Опис протоколу CredSSP (Credential Security Support Provider) в ОС Windows XP з пакетом оновлень 3

Номер статті: 951608 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

ВСТУП

У статті описано протокол CredSSP (Credential Security Support Provider) в ОС Windows XP з пакетом оновлень 3 (SP3).
На початок | Надіслати відгук

ДОДАТКОВІ ВІДОМОСТІ

CredSSP – це постачальник підтримки безпеки (SSP), доступний в ОС Windows XP з пакетом оновлень 3 (SP3) за умови використання інтерфейсу постачальника підтримки безпеки (SSPI). CredSSP дає змогу програмі використовувати клієнтський SSP для передачі облікових даних користувача із клієнтського комп’ютера на цільовий сервер. (Доступ до цільового сервера можна отримати за допомогою серверного SSP.) ОС Windows XP з пакетом оновлень 3 (SP3) передбачає впровадження лише клієнтського SSP. Упровадження клієнтського SSP наразі використовується службами терміналів (TS) протоколу віддаленого робочого стола (RDP) версії 6.1. Однак упровадження клієнтського SSP може використовуватися будь-якою програмою сторонніх постачальників, яка застосовує клієнтський SSP для взаємодії із програмами, що працюють під керуванням упроваджень клієнтського SSP в ОС Windows Vista або Windows Server 2008.

Щоб завантажити специфікацію протоколу CredSSP, перейдіть на веб-сайт корпорації Майкрософт за цією адресою:
http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/%5BMS-CSSP%5D.pdf
(http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/%5BMS-CSSP%5D.pdf)
Примітка. Протокол CredSSP вимкнуто в ОС Windows XP з пакетом оновлень 3 (SP3) за промовчанням.

Увімкнення CredSSP

Щоб автоматично ввімкнути CredSSP, перейдіть до розділу Виправити автоматично. Щоб вирішити цю проблему самостійно, перейдіть до розділу Виправити вручну.

Виправити автоматично



Щоб вирішити цю проблему автоматично, натисніть кнопку Fix it або посилання під нею. Клацніть Виконати в діалоговому вікні Завантаження файлу й дотримуйтесь інструкцій майстра Fix it.


Увімкнути CredSSP
Microsoft Fix it 50588


Примітки
  • Цей майстер може бути доступний лише англійською мовою. Проте автоматичне виправлення працює також для інших мовних версій Windows.
  • Якщо ви працюєте не за тим комп’ютером, на якому виявлено неполадку, рішення Fix it можна зберегти на флеш-пам’ять або компакт-диск, а потім запустити на потрібному комп’ютері.




Виправити вручну

Увага! Цей розділ, спосіб або завдання містить відомості про внесення змін до реєстру. Неправильне внесення змін до реєстру може спричинити виникнення серйозних проблем. Тому будьте уважні, виконуючи ці кроки. Перш ніж вносити зміни, обов’язково створіть резервну копію реєстру. Якщо виникне проблема, його можна буде відновити до попереднього стану. Для отримання додаткових відомостей про створення резервної копії та відновлення реєстру клацніть цей номер статті, щоб переглянути її в базі знань Microsoft:
322756
(http://support.microsoft.com/kb/322756/uk-ua/ )
Створення резервної копії та відновлення реєстру в ОС Windows
  1. Клацніть Пуск, виберіть Виконати, введіть regedit і натисніть клавішу ENTER.
  2. В області переходів знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. В області відомостей клацніть правою кнопкою миші пункт Пакети безпеки та виберіть пункт Змінити.
  4. У полі Значення введіть tspkg. Залиште без змін дані інших SSP й натисніть кнопку OK.
  5. В області переходів знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
  6. В області відомостей клацніть правою кнопкою миші параметр
    SecurityProviders
    і виберіть пункт Змінити.
  7. У полі Значення введіть credssp.dll. Залиште без змін дані інших SSP й натисніть кнопку OK.
  8. Закрийте редактор реєстру.
  9. Перезавантажте комп’ютер.

Сценарії використання CredSSP

Сценарій 1. Програмне використання SSP

Протокол CredSSP наразі можна використовувати для здійснення клієнтської автентифікації в ОС Windows XP з пакетом оновлень 3 (SP3). Протокол CredSSP можна використовувати разом з API для автентифікації відповідних серверних програм, запущених в ОС Windows Vista або Windows Server 2008.

Щоб отримати додаткові відомості про функцію AcquireCredentialsHandle (CredSSP), відвідайте веб-сайт корпорації Майкрософт за цією адресою:
http://msdn.microsoft.com/uk-ua/library/aa965463(VS.85).aspx
(http://msdn.microsoft.com/uk-ua/library/aa965463(VS.85).aspx)
Щоб отримати додаткові відомості про функцію InitializeSecurityContext (CredSSP), відвідайте веб-сайт корпорації Майкрософт за цією адресою:
http://msdn.microsoft.com/uk-ua/library/aa965582.aspx
(http://msdn.microsoft.com/uk-ua/library/aa965582.aspx)

Сценарій 2. Використання служб терміналів для встановлення підключення між ОС Windows Vista або Windows Server 2008 і ОС Windows XP з пакетом оновлень (SP3)

  • Для встановлення підключення між комп’ютерами під керуванням ОС Windows Vista або Windows Server 2008 і ОС Windows XP з пакетом оновлень (SP3) за допомогою облікових даних за промовчанням (визначена настройка) використовуйте служби терміналів у поєднанні зі службою єдиного входу. Ця функція потребує змінення розділів реєстру, пов’язаних із передачею облікових даних.
  • Для встановлення підключення між комп’ютерами під керуванням ОС Windows XP з пакетом оновлень (SP3) і ОС Windows Vista або Windows Server 2008, коли застосовується автентифікація на мережному рівні (NLA), використовуйте служби терміналів у поєднанні зі службою єдиного входу.
Примітка. Щоб використовувати служби терміналів для встановлення підключення між комп’ютерами під керуванням ОС Windows Vista або Windows Server 2008 із застосуванням NLA і ОС Windows XP з пакетом оновлень 3 (SP3), необхідно ввімкнути протокол CredSSP.

Параметри групової політики CredSSP

ОС Windows XP з пакетом оновлень 3 (SP3) підтримує параметри групової політики CredSSP, що відповідають делегуванню облікових даних, як це відбувається в ОС Windows Vista або Windows Server 2008. Однак параметри групової політики CredSSP не доступні як об’єкт групової політики (GPO) в ОС Windows XP з пакетом оновлень 3 (SP3). Параметри групової політики CredSSP можуть застосовуватися під час створення або змінення записів у реєстрі для потрібної настройки групової політики CredSSP. Записи в реєстрі містять список імен учасників служби сервера (SPN), для яких застосовується відповідна настройка групової політики. Окрім того, записи в реєстрі містять серійні номери серверів.

Щоб отримати додаткові відомості про параметри групової політики CredSSP, відвідайте веб-сайт корпорації Майкрософт за цією адресою:
http://msdn.microsoft.com/uk-ua/library/bb204773(VS.85).aspx
(http://msdn.microsoft.com/uk-ua/library/bb204773(VS.85).aspx)
Параметрам групової політики відповідають наведені нижче розділи реєстру.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    Значення: 1 (увімкнути) 0 (вимкнути)

    REG_DWORD: ConcatenateDefaults_AllowDefault
    Значення: 1 (увімкнути) 0 (вимкнути)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefCredentialsWhenNTLMOnly
    Значення: 1 (увімкнути) 0 (вимкнути)

    REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
    Значення: 1 (увімкнути) 0 (вимкнути)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentials
    Значення: 1 (увімкнути) 0 (вимкнути)

    REG_DWORD: ConcatenateDefaults_AllowFresh
    Значення: 1 (увімкнути) 0 (вимкнути)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
    Значення: 1 (увімкнути) 0 (вимкнути)

    REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
    Значення: 1 (увімкнути) 0 (вимкнути)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentials
    Значення: 1 (увімкнути) 0 (вимкнути)

    REG_DWORD: ConcatenateDefaults_AllowSaved
    Значення: 1 (увімкнути) 0 (вимкнути)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
    Значення: 1 (увімкнути) 0 (вимкнути)

    REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
    Значення: 1 (увімкнути) 0 (вимкнути)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyDefaultCredentials
    Значення: 1 (увімкнути) 0 (вимкнути)

    REG_DWORD: ConcatenateDefaults_DenyDefault
    Значення: 1 (увімкнути) 0 (вимкнути)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyFreshCredentials
    Значення: 1 (увімкнути) 0 (вимкнути)

    REG_DWORD: ConcatenateDefaults_DenyFresh
    Значення: 1 (увімкнути) 0 (вимкнути)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenySavedCredentials
    Значення: 1 (увімкнути) 0 (вимкнути)

    REG_DWORD: ConcatenateDefaults_DenySaved
    Значення: 1 (увімкнути) 0 (вимкнути)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

    "<serial_no>"="<server SPN>"
Припустімо, що для встановлення підключення між комп’ютером під керуванням ОС Windows Vista або Windows Server 2008 і ОС Windows XP з пакетом оновлень 3 (SP3) потрібно ввімкнути службу єдиного входу (за умови використання служб терміналів). У такому випадку на комп’ютері під керуванням ОС Windows XP з пакетом оновлень 3 (SP3) до реєстру потрібно додати наведені нижче записи.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Значення: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Значення: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV/*"
На початок | Надіслати відгук
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use
(http://go.microsoft.com/fwlink/?LinkId=151500)
for other considerations.
На початок | Надіслати відгук

Властивості

Номер статті: 951608 - Востаннє переглянуто: 17 травня 2011 р. - Редакція: 2.0
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Windows XP Service Pack 3
Ключові слова: 
kbexpertiseadvanced kbhowto kbinfo kbfixme kbmsifixme KB951608
На початок | Надіслати відгук

Надіслати відгук

 
На початокНа початок