Opis dostawcy obsługi zabezpieczeń poświadczeń (CredSSP) w systemie Windows XP z dodatkiem Service Pack 3

WPROWADZENIE

W tym artykule opisano dostawcę obsługi zabezpieczeń poświadczeń (CredSSP) w systemie Windows XP z dodatkiem Service Pack 3 (SP3).

Więcej informacji

CredSSP to nowy dostawca obsługi zabezpieczeń (SSP, Security Support Provider) dostępny w systemie Windows XP z dodatkiem SP3 za pośrednictwem interfejsu dostawcy obsługi zabezpieczeń (SSPI, Security Support Provider Interface). CredSSP umożliwia programowi delegowanie poświadczeń użytkownika z komputera klienckiego na serwer docelowy za pomocą dostawcy SSP po stronie klienta. (Dostęp do serwera docelowego jest uzyskiwany przy użyciu dostawcy SSP po stronie serwera). W systemie Windows XP z dodatkiem SP3 jest uwzględniona tylko implementacja dostawcy SSP po stronie klienta. Implementacja dostawcy SSP po stronie klienta jest obecnie używana przez usługi terminalowe protokołu RDP (Remote Desktop Protocol) 6.1. Implementacja dostawcy SSP po stronie klienta może być jednak używana przez dowolny program innej firmy, w którym dostawca SSP po stronie klienta ma być stosowany w celu interakcji z programami korzystającymi z implementacji dostawców SSP po stronie serwera w systemie Windows Vista lub Windows Server 2008.

Aby pobrać specyfikację protokołu CredSSP, odwiedź następującą witrynę firmy Microsoft w sieci Web:Uwaga Domyślnie w systemie Windows XP z dodatkiem SP3 dostawca CredSSP jest wyłączony.

Jak włączyć dostawcę CredSSP

Aby automatycznie włączyć dostawcę CredSSP, przejdź do sekcji Automatyczne rozwiązywanie problemu. Aby samodzielnie rozwiązać ten problem, przejdź do sekcji Samodzielne rozwiązywanie problemu.

Automatyczne rozwiązywanie problemuAby automatycznie rozwiązać ten problem, należy kliknąć przycisk lub łącze Fix it. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.
Uwagi
 • Ten kreator może być dostępny tylko w języku angielskim. Jednak ta poprawka automatyczna działa również w innych wersjach językowych systemu Windows.
 • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać to rozwiązanie w postaci poprawki automatycznej na dysku flash lub CD i uruchomić je na odpowiednim komputerze.
Samodzielne rozwiązywanie problemu

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu w przypadku wystąpienia problemu będzie można przywrócić rejestr. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonywać kopię zapasową rejestru i przywracać go w systemie Windows
 1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie naciśnij klawisz ENTER.
 2. W okienku nawigacji odszukaj i kliknij następujący podklucz rejestru:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
 3. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Security Packages, a następnie kliknij polecenie Modyfikuj.
 4. W polu Dane wartości wpisz ciąg tspkg. Pozostaw wszelkie dane specyficzne dla innych dostawców SSP, a następnie kliknij przycisk OK.
 5. W okienku nawigacji odszukaj i kliknij następujący podklucz rejestru:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
 6. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję SecurityProviders, a następnie kliknij polecenie Modyfikuj.
 7. W polu Dane wartości wpisz ciąg credssp.dll. Pozostaw wszelkie dane specyficzne dla innych dostawców SSP, a następnie kliknij przycisk OK.
 8. Zakończ pracę Edytora rejestru.
 9. Uruchom ponownie komputer.

Scenariusze używania dostawcy CredSSP

Scenariusz 1. Programowe używanie dostawcy SSP

Teraz można używać dostawcy CredSSP w celu przeprowadzania uwierzytelniania po stronie klienta w systemie Windows XP z dodatkiem SP3. Dostawcy CredSSP można używać razem z interfejsami API uwierzytelniania, aby pomyślnie uwierzytelniać odpowiednie programy po stronie serwera działające w systemie Windows Vista lub Windows Server 2008.

Aby uzyskać więcej informacji dotyczących funkcji AcquireCredentialsHandle (CredSSP), odwiedź następującą witrynę firmy Microsoft w sieci Web:Aby uzyskać więcej informacji dotyczących funkcji InitializeSecurityContext (CredSSP), odwiedź następującą witrynę firmy Microsoft w sieci Web:

Scenariusz 2. Nawiązywanie połączenia z systemem Windows Vista lub Windows Server 2008 z systemu Windows XP z dodatkiem SP3 przy użyciu usług terminalowych

 • Korzystając z usług terminalowych oraz środowiska rejestracji jednokrotnej, można nawiązać połączenie z komputerem z systemem Windows Vista lub Windows Server 2008 z komputera z systemem Windows XP z dodatkiem SP3 przy użyciu poświadczeń domyślnych (ustalonych z góry). Ta funkcja wymaga zmodyfikowania kluczy rejestru związanych z delegowaniem poświadczeń.
 • Korzystając z usług terminalowych, można z komputera z systemem Windows XP z dodatkiem SP3 nawiązać połączenie z komputerem z systemem Windows Vista lub Windows Server 2008, jeśli jest wymuszane uwierzytelnianie na poziomie sieci.
Uwaga Aby można było pomyślnie używać usług terminalowych w celu nawiązywania połączenia z komputerem z systemem Windows Vista lub Windows Server 2008, na którym jest wymuszane uwierzytelnianie na poziomie sieci, z komputera z systemem Windows XP z dodatkiem SP3, należy włączyć dostawcę CredSSP.

Ustawienia zasad grupy CredSSP

W systemie Windows XP z dodatkiem SP3 są obsługiwane ustawienia zasad grupy CredSSP, które są specyficzne dla delegowania poświadczeń stosowanego w systemie Windows Vista lub Windows Server 2008. Ustawienia zasad grupy CredSSP nie są jednak dostępne w systemie Windows XP z dodatkiem SP3 jako obiekt zasad grupy. Ustawienia zasad grupy CredSSP można zastosować przez utworzenie lub zmodyfikowanie wpisów rejestru dla wymaganego ustawienia zasad grupy CredSSP. Wpisy rejestru zawierają listę głównych nazw usługi (SPN), do których jest stosowane skojarzone ustawienie zasad grupy. Wpisy rejestru zawierają także numery seryjne serwerów.

Aby uzyskać więcej informacji o ustawieniach zasad grupy CredSSP, odwiedź następującą witrynę firmy Microsoft w sieci Web:Poniższe klucze rejestru odpowiadają ustawieniom zasad grupy:
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowDefaultCredentials
  Dane wartości: 1 (włączone) 0 (wyłączone)

  REG_DWORD: ConcatenateDefaults_AllowDefault
  Dane wartości: 1 (włączone) 0 (wyłączone)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

  "<nr_seryjny>"="<SPN serwera>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowDefCredentialsWhenNTLMOnly
  Dane wartości: 1 (włączone) 0 (wyłączone)

  REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
  Dane wartości: 1 (włączone) 0 (wyłączone)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

  "<nr_seryjny>"="<SPN serwera>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowFreshCredentials
  Dane wartości: 1 (włączone) 0 (wyłączone)

  REG_DWORD: ConcatenateDefaults_AllowFresh
  Dane wartości: 1 (włączone) 0 (wyłączone)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

  "<nr_seryjny>"="<SPN serwera>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
  Dane wartości: 1 (włączone) 0 (wyłączone)

  REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
  Dane wartości: 1 (włączone) 0 (wyłączone)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

  "<nr_seryjny>"="<SPN serwera>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowSavedCredentials
  Dane wartości: 1 (włączone) 0 (wyłączone)

  REG_DWORD: ConcatenateDefaults_AllowSaved
  Dane wartości: 1 (włączone) 0 (wyłączone)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

  "<nr_seryjny>"="<SPN serwera>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
  Dane wartości: 1 (włączone) 0 (wyłączone)

  REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
  Dane wartości: 1 (włączone) 0 (wyłączone)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

  "<nr_seryjny>"="<SPN serwera>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: DenyDefaultCredentials
  Dane wartości: 1 (włączone) 0 (wyłączone)

  REG_DWORD: ConcatenateDefaults_DenyDefault
  Dane wartości: 1 (włączone) 0 (wyłączone)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

  "<nr_seryjny>"="<SPN serwera>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: DenyFreshCredentials
  Dane wartości: 1 (włączone) 0 (wyłączone)

  REG_DWORD: ConcatenateDefaults_DenyFresh
  Dane wartości: 1 (włączone) 0 (wyłączone)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

  "<nr_seryjny>"="<SPN serwera>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: DenySavedCredentials
  Dane wartości: 1 (włączone) 0 (wyłączone)

  REG_DWORD: ConcatenateDefaults_DenySaved
  Dane wartości: 1 (włączone) 0 (wyłączone)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

  "<nr_seryjny>"="<SPN serwera>"
Załóżmy na przykład, że podczas nawiązywania przy użyciu usług terminalowych połączenia z komputerem z systemem Windows Vista lub Windows Server 2008 z komputera z systemem Windows XP z dodatkiem SP3 ma zostać włączone środowisko rejestracji jednokrotnej. W takim przypadku na komputerze z systemem Windows XP z dodatkiem SP3 należy dodać następujące wpisy rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Dane wartości: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Dane wartości: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV/*"
Właściwości

Identyfikator artykułu: 951608 — ostatni przegląd: 23.09.2011 — zmiana: 1

Opinia