凭据安全支持提供程序 (CredSSP) 在 Windows XP Service Pack 3 中的说明

文章翻译 文章翻译
文章编号: 951608 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

本文介绍了凭据安全支持提供程序 (CredSSP) 在 Windows XP 服务包 3 (SP3)。

更多信息

CredSSP 是一个新安全支持提供程序 (SSP),方法是在 Windows XP SP3 中可用使用安全支持提供程序接口 (SSPI)。CredSSP 允许程序使用客户端的 SSP,从客户端计算机的用户凭据委派到目标服务器。(目标服务器通过使用服务器端 SSP)。Windows XP SP3 涉及到客户端的 SSP 实现。客户端的 SSP 实现当前正在使用的远程桌面协议 (RDP) 6.1 终端服务 (TS)。但是,客户端的 SSP 实现可由愿意使用客户端的 SSP 与进行交互程序正在运行服务器端 SSP 实现,在 Windows Vista 中,或在 Windows Server 2008 中的任何第三方程序。

若要下载 CredSSP 协议规范,请访问下面的 Microsoft 网站:
http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/%5BMS-CSSP%5D.pdf
注意默认情况下,CredSSP 被关闭 Windows XP sp3。

如何打开 CredSSP

若要让我们为您启用 CredSSP,请转到"帮我修复"一节。如果您更喜欢自己修复此问题,请转到"我自己修复"一节。

帮我修复



若要自动修复此问题,请单击修复按钮或链接。单击文件下载对话框中的运行,并按照“修复此问题”向导中的步骤操作。


打开 CredSSP
Microsoft Fix it 50588


注释
  • 此向导可能仅为英文。但是,自动修复功能也适用于其他语言版本的 Windows。
  • 如果您没有使用的计算机时出现问题,将修复功能保存它到闪存驱动器或 CD 的解决方案,然后在出现此问题的计算机上运行它。




我自己修复

重要提示此部分、方法或任务包含告诉您如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重问题。因此,请确保仔细按这些步骤操作。为增加保护,先备份注册表再对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows XP 中备份和还原注册表
  1. 单击开始,然后单击运行,类型 注册表编辑器然后按 enter 键。
  2. 在导航窗格中,找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. 在详细信息窗格中,右键单击安全产品包),然后单击修改
  4. 数值数据框中,键入 tspkg.将特定于其他 Ssp,任何数据,然后单击确定
  5. 在导航窗格中,找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
  6. 在详细信息窗格中,用鼠标右键单击
    SecurityProviders
    然后单击修改
  7. 数值数据框中,键入 credssp.dll.将特定于其他 Ssp,任何数据,然后单击确定
  8. 退出注册表编辑器。
  9. 重新启动计算机。

使用 CredSSP 的方案

方案 1: 以编程方式使用 SSP

您现在可以使用 CredSSP 来执行 Windows XP SP3 中的客户端的身份验证。您可以使用与身份验证 Api 配合 CredSSP 对应的服务器端程序运行在 Windows Vista 中或在 Windows Server 2008 中的身份验证成功。

AcquireCredentialsHandle (CredSSP)函数的详细信息,请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/en-us/library/aa965463 (VS.85).aspx
InitializeSecurityContext (CredSSP)函数的详细信息,请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/en-us/library/aa965582.aspx

方案 2: 使用终端服务来连接到 Windows Vista 或从 Windows XP SP3 的 Windows Server 2008

  • 使用终端服务,以及单一登录体验使用默认连接到基于 Windows Vista 的计算机或基于 Windows Server 2008 的计算机从基于 Windows XP SP3 的计算机 (预设) 的凭据。此功能要求您修改注册表项与有关凭据委派的。
  • 使用终端服务从一台基于 Windows XP SP3 的计算机是基于 Windows Vista 的计算机或基于 Windows Server 2008 的计算机时,连接网络级别身份验证 (NLA) 强制执行。
注意您必须打开 CredSSP 成功使用终端服务连接到 NLA 实施基于 Windows Vista 的计算机或者 NLA 实施基于 Windows Server 2008 的计算机从基于 Windows XP SP3 的计算机。

CredSSP 组策略设置

Windows XP SP3 支持 CredSSP 组策略设置是针对在 Windows Vista 中,或在 Windows Server 2008 中所特有的凭据委派。但是,不能用作 Windows XP SP3 中的组策略对象 (GPO) CredSSP 组策略设置。通过创建或修改所需的 CredSSP 组策略设置的注册表项,则可以应用 CredSSP 组策略设置。注册表项包含相关联的组策略设置将应用服务器的服务主体名称 (Spn) 列表。此外,注册表项包含服务器的序列号。

有关 CredSSP 的组策略设置的详细信息,请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/en-us/library/bb204773 (VS.85).aspx
下面的注册表项对应于组策略设置:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    值数据: 1 (启用) 0 (禁用)

    REG_DWORD: ConcatenateDefaults_AllowDefault
    值数据: 1 (启用) 0 (禁用)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

    "<serial_no>"="<server spn="">" </server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefCredentialsWhenNTLMOnly
    值数据: 1 (启用) 0 (禁用)

    REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
    值数据: 1 (启用) 0 (禁用)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentials
    值数据: 1 (启用) 0 (禁用)

    REG_DWORD: ConcatenateDefaults_AllowFresh
    值数据: 1 (启用) 0 (禁用)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
    值数据: 1 (启用) 0 (禁用)

    REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
    值数据: 1 (启用) 0 (禁用)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentials
    值数据: 1 (启用) 0 (禁用)

    REG_DWORD: ConcatenateDefaults_AllowSaved
    值数据: 1 (启用) 0 (禁用)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
    值数据: 1 (启用) 0 (禁用)

    REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
    值数据: 1 (启用) 0 (禁用)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyDefaultCredentials
    值数据: 1 (启用) 0 (禁用)

    REG_DWORD: ConcatenateDefaults_DenyDefault
    值数据: 1 (启用) 0 (禁用)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyFreshCredentials
    值数据: 1 (启用) 0 (禁用)

    REG_DWORD: ConcatenateDefaults_DenyFresh
    值数据: 1 (启用) 0 (禁用)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenySavedCredentials
    值数据: 1 (启用) 0 (禁用)

    REG_DWORD: ConcatenateDefaults_DenySaved
    值数据: 1 (启用) 0 (禁用)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

    "<serial_no>"="<server spn="">"</server></serial_no>
例如,假设您想要启用单一登录体验当您使用终端服务连接到基于 Windows Vista 的计算机或基于 Windows Server 2008 的计算机从基于 Windows XP SP3 的计算机。在这种情况下,您将基于 Windows XP SP3 的计算机上添加以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
值数据: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
值数据: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="终端 / *"

属性

文章编号: 951608 - 最后修改: 2014年2月9日 - 修订: 8.0
这篇文章中的信息适用于:
  • Microsoft Windows XP Service Pack 3
关键字:?
kbexpertiseadvanced kbhowto kbinfo kbfixme kbmsifixme kbmt KB951608 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 951608
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com