Windows XP Service Pack 3 で資格情報のセキュリティ サポート プロバイダー (CredSSP) の説明

はじめに

この資料では、Windows XP Service Pack 3 (SP3) の資格情報のセキュリティ サポート プロバイダー (CredSSP) について説明します。

詳細

CredSSP では、新しいセキュリティ サポート プロバイダー (SSP) セキュリティ サポート プロバイダー インターフェイス (SSPI) を使用して Windows XP SP3 で提供されます。CredSSP では、ターゲット サーバーにクライアント コンピューターからユーザーの資格情報を委任するのにはクライアント側の SSP を使用するプログラムを使用できます。(ターゲット サーバーにサーバー側の SSP を使用してアクセス)。Windows XP SP3 には、クライアント側の SSP 実装のみが含まれます。クライアント側の SSP の実装は、リモート デスクトップ プロトコル (RDP) 6.1 ターミナル サービス (TS) によって現在使用されています。ただし、クライアント側の SSP の実装は、クライアント側の SSP を使用して Windows Vista または Windows Server 2008 でサーバー側の SSP の実装を実行しているプログラムとやり取りをするサードパーティ製のプログラムで使用できます。

CredSSP プロトコルの仕様をダウンロードするには、次のマイクロソフト Web サイトを参照してください。注: 既定では、CredSSP が Windows XP SP3 では、オフします。

CredSSP を有効にする方法

CredSSP を有効にするには、「私の問題を修正」セクションに進んでください。自分でこの問題を解決する場合は、「自分で解決する」セクションに移動します。

Fix it で解決する



自動的にこの問題を解決するには、[修正] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで[実行] をクリックし、Fix it ウィザードの手順に従います。




注:
  • このウィザードは英語版のみである場合があります。しかし、自動的な解決は英語版以外の Windows でも機能します。
  • 問題のあるコンピューターを使用していない場合は、修正プログラムを保存、ソリューションをフラッシュ ドライブまたは CD で問題が発生するコンピューターで実行するとします。




自分で解決する

重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合にレジストリを復元することができます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756の方法をバックアップし、Windows のレジストリを復元するには
  1. [スタート] ボタン、[実行] をクリックして、 「regedit」と入力し、ENTER キーを押します。
  2. ナビゲーション ウィンドウで、次のレジストリ サブキーを見つけて、クリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. 詳細ペインでSecurity Packagesを右クリックし、[変更] をクリックしてください
  4. [値データ] ボックスで、 tspkgを入力します。他の Ssp に固有のデータのままにし、[ OK] をクリックします。
  5. ナビゲーション ウィンドウで、次のレジストリ サブキーを見つけて、クリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
  6. 詳細ペインでは、 SecurityProvidersを右クリックし、し、[変更] をクリックします。
  7. [値データ] ボックスで、 credssp.dllを入力します。他の Ssp に固有のデータのままにし、[ OK] をクリックします。
  8. レジストリ エディターを終了します。
  9. コンピューターを再起動します。

CredSSP を使用するシナリオ

シナリオ 1: プログラムを使用して、SSP を使用します。

Windows XP SP3 では、クライアント側の認証を実行するのに CredSSP を使用することができます。認証 Api と CredSSP を使用すると、Windows Vista または Windows Server 2008 で実行しているサーバー側に対応するプログラムを正常に認証します。

AcquireCredentialsHandle (CredSSP)関数の詳細については、次のマイクロソフト Web サイトを参照してください。認証が失敗 (CredSSP)関数の詳細については、次のマイクロソフト Web サイトを参照してください。

シナリオ 2: Windows Vista または Windows XP SP3 から Windows Server 2008 に接続するターミナル サービスを使用

  • 既定値を使用して Windows Vista ベースのコンピューターまたは Windows XP SP3 ベースのコンピューターから Windows Server 2008 ベースのコンピューターを接続すると、シングル サインオン エクスペリエンス、ターミナル サービスを使用 (既定) の資格情報。 この機能では、資格情報の委任に関連するレジストリ キーを変更する必要があります。
  • ネットワーク レベル認証 (NLA) を適用するときに Windows Vista ベースのコンピューターまたは Windows Server 2008 ベースのコンピューターに Windows XP SP3 ベースのコンピューターから接続するには、ターミナル サービスを使用します。
注: 正常に NLA によって適用される Windows Vista ベースのコンピューターまたは NLA によって適用される Windows Server 2008 ベースのコンピューター Windows XP SP3 ベースのコンピューターからに接続するターミナル サービスを使用して CredSSP を有効にする必要があります。

CredSSP グループ ポリシーの設定

Windows XP SP3 には、Windows Vista または Windows Server 2008 で適用される資格情報の委任に固有の CredSSP グループ ポリシー設定がサポートされています。ただし、CredSSP グループ ポリシー設定は Windows XP SP3 では、グループ ポリシー オブジェクト (GPO) として利用可能です。 作成するか、必要な CredSSP のグループ ポリシー設定のレジストリ エントリを変更することにより、CredSSP グループ ポリシー設定を適用できます。レジストリ エントリには、関連付けられたグループ ポリシー設定が適用されるのサービス プリンシパル名 (Spn) のサーバーの一覧が含まれています。また、レジストリ エントリには、サーバーのシリアル番号が含まれます。

CredSSP グループ ポリシー設定の詳細については、次のマイクロソフト Web サイトを参照してください。次のレジストリ キーは、グループ ポリシーの設定に対応しています。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    値のデータ: 1 (有効) 0 (無効)

    REG_DWORD: ConcatenateDefaults_AllowDefault
    値のデータ: 1 (有効) 0 (無効)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

    "< serial_no >"="< サーバー SPN >
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefCredentialsWhenNTLMOnly
    値のデータ: 1 (有効) 0 (無効)

    REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
    値のデータ: 1 (有効) 0 (無効)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

    "< serial_no >"="< サーバー SPN >
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentials
    値のデータ: 1 (有効) 0 (無効)

    REG_DWORD: ConcatenateDefaults_AllowFresh
    値のデータ: 1 (有効) 0 (無効)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

    "< serial_no >"="< サーバー SPN >
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
    値のデータ: 1 (有効) 0 (無効)

    REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
    値のデータ: 1 (有効) 0 (無効)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    "< serial_no >"="< サーバー SPN >
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentials
    値のデータ: 1 (有効) 0 (無効)

    REG_DWORD: ConcatenateDefaults_AllowSaved
    値のデータ: 1 (有効) 0 (無効)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

    "< serial_no >"="< サーバー SPN >
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
    値のデータ: 1 (有効) 0 (無効)

    REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
    値のデータ: 1 (有効) 0 (無効)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

    "< serial_no >"="< サーバー SPN >
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyDefaultCredentials
    値のデータ: 1 (有効) 0 (無効)

    REG_DWORD: ConcatenateDefaults_DenyDefault
    値のデータ: 1 (有効) 0 (無効)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

    "< serial_no >"="< サーバー SPN >
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyFreshCredentials
    値のデータ: 1 (有効) 0 (無効)

    REG_DWORD: ConcatenateDefaults_DenyFresh
    値のデータ: 1 (有効) 0 (無効)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

    "< serial_no >"="< サーバー SPN >
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenySavedCredentials
    値のデータ: 1 (有効) 0 (無効)

    REG_DWORD: ConcatenateDefaults_DenySaved
    値のデータ: 1 (有効) 0 (無効)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

    "< serial_no >"="< サーバー SPN >
たとえば、Windows Vista ベースのコンピューターまたは Windows XP SP3 ベースのコンピューターから Windows Server 2008 ベースのコンピューターに接続するターミナル サービスを使用する場合は、シングル サインオン エクスペリエンスを有効にすることを想定しています。ここでは、Windows XP SP3 ベースのコンピューターで次のレジストリ エントリを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
値のデータ: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
値のデータ: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV/*"
プロパティ

文書番号:951608 - 最終更新日: 2017/02/05 - リビジョン: 1

Microsoft Windows XP Service Pack 3

フィードバック