Verwalten des Sicherheitskontexts zwischen Verbindungen
Hinweis
Ab Windows 11 22H2 wird Microsoft Digest, auch bekannt als wDigest, eingestellt. Microsoft Digest wird weiterhin auf unterstützten Versionen von Windows unterstützt. Zukünftige Versionen von Windows werden eingeschränkte Funktionen für Microsoft Digest enthalten, und schließlich wird Microsoft Digest unter Windows nicht mehr unterstützt.
Um den Datenverkehr des Domänencontrollers zu reduzieren und die Leistung zu verbessern, speichert die Clientseite von Microsoft Digest informationen zwischen, die nach erfolgreicher Authentifizierung bei einem Server empfangen wurden. Clientanwendungen müssen nur das Handle in dem eingerichteten Sicherheitskontext zwischenspeichern. In der folgenden Tabelle werden informationen beschrieben, die vom Sicherheitspaket zwischengespeichert werden.
| Information | BESCHREIBUNG |
|---|---|
| Servername | Der Server, der erfolgreich einen Sicherheitskontext für den Benutzer erstellt hat. |
| Bereich/Domäne | Der Domänenname, der bei der erfolgreichen Authentifizierung verwendet wird. |
| Nonce | Eine Server-Nonce, die der erfolgreichen Authentifizierung zugeordnet ist. |
| Nonce-Anzahl | Gibt an, wie oft der Client die Nonce in Anforderungen an den Server eingefügt hat. Dies wird für die Wiedergabeerkennung verwendet. |
| Undurchsichtiger Wert | Der Wert, der für die undurchsichtige Direktive nach einer erfolgreichen Authentifizierung zurückgegeben wird. Dieser Wert enthält einen Verweis auf den Sicherheitskontext des Benutzers. |
Wenn ein Client eine Nachricht an einen Server sendet, muss der Server bestimmen, ob der Client über einen vorhandenen Sicherheitskontext verfügt. Dazu übergibt der Server jede Clientanforderung an die AcceptSecurityContext (General) -Funktion. Diese Funktion extrahiert den Wert der undurchsichtigen Direktive aus der Anforderung, sofern vorhanden, und verwendet ihn, um den Sicherheitskontext des Clients zu suchen. Wenn der Sicherheitskontext gefunden wird, wird das Handle des Kontexts an den Server zurückgegeben. Weitere Informationen finden Sie unter Authentifizieren nachfolgender Anforderungen.
Um Spoofing- und Replayangriffe zu erkennen, ruft der Client die MakeSignature-Funktion auf, die einen Sicherheitskontext zum Signieren einer Nachricht verwendet. Wenn Nachrichten mithilfe der MakeSignature-Funktion geschützt werden, verwendet der Server die VerifySignature-Funktion mit dem zwischengespeicherten Kontext, um den Ursprung und die Integrität der Nachricht zu überprüfen. Weitere Informationen finden Sie unter Schützen von Nachrichten.