Authentication Services Registry Settings
9/8/2008
O Registro armazena informações necessárias configurar o sistema para aplicativos e dispositivos hardware. O Registro também contém informações que o sistema operacional continuamente durante operação.
Configurações do Registro do SSPI
O HKEY_LOCAL_MACHINE\Comm\SecurityProviders chave Registro especifica o disponível provedores de suporte de segurança (SSPs). A seguinte tabela mostra o nomeado valor.
Valor : tipo | Descrição | ||
---|---|---|---|
Provedores : REG_SZ |
Configuração padrão é "Schannel.dll, NTLMSSP.dll, Kerberos.dll, SPNEGO.dll".
Especifica o SSP a ser usado para autenticação. Pode DLL um suporte mais de um pacote de segurança. |
Configurações do Registro do NTLM
O HKEY_LOCAL_MACHINE\Comm\SecurityProviders\NTLM chave Registro permite que você selecione entre Microsoft Windows NT LAN Manager (LM) desafio/resposta e protocolos autenticação NTLM versão 2 para SSP. NTLM O protocolo LM usa sem diferenciação de maiúsculas e minúsculas senhas e limita o número de 14 caracteres. O NTLM v2 usa com diferenciação de maiúsculas e minúsculas senhas.
Observação
O NTLM v2 somente é com suporte no Windows CE .NET 4.1 e posterior.
A seguinte tabela mostra o nomeado valores.
Valor : tipo | Descrição | ||
---|---|---|---|
LmCompatibilityLevelClient : REG_DWORD |
Configuração padrão é 1. Se aplica a clientes que usam o SSP do NTLM para autenticar um servidor remoto. A seguinte lista mostra os valores possíveis:
|
||
LmCompatibilityLevelServer : REG_DWORD |
Configuração padrão é 2. Se aplica a servidores usando um local banco de dados de usuários e senhas. Esse valor é ignorado quando os aplicativos usam passagem autenticação que usa controladores domínio. A seguinte lista mostra os valores possíveis:
|
||
NoLmHash : REG_DWORD |
Configuração padrão é 1. Armazena em cache o hash LM. Isso se aplica somente a funcionalidade cliente. A seguinte lista mostra os valores possíveis:
|
Configurações do Registro do Kerberos
Para implementar Kerberos, você deve ter um controlador de domínio Kerberos (centro de distribuição de chaves). Esta é uma autoridade central executar funções dual: serviço autenticação para clientes em seu domínio e tíquete concedendo serviço aos clientes que solicitem conexões com serviços ou computadores em seu domínio.
Para especificar o centro de distribuição de chaves no seu domínio, adicionar o nome do seu controlador de domínio como uma subchave para o HKEY_LOCAL_MACHINE\Comm\SecurityProviders\Kerberos\NTDomains chave Registro. De exemplo, o HKEY_LOCAL_MACHINE\Comm\SecurityProviders\Kerberos\NTDomains\<Domínio> Especifica chave Registro Domínio Como o nome do seu controlador de domínio. A seguinte tabela mostra o nomeado valor nessa subchave que especifica o nome da centro de distribuição de chaves.
Valor : tipo | Descrição |
---|---|
KdcNames : REG_SZ |
Nenhuma usar como padrão é definido no Registro. Se o valor não está definida no Registro, Kerberos usa o redirecionador de rede Windows para descobrir o centro de distribuição de chaves para o domínio. Especifica o nome da centro de distribuição de chaves. Você pode usar o URL ou o endereço IP, such as "YOURKDCNAME" ou "192.168.154.2". |
Configurações do Registro do Schannel
O HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL chave Registro define o comportamento de SSP. Schannel A seguinte tabela mostra o nomeado valores.
Valor : tipo | Descrição |
---|---|
MinimumCacheSize : REG_DWORD |
Nenhuma usar como padrão é definido no Registro. O número mínimo de elementos de uma armazenar em cache sessão. |
MaximumCachSize : REG_DWORD |
Nenhuma usar como padrão é definido no Registro. O número máximo de elementos de uma armazenar em cache sessão. |
ClientCacheTime : REG_DWORD |
Configuração padrão é 05b8d80 no Registro, que é 100 minutes. Tempo, em milissegundos, antes de expirar elementos armazenar em cache client-side. |
ServerCacheTime : REG_DWORD |
Nenhuma usar como padrão definir no Registro. Se o valor não é definida no Registro, Schannel usa um tempo armazenar em cache servidor de 100 milissegundos. Tempo, em milissegundos, antes de expirar elementos armazenar em cache server-side. |
RegisteredCA : REG_DWORD |
Nenhuma usar como padrão é definido no Registro. Definido como 1 após Schannel adiciona seu interno certificados para armazenar a raiz. Se você não fizer isso desejar qualquer interno certificados a serem adicionados ao armazenar a raiz, você deve definir RegisteredCA para 1. |
A seguinte lista mostra subchaves HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL que contêm configurações Registro Schannel SSP.
- Protocols\
- Olá Protocols\Unified
- Protocols\SSL2
- Protocols\SSL3
- 1.0 Protocols\TLS
- Ciphers\
- 128 Ciphers\REC4
- 56 Ciphers\DES/56
- Ciphers\RC2 56 ou 128
- Ciphers\RC4 56 ou 128
- Ciphers\RC4 64 ou 128
- Ciphers\RC2 128 ou 128
- Ciphers\Triple DES 168/168
- Ciphers\RC4 128 ou 128
- Hashes \
- Hashes \ SHA
- Hashes \ MD5
- KeyExchangeAlgorithms\PKCS
Para Olá unificado, SSL2, SSL3, TLS 1.0 protocolo Registro chaves, subchaves Cliente e Servidor especificar a configuração dispositivo. De exemplo, o HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\SSL2\Client subchave Registro especifica o cliente de protocolo SSL2.
A seguinte tabela mostra o nomeado valor que ativa ou desativa o protocolo especificado.
Valor : tipo | Descrição |
---|---|
Ativado : REG_DWORD |
Se uma chave Registro protocolo não estiver presente, o protocolo é habilitado Por padrão. Para desativar o protocolo de um a Cliente Ou Servidor subchaves, você pode definir a Ativado valor para 0. |
O seguinte chave do Registro exemplo mostra como desativar o SSL2 protocolo para o cliente:
[HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"Enabled"=dword:0
Para o Codificações, Hashes, e KeyExchangeAlgorithms subchaves, a seguinte tabela mostra o nomeado valores.
Valor : tipo | Descrição |
---|---|
Ativado : REG_DWORD |
Configuração padrão é 0xf0. Desabilitado para todos os protocolos. |
Ativado : REG_DWORD |
Configuração padrão é 0xFFFFFFFF. Habilitado para todos os protocolos. |
Ativado : REG_DWORD |
Nenhuma usar como padrão é definido no Registro. O bitmask Para cada protocolo está definido no arquivo de cabeçalho de Schnlsp.h no Diretório de %_WINCEROOT%\Public\Common\SDK. Os nomes sinalizador são prefixados com SP_PROT e seguidos do nome do protocolo. A bitmask identifica o cliente e o servidor. |
Configurações do Registro do Gerenciador de credenciais
O HKEY_LOCAL_MACHINE\Comm\Security chave Registro permite que os aplicativos usando o Credential Manager para controle senha salvando no dispositivo.
Valor : tipo | Descrição |
---|---|
DisallowSavedNetworkPasswords : REG_DWORD |
Padrão não está definido no Registro. Se o valor não estiver presente no Registro, aplicativos poderá salvar senhas no dispositivo. Se o valor é definido como 1, os aplicativos usando o Credential Manager não é possível salvar senhas no dispositivo. Em Windows Mobile 6 Professional, caixa de seleção a senha está desativada. Em Windows Embedded CE, a Atualizar credenciais padrão caixa de seleção ainda aparece; Mas ele é desativado na interface de usuário de rede (interface do usuário). |
Configurações do Registro do Negotiate
O HKEY_LOCAL_MACHINE\Comm\SecurityProviders\Negotiate\ chave Registro especifica a ordem de provedor de suporte de segurança que usa Negotiate SSP. A seguinte tabela mostra o nomeado valor.
Valor : tipo | Descrição |
---|---|
Pacotes: REG_SZ |
Nenhuma usar como padrão é definido no Registro. Se o valor não está definida no Registro, Negotiate SSP seleciona Kerberos sobre NTLM, a menos que ele não pode ser usado por um dos sistemas envolvidos na autenticação ou o aplicativo chamado não forneceu informações suficientes para usar Kerberos. Especifica a ordem de SSP que negociar usa como um seqüência de caracteres Comma-Separated. |
See Also
Concepts
Authentication Services OS Design Development
Authentication Services Application Development
Authentication Services Security
Security Packages