Descrierea CredSSP (Credential Security Support Provider) din Windows XP Service Pack 3

INTRODUCERE

Acest articol descrie CredSSP (Credential Security Support Provider) din Windows XP Service Pack 3 (SP3).

I N F O R M AŢ I I S U P L I M E N T A R E

CredSSP este un nou furnizor de suport de securitate (SSP) care este disponibil în Windows XP SP3, utilizând SSPI (Security Support Provider Interface - interfața de furnizor de suport de securitate). CredSSP permite unui program să utilizeze SSP pe partea client pentru a delega acreditările de utilizator de la computerul client la serverul țintă. (Serverul țintă este accesat utilizând SSP pe partea server). Windows XP SP3 implică numai implementarea SSP pe partea client. Implementarea SSP pe partea client este utilizată în prezent de protocolul RDP (Remote Desktop Protocol - Protocol desktop la distanță) 6.1 Terminal Services (TS). Cu toate acestea, implementarea SSP pe partea client poate fi utilizată de orice program de la terți care dorește să utilizeze SSP pe partea client pentru a interacționa cu programe care execută implementări SSP pe partea server în Windows Vista sau în Windows Server 2008.

Pentru a descărca specificațiile protocolului CredSSP, vizitați următorul site Web de la Microsoft:Notă Implicit, CredSSP este dezactivat în Windows XP SP3.

Cum să activați CredSSP

Dacă doriți să activăm CredSSP în locul dvs., continuați cu secțiunea „Remediere automată”. Dacă preferați să remediați dvs. problema, continuați cu secțiunea „Remediere personală”.

Remediere automată



Pentru o remediere automată a acestei probleme, faceți clic pe linkul sau pe butonul Fix it. Faceți clic pe Executare în caseta de dialog Descărcare fișier, apoi urmați pașii din expertul Fix it.




Note
  • Este posibil ca acest expert să fie numai în limba engleză. Însă remedierea automată funcționează și pentru versiunile de Windows în alte limbi.
  • Dacă nu utilizați computerul care manifestă problema, salvați soluția Fix it pe o unitate flash sau pe un CD, apoi executați-o pe computerul care manifestă problema.




Remediere personală

Important Această secțiune, metodă sau activitate conține pași care vă indică modalități de modificare a registry. Însă, dacă modificați registry incorect, pot apărea probleme serioase. De aceea, asigurați-vă că urmați acești pași cu atenție. Pentru o protecție mai bună, înainte de a face modificări, realizați o copie de rezervă a registry. Apoi registry se poate restabili dacă apare o problemă. Pentru mai multe informații despre copierea de rezervă și restaurarea registry, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:
322756 Cum se creează copii de rezervă și cum se pot restaura cheile de registry în Windows
  1. Faceți clic pe Start, pe Executare, tastați regedit, apoi apăsați pe ENTER.
  2. În panoul de navigare, găsiți și faceți clic pe următoarea subcheie registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. În panoul de detalii, faceți clic cu butonul din dreapta pe Security Packages, apoi faceți clic pe Modify.
  4. În caseta Value data, tastați tspkg. Păstrați toate datele specifice altor SSP, apoi faceți clic pe OK.
  5. În panoul de navigare, găsiți și faceți clic pe următoarea subcheie registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
  6. În panoul de detalii, faceți clic cu butonul din dreapta pe SecurityProviders, apoi faceți clic pe Modify.
  7. În caseta Value data, tastați credssp.dll. Păstrați toate datele specifice altor SSP, apoi faceți clic pe OK.
  8. Închideți Registry Editor.
  9. Reporniți computerul.

Scenarii pentru utilizarea CredSSP

Scenariul 1: Utilizați SSP prin programare

Acum aveți posibilitatea să utilizați CredSSP pentru a efectua autentificarea pe partea client în Windows XP SP3. Aveți posibilitatea să utilizați CredSSP împreună cu interfețe API de autentificare pentru a autentifica cu succes programele corespondente pe partea server care se execută în Windows Vista sau în Windows Server 2008.

Pentru mai multe informații despre funcția AcquireCredentialsHandle (CredSSP), vizitați următorul site Web Microsoft:Pentru mai multe informații despre funcția InitializeSecurityContext (CredSSP), vizitați următorul site Web Microsoft:

Scenariul 2: Utilizați Terminal Services pentru a vă conecta la Windows Vista sau la Windows Server 2008 din Windows XP SP3

  • Utilizați Terminal Services împreună cu experiența Sign-on unic pentru a vă conecta la un computer cu Windows Vista sau la un computer cu Windows Server 2008 de la un computer cu Windows XP SP3, utilizând acreditările implicite (predefinite). Această caracteristică necesită ca dvs. să modificați cheile de registry care sunt asociate delegării de acreditări.
  • Utilizați Terminal Services pentru a vă conecta de la un computer cu Windows XP SP3 la un computer cu Windows Vista sau la un computer cu Windows Server 2008, când este impusă Autentificarea la nivel de rețea (NLA).
Notă Trebuie să activați CredSSP pentru a utiliza cu succes Terminal Services pentru a vă conecta la un computer cu Windows Vista cu NLA impusă sau la un computer cu Windows Server 2008 cu NLA impus de la un computer cu Windows XP SP3.

Setările de politică de grup CredSSP

Windows XP SP3 acceptă setările de politică de grup CredSSP care sunt specifice delegării de acreditări, deoarece aceasta se aplică în Windows Vista sau în Windows Server 2008. Cu toate acestea, setările de politică de grup CredSSP nu sunt disponibile ca obiect de politică de grup (GPO) în Windows XP SP3. Setările de politică de grup CredSSP se pot aplica prin crearea sau prin modificarea intrărilor de registry pentru setarea de politică de grup CredSSP obligatorie. Intrările de registry conțin lista de SPN-uri (nume principale de serviciu de server) pentru care se aplică setarea de politică de grup asociată. În plus, intrările de registry conțin numărul de serie al serverelor.

Pentru mai multe informații despre setările de politică de grup CredSSP, vizitați următorul site Web Microsoft:Următoarele chei de registry corespund setărilor politicii de grup:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    Value data: 1 (activare) 0 (dezactivare)

    REG_DWORD: ConcatenateDefaults_AllowDefault
    Value data: 1 (activare) 0 (dezactivare)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefCredentialsWhenNTLMOnly
    Value data: 1 (activare) 0 (dezactivare)

    REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
    Value data: 1 (activare) 0 (dezactivare)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentials
    Value data: 1 (activare) 0 (dezactivare)

    REG_DWORD: ConcatenateDefaults_AllowFresh
    Value data: 1 (activare) 0 (dezactivare)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
    Value data: 1 (activare) 0 (dezactivare)

    REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
    Value data: 1 (activare) 0 (dezactivare)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentials
    Value data: 1 (activare) 0 (dezactivare)

    REG_DWORD: ConcatenateDefaults_AllowSaved
    Value data: 1 (activare) 0 (dezactivare)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
    Value data: 1 (activare) 0 (dezactivare)

    REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
    Value data: 1 (activare) 0 (dezactivare)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyDefaultCredentials
    Value data: 1 (activare) 0 (dezactivare)

    REG_DWORD: ConcatenateDefaults_DenyDefault
    Value data: 1 (activare) 0 (dezactivare)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenyFreshCredentials
    Value data: 1 (activare) 0 (dezactivare)

    REG_DWORD: ConcatenateDefaults_DenyFresh
    Value data: 1 (activare) 0 (dezactivare)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

    "<serial_no>"="<server SPN>"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: DenySavedCredentials
    Value data: 1 (activare) 0 (dezactivare)

    REG_DWORD: ConcatenateDefaults_DenySaved
    Value data: 1 (activare) 0 (dezactivare)

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

    "<serial_no>"="<server SPN>"
De exemplu, să presupunem că doriți să activați experiența de sign-on unic când utilizați Terminal Services pentru a vă conecta la un computer cu Windows Vista sau la un computer cu Windows Server 2008, de la un computer cu Windows XP SP3. În acest caz, adăugați următoarele intrări de registry pe computerul cu Windows XP SP3:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Value data: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Value data: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV/*"
Proprietăți

ID articol: 951608 - Ultima examinare: 3 mai 2011 - Revizie: 1

Feedback