Registrierungsschlüssel, der das Senden von Sitzungsschlüsseln in Kerberos-Ticket-Granting-Ticket zulässt

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
308339 Registry Key to Allow Session Keys to Be Sent in Kerberos Ticket-Granting-Ticket
Warnung: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Erstellen Sie eine Sicherungskopie der Dateien System.dat und User.dat (unter Windows Millennium ebenfalls der Datei Classes.dat), bevor Sie die Registrierung bearbeiten. Vergewissern Sie sich, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Informationen hierzu finden Sie in der integrierten Hilfe der Registrierungseditoren "Regedit.exe" oder "Regedt32.exe". Suchen Sie hier im Index nach "Wiederherstellen der Registrierung" oder nach "Wiederherstellen eines Registrierungsschlüssels". Wenn Sie mit Windows NT oder Windows 2000 arbeiten, sollten Sie zudem Ihre Notfalldiskette (Emergency Recovery Disk - ERD) aktualisieren.

Zusammenfassung

Um mehr Sicherheit zu gewährleisten, hat Microsoft eine Schnittstelle zur Bereitstellung von Ticket-Granting-Ticket-/Sitzungsschlüssel-Paaren über das Kerberos-Sicherheitspaket mit Einschränkungen versehen. Da einige Fremdanbieterprogramme diese Funktionalität eventuell benötigen, beschreibt dieser Artikel, wie Sie die Schnittstelle ggf. reaktivieren können.

Weitere Informationen

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung. Microsoft übernimmt keine Gewährleistungen oder Support für Probleme, die durch eine Manipulation der Windows- oder Windows NT-Registrierung verursacht wurden. Es ist Ihr eigenes Risiko, den Windows- oder Windows NT- Registrierungseditor oder ähnliche Werkzeuge zur Manipulation der Windows oder Windows NT Registrierung zu verwenden.

Vor der Änderung, die im Abschnitt "Zusammenfassung" in diesem Artikel beschrieben ist, konnten Programme die Win32-API LsaCallAuthenticationPackage verwenden, in der KERB_RETRIEVE_TICKET_REQUEST und entweder Nachrichten des Typs KerbRetrieveEncodedTicketMessage oder KerbRetrieveTicketMessage spezifiziert waren, um ein Kerberos-TGT (Ticket-Granting Ticket) und den zugehörigen Sitzungsschlüssel abzurufen.


Registrierungswert zur Aufnahme eines Sitzungsschlüssels in das TGT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Wert:
allowtgtsessionkey
Werttyp: REG_SZ
Wertebereich:
0 oder 1 (Standard: 0)
  • 0: Die Antwort KerbRetrieveEncodedTicketMessage enthält keinen Sitzungsschlüssel, der die Verwendung dieses TGT zur Anmeldung zulässt.
  • 1: Zeigt an, dass je nach aktuellem Verhalten ein Sitzungsschlüssel mit dem TGT zurückgeliefert werden soll.


Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 308339 – Letzte Überarbeitung: 05.06.2009 – Revision: 1

Feedback