Popis protokolu Credential Security Support Provider (CredSSP) v balíku Windows XP Service Pack 3

ÚVOD

V tomto článku sa popisuje protokol Credential Security Support Provider (CredSSP) v balíku Windows XP Service Pack 3.

D A L S I E I N F O R M A C I E

CredSSP je nový protokol Security Support Provider (SSP) dostupný v rámci balíka Windows XP SP3 pomocou rozhrania Security Support Provider Interface (SSPI). Protokol CredSSP umožňuje programu používať protokol SSP na strane klienta na delegovanie poverení používateľa z klientskeho počítača na cieľový server. (Prístup k cieľovému serveru sa získa pomocou protokolu SSP na strane servera.) Balík Windows XP SP3 obsahuje len implementáciu protokolu SSP na strane klienta. Implementáciu protokolu SSP na strane klienta aktuálne používa služba Remote Desktop Protocol (RDP) 6.1 Terminal Services (TS). Implementáciu protokolu SSP na strane klienta však môže používať ľubovoľný program tretej strany ochotný používať protokol SSP na strane klienta na interakciu s programami so spustenými implementáciami protokolu SSP na strane servera v systéme Windows Vista alebo Windows Server 2008.

Ak chcete prevziať špecifikáciu protokolu CredSSP, navštívte nasledujúcu webovú lokalitu spoločnosti Microsoft:Poznámka V balíku Windows XP SP3 je protokol CredSSP predvolene vypnutý.

Zapnutie protokolu CredSSP

Ak chcete, aby sme protokol CredSSP zapli za vás, prejdite do časti Opravte to za mňa. Ak chcete tento problém vyriešiť sami, prejdite do časti Ja to vyriešim.

Opravte to za mňaAk chcete tento problém vyriešiť automaticky, kliknite na prepojenie alebo tlačidlo Fix it. Kliknite na položku Spustiť v dialógovom okne Prevzatie súboru a postupujte podľa pokynov Sprievodcu nástroja Fix it.
Poznámky
 • Tento sprievodca môže byť dostupný iba v angličtine. Automatická oprava však funguje aj pre ostatné jazykové verzie systému Windows.
 • Ak nepracujete s počítačom, v ktorom sa vyskytol problém, môžete riešenie Fix it uložiť na jednotku flash alebo na disk CD a potom ho môžete spustiť v počítači s problémom.
Ja to vyriešim

Dôležité upozornenie Táto sekcia, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Preto dávajte pozor a postupujte presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je pred úpravou databázu Registry vhodné zálohovať. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v nasledovnom článku databázy Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy Registry v systéme Windows
 1. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz regedit a stlačte kláves ENTER.
 2. Na navigačnej table nájdite a kliknite na nasledujúci podkľúč databázy Registry:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
 3. Na table podrobností kliknite pravým tlačidlom myši na položku Balíky zabezpečenia a potom kliknite na položku Upraviť.
 4. Do poľa Údaj hodnoty zadajte reťazec tspkg. Zrušte všetky údaje, ktoré sú špecifické pre iné protokoly SSP a potom kliknite na tlačidlo OK.
 5. Na navigačnej table nájdite a kliknite na nasledujúci podkľúč databázy Registry:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
 6. Na table podrobností kliknite pravým tlačidlom myši na položku SecurityProviders, a potom kliknite na položku Upraviť.
 7. Do poľa Údaj hodnoty zadajte hodnotu credssp.dll. Zrušte všetky údaje, ktoré sú špecifické pre iné protokoly SSP, a potom kliknite na tlačidlo OK.
 8. Ukončite Editor databázy Registry.
 9. Reštartujte počítač.

Scenáre používania protokolu CredSSP

Scenár 1: Programové používanie protokolu SSP

Protokol CredSSP môžete použiť na vykonávanie overovania na strane klienta v balíku Windows XP SP3. Protokol CredSSP spolu s rozhraniami API na overovanie môžete použiť na úspešné overovanie kópií programov na strane servera spustených v systéme Windows Vista alebo Windows Server 2008.

Ďalšie informácie o funkcii AcquireCredentialsHandle (CredSSP) nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:Ďalšie informácie o funkcii InitializeSecurityContext (CredSSP) nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:

Scenár 2: Použitie služby Terminal Services na pripojenie k systému Windows Vista alebo Windows Server 2008 zo systému Windows XP SP3

 • Službu Terminal Services spolu s procesom jediného prihlásenia môžete použiť na pripojenie k počítaču so systémom Windows Vista alebo k počítaču so systémom Windows Server 2008 z počítača so systémom Windows XP SP3. Táto funkcia vyžaduje úpravu kľúčov databázy Registry súvisiacich s delegovaním poverení.
 • Službu Terminal Services môžete tiež použiť, ak sa chcete pripojiť z počítača so systémom Windows XP SP3 k počítaču so systémom Windows Vista alebo Windows Server 2008 a je vynútené overovanie na úrovni siete (NLA).
Poznámka Ak chcete úspešne použiť službu Terminal Services na pripojenie k počítaču so systémom Windows Vista s vynúteným overovaním NLA alebo k počítaču so systémom Windows Server 2008 s vynúteným overovaním NLA z počítača so systémom Windows XP SP3, musíte zapnúť protokol CredSSP.

Nastavenie skupinovej politiky protokolu CredSSP

Systém Windows XP SP3 podporuje nastavenie skupinovej politiky protokolu CredSSP špecifické pre delegovanie poverení v systéme Windows Vista alebo Windows Server 2008. Nastavenie skupinovej politiky protokolu CredSSP však nie je dostupné ako objekt skupinovej politiky v systéme Windows XP SP3. Nastavenie skupinovej politiky protokolu CredSSP je možné použiť prostredníctvom vytvárania alebo úpravy položiek databázy Registry pre požadované nastavenie skupinovej politiky protokolu CredSSP. Položky databázy Registry obsahujú zoznam hlavných názvov služby (Service Principal Name – SPN) servera, ktorých sa týka príslušné nastavenie skupinovej politiky. Položky databázy Registry navyše obsahujú sériové čísla serverov.

Ďalšie informácie o nastavení skupinovej politiky protokolu CredSSP sa nachádzajú na nasledujúcej webovej lokalite spoločnosti Microsoft:Nastaveniu skupinovej politiky zodpovedajú nasledujúce kľúče databázy Registry:
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowDefaultCredentials
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  REG_DWORD: ConcatenateDefaults_AllowDefault
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

  "<serial_no>"="<server SPN>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowDefCredentialsWhenNTLMOnly
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  REG_DWORD: ConcatenateDefaults_AllowDefNTLMOnly
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly

  "<serial_no>"="<server SPN>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowFreshCredentials
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  REG_DWORD: ConcatenateDefaults_AllowFresh
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials

  "<serial_no>"="<server SPN>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowFreshCredentialsWhenNTLMOnly
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  REG_DWORD: ConcatenateDefaults_AllowFreshNTLMOnly
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

  "<serial_no>"="<server SPN>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowSavedCredentials
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  REG_DWORD: ConcatenateDefaults_AllowSaved
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials

  "<serial_no>"="<server SPN>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: AllowSavedCredentialsWhenNTLMOnly
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  REG_DWORD: ConcatenateDefaults_AllowSavedNTLMOnly
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly

  "<serial_no>"="<server SPN>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: DenyDefaultCredentials
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  REG_DWORD: ConcatenateDefaults_DenyDefault
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials

  "<serial_no>"="<server SPN>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: DenyFreshCredentials
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  REG_DWORD: ConcatenateDefaults_DenyFresh
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenyFreshCredentials

  "<serial_no>"="<server SPN>"
 • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  REG_DWORD: DenySavedCredentials
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  REG_DWORD: ConcatenateDefaults_DenySaved
  Údaj hodnoty: 1 (zapnúť) 0 (vypnúť)

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials

  "<serial_no>"="<server SPN>"
Predpokladajme napríklad, že chcete pri používaní služby Terminal Services zapnúť proces jediného prihlásenia, aby ste sa mohli pripájať k počítaču so systémom Windows Vista alebo k počítaču so systémom Windows Server 2008 z počítača so systémom Windows XP SP3. V takom prípade by ste v počítači so systémom Windows XP SP3 pridali nasledujúce položky databázy Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

REG_DWORD: AllowDefaultCredentials
Údaj hodnoty: 00000001

REG_DWORD: ConcatenateDefaults_AllowDefault
Údaj hodnoty: 00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials

"1"="TERMSRV/*"
Vlastnosti

ID článku: 951608 – Posledná kontrola: 17. 5. 2011 – Revízia: 1

Pripomienky