Descripción de Proveedor de servicios de seguridad mediante credenciales (CredSSP) en Windows XP Service Pack 3

En este artículo se describe Proveedor de servicios de seguridad mediante credenciales (CredSSP) en Windows XP Service Pack 3 (SP3).

CredSSP es un nuevo proveedor de servicios de seguridad (SSP) que está disponible en Windows XP SP3 mediante el uso de la interfaz de proveedor de servicios de seguridad (SSPI). CredSSP permite a un programa utilizar SSP de cliente con objeto de delegar credenciales de usuario del equipo cliente al servidor de destino. (Se obtiene acceso al servidor de destino mediante el uso del SSP de servidor). Windows XP SP3 sólo incluye la implementación del SSP de cliente. Actualmente utiliza la implementación del SSP de cliente el Protocolo de escritorio remoto (RDP) 6.1 Servicios de terminal (TS). No obstante, cualquier programa de otro fabricante puede utilizar la implementación del SSP de cliente si está dispuesto a que dicho SSP interactúe con programas que ejecutan implementaciones del SSP de servidor en Windows Vista o en Windows Server 2008.

Para descargar la especificación del protocolo CredSSP, visite el siguiente sitio web de Microsoft:Nota De forma predeterminada, CredSSP está desactivado en Windows XP SP3.

Cómo activar CredSSP

Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

1. Haga clic en Inicio y en Ejecutar, escriba regedit y presione ENTRAR.
2. En el panel de navegación, busque la siguiente subclave del Registro y haga clic en ella:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. En el panel de detalles, haga clic con el botón secundario en Paquetes de seguridad y, a continuación, haga clic en Modificar.
4. En el cuadro Información del valor, escriba tspkg. Deje cualquier dato específico de otros SSP, y después haga clic en Aceptar.
5. En el panel de navegación, busque la siguiente subclave del Registro y haga clic en ella:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
6. En el panel de detalles, haga clic con el botón secundario en
   SecurityProviders
   , y, a continuación, haga clic en Modificar.
7. En el cuadro Información del valor, escriba credssp.dll. Deje cualquier dato específico de otros SSP, y después haga clic en Aceptar.
8. Salga del Editor del Registro.
9. Reinicie el equipo.

Escenarios para utilizar CredSSP

Escenario 1: Utilizar el SSP mediante programación

Ahora puede utilizar CredSSP para realizar la autenticación de cliente en Windows XP SP3. Puede utilizar CredSSP junto con las API para autenticar correctamente los programas homólogos de servidor que se ejecutan en Windows Vista o en Windows Server 2008.

Para obtener más información acerca de la función AcquireCredentialsHandle (CredSSP), visite el siguiente sitio web de Microsoft:Para obtener más información acerca de la función InitializeSecurityContext (CredSSP), visite el siguiente sitio web de Microsoft:

Escenario 2: Usar Servicios de terminal para conectar a Windows Vista o a Windows Server 2008 desde Windows XP SP3

• Use Servicios de terminal junto con la experiencia de inicio de sesión único para conectarse a un equipo basado en Windows o a un equipo basado en Windows Server 2008 desde un equipo basado en Windows XP SP3 mediante el uso de credenciales predeterminadas. Esta característica requiere que modifique las claves de registro relacionadas con la delegación de credenciales.
• Use Servicios de terminal para conectarse desde un equipo basado en Windows XP SP3 a un equipo basado en Windows Vista o a un equipo basado en Windows Server 2008 cuando se aplique la autenticación de nivel de red (NLA).

Nota Debe activar CredSSP para usar con éxito Servicios de terminal para conectar un equipo basado en Windows Vista al que se le ha aplicado una NLA a un equipo basado en Windows Server 2008 desde un equipo basado en Windows XP SP3.

Configuración de directiva de grupo de CredSSP

Windows XP SP3 es compatible con la configuración de directiva de grupo de CredSSP específica de la delegación de credenciales ya que se aplica a Windows Vista o a Windows Server 2008. No obstante, la configuración de directiva de grupo de CredSSP no está disponible como objeto de directiva de grupo (GPO) en Windows XP SP3. La configuración de directiva de grupo de CredSSP puede aplicarse mediante la creación o la modificación de entradas de registro para el valor requerido de directiva de grupo CredSSP. Las entradas de registro contienen la lista de Nombres principales de servicio (SPN) a los que se aplica el valor de directiva de grupo. Además, las entradas de registro contienen el número de serie de los servidores.

Para obtener más información sobre la configuración de la directiva de grupo CredSSP, visite el siguiente sitio web de Microsoft:Las claves de registro siguientes corresponden configuraciones de directiva de grupo:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
  
  REG_DWORD: AllowDefaultCredentials
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  REG_DWORD: ConcatenateDefaults_AllowDefault
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials
  
  "<serial_no>"="<server SPN>"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
  
  REG_DWORD: AllowDefCredentialsWhenNTLMOnly
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly
  
  "<serial_no>"="<server SPN>"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
  
  REG_DWORD: AllowFreshCredentials
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  REG_DWORD: ConcatenateDefaults_AllowFresh
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials
  
  "<serial_no>"="<server SPN>"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
  
  REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
  
  "<serial_no>"="<server SPN>"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
  
  REG_DWORD: AllowSavedCredentials
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  REG_DWORD: ConcatenateDefaults_AllowSaved
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials
  
  "<serial_no>"="<server SPN>"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
  
  REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly
  
  "<serial_no>"="<server SPN>"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
  
  REG_DWORD: DenyDefaultCredentials
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  REG_DWORD: ConcatenateDefaults_DenyDefault
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials
  
  "<serial_no>"="<server SPN>"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
  
  REG_DWORD: DenyFreshCredentials
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  REG_DWORD: ConcatenateDefaults_DenyFresh
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials
  
  "<serial_no>"="<server SPN>"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
  
  REG_DWORD: DenySavedCredentials
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  REG_DWORD: ConcatenateDefaults_DenySaved
  Información del valor: 1 (habilitar) 0 (deshabilitar)
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials
  
  "<serial_no>"="<server SPN>"

Por ejemplo, suponga que desea activar la experiencia de inicio de sesión único cuando utiliza Servicios de terminal para conectarse a un equipo basado en Windows Server 2008 desde un equipo basado en Windows XP SP3. En este caso, agregaría las siguientes entradas de registro en el equipo basado en Wndows XP SP3:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Información del valor: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Información del valor: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV/*"