Описание поставщика поддержки безопасности учетных данных (CredSSP) в пакете обновления 3 для Windows XP

Переводы статьи Переводы статьи
Код статьи: 951608 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В данной статье описывается поставщик поддержки безопасности учетных данных (CredSSP) в пакете обновления 3 (SP3) для Windows XP.

Дополнительная информация

CredSSP — новый поставщик поддержки безопасности (SSP), доступный в Windows XP с пакетом обновления 3 с помощью интерфейса поставщика поддержки безопасности (SSPI). CredSSP позволяет программе использовать клиентского поставщика общих СЛУЖБ для делегирования учетных данных пользователя с клиентского компьютера на целевой сервер. (На конечном сервере доступ осуществляется с помощью серверного поставщика SSP). Windows XP SP3 включает в себя только клиентскую реализацию поставщика SSP. Реализация клиентского поставщика SSP используется по протоколу удаленного рабочего стола (RDP) 6.1 служб терминалов. Тем не менее любая программа от независимых производителей, которая желает использовать клиентский поставщик SSP для взаимодействия с запущенными программами реализации поставщика SSP на стороне сервера в Windows Vista или Windows Server 2008 может использоваться клиентскую реализацию поставщика SSP.

Чтобы загрузить спецификации протокола CredSSP, посетите следующий веб-сайт корпорации Майкрософт:
http://download.Microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/%5BMS-CSSP%5D.PDF
Примечание По умолчанию в Windows XP SP3 CredSSP отключен.

Как включить CredSSP

Требуется помощь для вас включить CredSSP, перейти к "Получить помощь"раздел. Если вы предпочитаете решить проблему самостоятельно, перейдите к»Решить самостоятельно"раздел.

Получить помощь



Чтобы устранить проблему автоматически, нажмите кнопку Помощь в решении кнопка или ссылка. Нажмите кнопку Запуск в Загрузка файла диалоговое окно поле и следуйте указаниям исправление мастера.


Включение CredSSP
Microsoft Fix it 50588


Примечания
  • Этот мастер может быть доступен только на английском языке. Однако автоматическое исправление также работает для других языковых версий Windows.
  • Если вы не используете компьютер, на котором выявлена проблема, сохраните решение Fix it на флэш-накопитель или компакт-диск и запустите его на компьютере, на котором возникла проблема.




Решить самостоятельно

Важно Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому точно выполняйте следующие действия. Для дополнительной защиты создайте резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для дополнительных сведений о способах создания резервной копии и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как провести резервное копирование и восстановление реестра Windows
  1. Нажмите кнопку Пуск, нажмите кнопку Запуск, тип regedit, а затем нажмите клавишу ВВОД.
  2. В области навигации найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. В области сведений щелкните правой кнопкой мыши Пакеты безопасности, а затем нажмите кнопку Изменить.
  4. В Значение данных поле типа tspkg. Оставьте все данные, характерные для других поставщиков общих служб и нажмите кнопку ОК.
  5. В области навигации найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
  6. В области сведений щелкните правой кнопкой мыши
    SecurityProviders
    , а затем нажмите кнопку Изменить.
  7. В Значение данных поле типа credssp.dll. Оставьте все данные, характерные для других поставщиков общих служб и нажмите кнопку ОК.
  8. Закройте редактор реестра.
  9. Перезагрузите компьютер.

Сценарии использования CredSSP

Сценарий 1. Программное использование поставщика SSP

Теперь CredSSP можно использовать для выполнения проверки подлинности на стороне клиента в Windows XP SP3. Можно использовать CredSSP вместе с интерфейсами API проверки подлинности, чтобы проверять серверные части программ, запущенные в Windows Vista или Windows Server 2008.

Дополнительные сведения о функции AcquireCredentialsHandle (CredSSP) см. на следующем веб-сайте корпорации Майкрософт:
http://msdn2.microsoft.com/en-us/library/aa965463(VS.85).aspx
Дополнительные сведения о функции InitializeSecurityContext (CredSSP) см. на следующем веб-сайте корпорации Майкрософт:
http://msdn2.microsoft.com/en-us/library/aa965582.aspx

Сценарий 2. Использование служб терминалов для подключения к Windows Vista или Windows Server 2008 с Windows XP с SP3

  • Используйте службы терминалов с единым входом для подключения к компьютеру под управлением Windows Vista или Windows Server 2008 с компьютера под управлением Windows XP с SP3, используя учетные данные по умолчанию (предварительно заданные). Эта функция требует изменить разделы реестра, относящиеся к делегированию учетных данных.
  • Используйте службы терминалов подключиться с компьютера под управлением Windows XP SP3 на компьютер под управлением Windows Vista или компьютер под управлением Windows Server 2008 Если применяется проверка подлинности уровне сети (NLA).
Примечание Необходимо включить CredSSP для успешного использования служб терминалов для подключения к компьютеру под управлением Windows Vista или Windows Server 2008 с принудительным NLA с компьютера под управлением Windows XP с SP3.

Параметры групповой политики CredSSP

SP3 для Windows XP поддерживает параметры групповой политики CredSSP, характерные для делегирования учетных данных, как оно применяется в Windows Vista или Windows Server 2008. Тем не менее параметры групповой политики CredSSP не доступны в качестве объекта групповой политики (GPO) в Windows XP с SP3. Параметры групповой политики CredSSP могут применяться посредством создания или изменения записей реестра, необходимых параметру групповой политики CredSSP. Записи реестра содержат список имен участников службы (SPN) сервера, для которого применяется соответствующий параметр групповой политики. Кроме того записи реестра содержать серийный номер серверов.

Дополнительные сведения о параметрах групповой политики CredSSP см. на следующем веб-сайте корпорации Майкрософт:
http://msdn2.microsoft.com/en-us/library/bb204773(VS.85).aspx
Параметрам групповой политики соответствуют следующие разделы реестра:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    Значение: 1 (включен) 0 (отключено)

    REG_DWORD: ConcatenateDefaults_AllowDefault
    Значение: 1 (включен) 0 (отключено)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

    "<serial_no>"="<server spn="">" </server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefCredentialsWhenNTLMOnly
    Значение: 1 (включен) 0 (отключено)

    REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
    Значение: 1 (включен) 0 (отключено)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentials
    Значение: 1 (включен) 0 (отключено)

    REG_DWORD: ConcatenateDefaults_AllowFresh
    Значение: 1 (включен) 0 (отключено)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
    Значение: 1 (включен) 0 (отключено)

    REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
    Значение: 1 (включен) 0 (отключено)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentials
    Значение: 1 (включен) 0 (отключено)

    REG_DWORD: ConcatenateDefaults_AllowSaved
    Значение: 1 (включен) 0 (отключено)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
    Значение: 1 (включен) 0 (отключено)

    REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
    Значение: 1 (включен) 0 (отключено)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyDefaultCredentials
    Значение: 1 (включен) 0 (отключено)

    REG_DWORD: ConcatenateDefaults_DenyDefault
    Значение: 1 (включен) 0 (отключено)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyFreshCredentials
    Значение: 1 (включен) 0 (отключено)

    REG_DWORD: ConcatenateDefaults_DenyFresh
    Значение: 1 (включен) 0 (отключено)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenySavedCredentials
    Значение: 1 (включен) 0 (отключено)

    REG_DWORD: ConcatenateDefaults_DenySaved
    Значение: 1 (включен) 0 (отключено)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
Например предположим, что вы хотите включить единый вход при использовании служб терминалов для подключения к компьютеру под управлением Windows Vista или Windows Server 2008 с компьютера под управлением Windows XP с пакетом обновления 3. В этом случае необходимо добавить следующие записи реестра на компьютере под управлением Windows XP с SP3:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Значение: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Значение: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1 "="TERMSRV/*"

Свойства

Код статьи: 951608 - Последний отзыв: 2 июня 2013 г. - Revision: 9.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Service Pack 3
Ключевые слова: 
kbexpertiseadvanced kbhowto kbinfo kbfixme kbmsifixme kbmt KB951608 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке: 951608

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com