desde Windows XP SP3

  • Use Servicios de terminal junto con la experiencia de inicio de sesión único para conectarse a un equipo basado en Windows o a un equipo basado en Windows Server 2008 desde un equipo basado en Windows XP SP3 mediante el uso de credenciales predeterminadas. Esta característica requiere que modifique las claves de registro relacionadas con la delegación de credenciales.
  • Use Servicios de terminal para conectarse desde un equipo basado en Windows XP SP3 a un equipo basado en Windows Vista o a un equipo basado en Windows Server 2008 cuando se aplique la autenticación de nivel de red (NLA).
Nota Debe activar CredSSP para usar con éxito Servicios de terminal para conectar un equipo basado en Windows Vista al que se le ha aplicado una NLA a un equipo basado en Windows Server 2008 desde un equipo basado en Windows XP SP3.

Configuración de directiva de grupo de CredSSP

Windows XP SP3 es compatible con la configuración de directiva de grupo de CredSSP específica de la delegación de credenciales ya que se aplica a Windows Vista o a Windows Server 2008. No obstante, la configuración de directiva de grupo de CredSSP no está disponible como objeto de directiva de grupo (GPO) en Windows XP SP3. La configuración de directiva de grupo de CredSSP puede aplicarse mediante la creación o la modificación de entradas de registro para el valor requerido de directiva de grupo CredSSP. Las entradas de registro contienen la lista de Nombres principales de servicio (SPN) a los que se aplica el valor de directiva de grupo. Además, las entradas de registro contienen el número de serie de los servidores.

Para obtener más información sobre la configuración de la directiva de grupo CredSSP, visite el siguiente sitio web de Microsoft:
http://msdn.microsoft.com/es-es/library/bb204773(VS.85).aspx
Las claves de registro siguientes corresponden configuraciones de directiva de grupo:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowDefault
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefCredentialsWhenNTLMOnly
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentials
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowFresh
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentials
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowSaved
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyDefaultCredentials
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_DenyDefault
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyFreshCredentials
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_DenyFresh
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenySavedCredentials
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_DenySaved
    Información del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

    "<serial_no>"="<server SPN>"
Por ejemplo, suponga que desea activar la experiencia de inicio de sesión único cuando utiliza Servicios de terminal para conectarse a un equipo basado en Windows Server 2008 desde un equipo basado en Windows XP SP3. En este caso, agregaría las siguientes entradas de registro en el equipo basado en Wndows XP SP3:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Información del valor: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Información del valor: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV/*"

Propiedades

Id. de artículo: 951608 - Última revisión: martes, 30 de junio de 2009 - Versión: 2.3
La información de este artículo se refiere a:
  • Service Pack 3 para Microsoft Windows XP
Palabras clave: 
kbexpertiseadvanced kbhowto kbinfo KB951608

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com