Popis protokolu Credential Security Support Provider (CredSSP) v balíku Windows XP Service Pack 3

Preklady článku Preklady článku
ID článku: 951608 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

ÚVOD

V tomto článku sa popisuje protokol Credential Security Support Provider (CredSSP) v balíku Windows XP Service Pack 3.

DALSIE INFORMACIE

CredSSP je nový protokol Security Support Provider (SSP) dostupný v rámci balíka Windows XP SP3 pomocou rozhrania Security Support Provider Interface (SSPI). Protokol CredSSP umožňuje programu používať protokol SSP na strane klienta na delegovanie poverení používateľa z klientskeho počítača na cieľový server. (Prístup k cieľovému serveru sa získa pomocou protokolu SSP na strane servera.) Balík Windows XP SP3 obsahuje len implementáciu protokolu SSP na strane klienta. Implementáciu protokolu SSP na strane klienta aktuálne používa služba Remote Desktop Protocol (RDP) 6.1 Terminal Services (TS). Implementáciu protokolu SSP na strane klienta však môže používať ľubovoľný program tretej strany ochotný používať protokol SSP na strane klienta na interakciu s programami so spustenými implementáciami protokolu SSP na strane servera v systéme Windows Vista alebo Windows Server 2008.

Ak chcete prevziať špecifikáciu protokolu CredSSP, navštívte nasledujúcu webovú lokalitu spoločnosti Microsoft:
http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/%5BMS-CSSP%5D.pdf
Poznámka V balíku Windows XP SP3 je protokol CredSSP predvolene vypnutý.

Zapnutie protokolu CredSSP

Ak chcete, aby sme protokol CredSSP zapli za vás, prejdite do časti Opravte to za mňa. Ak chcete tento problém vyriešiť sami, prejdite do časti Ja to vyriešim.

Opravte to za mňa



Ak chcete tento problém vyriešiť automaticky, kliknite na prepojenie alebo tlačidlo Fix it. Kliknite na položku Spustiť v dialógovom okne Prevzatie súboru a postupujte podľa pokynov Sprievodcu nástroja Fix it.


Zapnutie protokolu CredSSP
Microsoft Fix it 50588


Poznámky
  • Tento sprievodca môže byť dostupný iba v angličtine. Automatická oprava však funguje aj pre ostatné jazykové verzie systému Windows.
  • Ak nepracujete s počítačom, v ktorom sa vyskytol problém, môžete riešenie Fix it uložiť na jednotku flash alebo na disk CD a potom ho môžete spustiť v počítači s problémom.




Ja to vyriešim

Dôležité upozornenie Táto sekcia, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Preto dávajte pozor a postupujte presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je pred úpravou databázu Registry vhodné zálohovať. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v nasledovnom článku databázy Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy Registry v systéme Windows
  1. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz regedit a stlačte kláves ENTER.
  2. Na navigačnej table nájdite a kliknite na nasledujúci podkľúč databázy Registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Na table podrobností kliknite pravým tlačidlom myši na položku Balíky zabezpečenia a potom kliknite na položku Upraviť.
  4. Do poľa Údaj hodnoty zadajte reťazec tspkg. Zrušte všetky údaje, ktoré sú špecifické pre iné protokoly SSP a potom kliknite na tlačidlo OK.
  5. Na navigačnej table nájdite a kliknite na nasledujúci podkľúč databázy Registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
  6. Na table podrobností kliknite pravým tlačidlom myši na položku
    SecurityProviders
    , a potom kliknite na položku Upraviť.
  7. Do poľa Údaj hodnoty zadajte hodnotu credssp.dll. Zrušte všetky údaje, ktoré sú špecifické pre iné protokoly SSP, a potom kliknite na tlačidlo OK.
  8. Ukončite Editor databázy Registry.
  9. Reštartujte počítač.

Scenáre používania protokolu CredSSP

Scenár 1: Programové používanie protokolu SSP

Protokol CredSSP môžete použiť na vykonávanie overovania na strane klienta v balíku Windows XP SP3. Protokol CredSSP spolu s rozhraniami API na overovanie môžete použiť na úspešné overovanie kópií programov na strane servera spustených v systéme Windows Vista alebo Windows Server 2008.

Ďalšie informácie o funkcii AcquireCredentialsHandle (CredSSP) nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/aa965463(VS.85).aspx
Ďalšie informácie o funkcii InitializeSecurityContext (CredSSP) nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/aa965582.aspx

Scenár 2: Použitie služby Terminal Services na pripojenie k systému Windows Vista alebo Windows Server 2008 zo systému Windows XP SP3

  • Službu Terminal Services spolu s procesom jediného prihlásenia môžete použiť na pripojenie k počítaču so systémom Windows Vista alebo k počítaču so systémom Windows Server 2008 z počítača so systémom Windows XP SP3. Táto funkcia vyžaduje úpravu kľúčov databázy Registry súvisiacich s delegovaním poverení.
  • Službu Terminal Services môžete tiež použiť, ak sa chcete pripojiť z počítača so systémom Windows XP SP3 k počítaču so systémom Windows Vista alebo Windows Server 2008 a je vynútené overovanie na úrovni siete (NLA).
Poznámka Ak chcete úspešne použiť službu Terminal Services na pripojenie k počítaču so systémom Windows Vista s vynúteným overovaním NLA alebo k počítaču so systémom Windows Server 2008 s vynúteným overovaním NLA z počítača so systémom Windows XP SP3, musíte zapnúť protokol CredSSP.

Nastavenie skupinovej politiky protokolu CredSSP

Systém Windows XP SP3 podporuje nastavenie skupinovej politiky protokolu CredSSP špecifické pre delegovanie poverení v systéme Windows Vista alebo Windows Server 2008. Nastavenie skupinovej politiky protokolu CredSSP však nie je dostupné ako objekt skupinovej politiky v systéme Windows XP SP3. Nastavenie skupinovej politiky protokolu CredSSP je možné použiť prostredníctvom vytvárania alebo úpravy položiek databázy Registry pre požadované nastavenie skupinovej politiky protokolu CredSSP. Položky databázy Registry obsahujú zoznam hlavných názvov služby (Service Principal Name – SPN) servera, ktorých sa týka príslušné nastavenie skupinovej politiky. Položky databázy Registry navyše obsahujú sériové čísla serverov.

Ďalšie informácie o nastavení skupinovej politiky protokolu CredSSP sa nachádzajú na nasledujúcej webovej lokalite spoločnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/bb204773(VS.85).aspx
Nastaveniu skupinovej politiky zodpovedajú nasledujúce kľúče databázy Registry:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    REG_DWORD: ConcatenateDefaults_AllowDefault
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefCredentialsWhenNTLMOnly
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentials
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    REG_DWORD: ConcatenateDefaults_AllowFresh
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentials
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    REG_DWORD: ConcatenateDefaults_AllowSaved
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyDefaultCredentials
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    REG_DWORD: ConcatenateDefaults_DenyDefault
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyFreshCredentials
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    REG_DWORD: ConcatenateDefaults_DenyFresh
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenySavedCredentials
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    REG_DWORD: ConcatenateDefaults_DenySaved
    Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

    "<serial_no>"="<server SPN>"
Predpokladajme napríklad, že chcete pri používaní služby Terminal Services zapnúť proces jediného prihlásenia, aby ste sa mohli pripájať k počítaču so systémom Windows Vista alebo k počítaču so systémom Windows Server 2008 z počítača so systémom Windows XP SP3. V takom prípade by ste v počítači so systémom Windows XP SP3 pridali nasledujúce položky databázy Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Údaj hodnoty: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Údaj hodnoty: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV/*"
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.

Vlastnosti

ID článku: 951608 - Posledná kontrola: 17. mája 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
Kľúčové slová: 
kbexpertiseadvanced kbhowto kbinfo kbfixme kbmsifixme KB951608

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com