Mantenimiento del contexto de seguridad entre conexiones
Nota
A partir de Windows 11 22H2, Microsoft está en desuso en Microsoft Digest, también conocido como wDigest. Seguiremos admitiendo Microsoft Digest en versiones compatibles de Windows. Las versiones futuras de Windows incluirán funcionalidades limitadas para Microsoft Digest y, finalmente, Microsoft Digest ya no se admitirá en Windows.
Para reducir el tráfico del controlador de dominio y mejorar el rendimiento, el lado cliente de Microsoft Digest almacena en caché la información recibida después de la autenticación correcta con un servidor. Las aplicaciones cliente solo necesitan almacenar en caché el identificador en el contexto de seguridad que se ha establecido. En la tabla siguiente se describe la información almacenada en caché por el paquete de seguridad.
| Información | Descripción |
|---|---|
| Nombre de servidor | El servidor que ha creado correctamente un contexto de seguridad para el usuario. |
| Dominio kerberos o dominio | Nombre de dominio usado en la autenticación correcta. |
| Nonce | Nonce de servidor asociado a la autenticación correcta. |
| Número de nonces | Número de veces que el cliente ha incluido el nonce en las solicitudes al servidor. Se usa para la detección de reproducción. |
| Valor opaco | Valor devuelto para la directiva opaca después de una autenticación correcta. Este valor contiene una referencia al contexto de seguridad del usuario. |
Cuando un cliente envía un mensaje a un servidor, el servidor debe determinar si el cliente tiene un contexto de seguridad existente. Para ello, el servidor pasa cada solicitud de cliente a la función AcceptSecurityContext (General). Esta función extrae el valor de la directiva opaca de la solicitud, si está presente, y la usa para buscar el contexto de seguridad del cliente. Si se encuentra el contexto de seguridad, el identificador del contexto se devuelve al servidor. Para obtener información relacionada, consulte Autenticación de solicitudes posteriores.
Como medio de detectar ataques de suplantación de identidad y reproducción, el cliente llama a la función MakeSignature que usa un contexto de seguridad para firmar un mensaje. Cuando los mensajes están protegidos mediante la función MakeSignature , el servidor usa la función VerifySignature con el contexto almacenado en caché para comprobar el origen y la integridad del mensaje. Para obtener más información, consulte Protección de mensajes.