Chiave di registro per consentire l'invio di chiavi di sessione in Ticket-Granting-Ticket Kerberos

IMPORTANTE: in questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, assicurarsi tuttavia di sapere come ripristinarlo in caso di problemi. Per informazioni su come eseguire questa operazione, vedere l'argomento della Guida relativo al ripristino del Registro di sistema in Regedit.exe oppure l'argomento relativo al ripristino di una chiave del Registro di sistema in Regedt32.exe.

Sommario

Per garantire una migliore protezione, Microsoft ha limitato la funzionalità che consente a un'interfaccia di recuperare coppie di chiavi di sessione Ticket-Granting-Ticket (TGT) dal pacchetto di protezione Kerberos. Poiché alcuni programmi di terze parti potrebbero richiedere il corretto funzionamento di questa funzionalità, in questo articolo viene descritto come abilitare nuovamente questa interfaccia.

Informazioni

ATTENZIONE: l'errato utilizzo dell'Editor del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che i problemi derivanti dall'errato utilizzo dell'Editor del Registro di sistema possano essere risolti. L'utilizzo dell'Editor del Registro di sistema è a rischio e pericolo dell'utente.

Per informazioni su come modificare il Registro di sistema, vedere l'argomento della Guida "Modifica di chiavi e valori" nell'Editor del Registro di sistema (Regedit.exe) oppure gli argomenti relativi all'aggiunta e all'eliminazione di informazioni nel Registro di sistema e alla modifica dei dati del Registro di sistema in Regedt32.exe. Si raccomanda di eseguire una copia di backup del Registro di sistema prima di modificarlo. Se si utilizza Windows NT o Windows 2000 occorre inoltre aggiornare il disco di ripristino.

Prima della modifica descritta nella sezione "Sommario" di questo articolo, i programmi erano in grado di utilizzare l'API Win32 LsaCallAuthenticationPackage specificando KERB_RETRIEVE_TICKET_REQUEST e i tipi di messaggio KerbRetrieveEncodedTicketMessage o KerbRetrieveTicketMessage per recuperare un TGT Kerberos e la relativa chiave di sessione.


Il valore di registro per includere una chiave di sessione nel TGT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nome valore: allowtgtsessionkey
Tipo valore: REG_SZ

Intervallo valore: 0 o 1 (valore predefinito 0)
  • 0: la risposta KerbRetrieveEncodedTicketMessage non includerà alcuna chiave di sessione che consenta l'utilizzo di questo TGT per eseguire l'accesso.
  • 1: una chiave di sessione dovrebbe essere restituita con il TGT in base al comportamento corrente.
Proprietà

ID articolo: 308339 - Ultima revisione: 16 giu 2009 - Revisione: 1

Feedback