Descripción del proveedor de soporte de seguridad de credenciales (CredSSP) en Windows XP Service Pack 3

INTRODUCCIÓN

Este artículo describe el proveedor de soporte de seguridad de credenciales (CredSSP) en Windows XP Service Pack 3 (SP3).

Más información

CredSSP es un proveedor de asistencia de seguridad nuevo (SSP) que está disponible en Windows XP SP3 mediante la interfaz de proveedor de compatibilidad con seguridad (SSPI). CredSSP permite que un programa cliente SSP para delegar las credenciales de usuario desde el equipo cliente al servidor de destino. (Al servidor de destino se accede mediante el uso de SSP en el lado del servidor). Windows XP SP3 implica únicamente la implementación del SSP de cliente. La implementación de SSP de cliente está utilizando el protocolo de escritorio remoto (RDP) 6.1 Terminal Services (TS). Sin embargo, la implementación de SSP de cliente puede utilizarse con cualquier programa de terceros que está dispuesta a utilizar el SSP de cliente para interactuar con programas que se ejecutan implementaciones de SSP del lado del servidor en Windows Vista o en Windows Server 2008.

Para descargar la especificación del protocolo CredSSP, visite el siguiente sitio Web de Microsoft:Nota: De forma predeterminada, CredSSP está desactivada en Windows XP SP3.

Cómo activar CredSSP

Para que podamos activar CredSSP para usted, vaya a la sección de "arreglarlo para mí". Si prefiere corregir este problema manualmente, vaya a la sección "Solucionarlo por mí mismo".

Solucionarlo en mi lugar



Para corregir este problema automáticamente, haga clic en el botón o vínculo Fix it. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y siga los pasos del asistente de solución (Fix it)




Notas:
  • Este asistente puede estar solo en inglés. Sin embargo, la corrección automática también funciona para otras versiones de idioma de Windows.
  • Si no utiliza el equipo que tiene el problema, guarde la corrección se solución a un CD o una unidad flash y, a continuación, ejecútelo en el equipo que tiene el problema.




Solucionarlo por mí mismo

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, presione ENTRAR.
  2. En el panel de exploración, busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. En el panel de detalles, haga clic en Paquetes de seguridady, a continuación, haga clic en Modificar.
  4. En el cuadro información del valor , escriba tspkg. Deje todos los datos que es específicos de los demás SSP y, a continuación, haga clic en Aceptar.
  5. En el panel de exploración, busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
  6. En el panel de detalles, haga SecurityProvidersy, a continuación, haga clic en Modificar.
  7. En el cuadro información del valor , escriba credssp.dll. Deje todos los datos que es específicos de los demás SSP y, a continuación, haga clic en Aceptar.
  8. Salga del Editor del Registro.
  9. Reinicie el equipo.

Escenarios para utilizar CredSSP

Escenario 1: Usar mediante programación el SSP

Ahora puede utilizar CredSSP para realizar la autenticación de cliente en Windows XP SP3. Puede utilizar CredSSP junto con las API de autenticación para autenticar correctamente los programas homólogo del lado del servidor que se ejecutan en Windows Vista o en Windows Server 2008.

Para obtener más información acerca de la función AcquireCredentialsHandle (CredSSP) , visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de la función InitializeSecurityContext (CredSSP) , visite el siguiente sitio Web de Microsoft:

Escenario 2: Usar servicios de Terminal Server conectarse a Windows Vista o Windows Server 2008 desde Windows XP SP3

  • Utilice Servicios de Terminal Server junto con la experiencia de inicio de sesión único para conectarse a un equipo basado en Windows Vista o a un equipo basado en Windows Server 2008 desde un equipo basado en Windows XP SP3 mediante predeterminados (predefinidos) credenciales. Esta característica requiere modificar claves del registro que están relacionados con la delegación de credenciales.
  • Utilice Servicios de Terminal Server para conectarse desde un equipo basado en Windows XP SP3 en un equipo basado en Windows Vista o a un equipo basado en Windows Server 2008 cuando se exige la autenticación de nivel de red (NLA).
Nota: Debe activar CredSSP para utilizar correctamente los servicios de Terminal Server para conectarse a un equipo basado en Windows Vista NLA forzada o a un equipo basado en Windows Server 2008 NLA forzada desde un equipo basado en Windows XP SP3.

Configuración de directiva de grupo CredSSP

Windows XP SP3 es compatible con la configuración de directiva de grupo CredSSP que son específicos a la delegación de credenciales, tal como se aplica en Windows Vista o en Windows Server 2008. Sin embargo, la configuración de directiva de grupo CredSSP no está disponible como un objeto de directiva de grupo (GPO) en Windows XP SP3. La configuración de directiva de grupo CredSSP puede aplicarse creando o modificando las entradas del registro para el valor de directiva de grupo CredSSP requerido. Las entradas del registro contienen una lista de nombres principales de servicio (SPN) de servidor para el que se aplica la configuración de directiva de grupo asociada. Además, las entradas del registro contienen el número de serie de los servidores.

Para obtener más información acerca de la configuración de directiva de grupo CredSSP, visite el siguiente sitio Web de Microsoft:Las claves del registro siguientes corresponden a la configuración de directiva de grupo:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowDefault
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

    "< serial_no >" = "< servidor SPN >"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefCredentialsWhenNTLMOnly
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

    "< serial_no >" = "< servidor SPN >"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentials
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowFresh
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

    "< serial_no >" = "< servidor SPN >"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    "< serial_no >" = "< servidor SPN >"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentials
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowSaved
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

    "< serial_no >" = "< servidor SPN >"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

    "< serial_no >" = "< servidor SPN >"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyDefaultCredentials
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_DenyDefault
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

    "< serial_no >" = "< servidor SPN >"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyFreshCredentials
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_DenyFresh
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

    "< serial_no >" = "< servidor SPN >"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenySavedCredentials
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    REG_DWORD: ConcatenateDefaults_DenySaved
    Datos del valor: 1 (habilitar) 0 (deshabilitar)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

    "< serial_no >" = "< servidor SPN >"
Por ejemplo, supongamos que desea activar la experiencia de inicio de sesión único cuando se utiliza servicios de Terminal Server para conectarse a un equipo basado en Windows Vista o en un equipo basado en Windows Server 2008 desde un equipo basado en Windows XP SP3. En este caso, agregaría las siguientes entradas del registro en el equipo basado en Windows XP SP3:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Datos del valor: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Datos del valor: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV/*"
Propiedades

Id. de artículo: 951608 - Última revisión: 14 ene. 2017 - Revisión: 1

Service Pack 3 para Microsoft Windows XP

Comentarios