Maintenance du contexte de sécurité entre les connexions
Notes
À compter de Windows 11 22H2, Microsoft déprécie Microsoft Digest, également appelé wDigest. Nous continuerons à prendre en charge Microsoft Digest sur les versions prises en charge de Windows. Les futures versions de Windows incluront des fonctionnalités limitées pour Microsoft Digest et, à terme, Microsoft Digest ne sera plus pris en charge sur Windows.
Pour réduire le trafic du contrôleur de domaine et améliorer les performances, le côté client de Microsoft Digest met en cache les informations reçues après l’authentification réussie auprès d’un serveur. Les applications clientes n’ont besoin que de mettre en cache le handle dans le contexte de sécurité qui a été établi. Le tableau suivant décrit les informations mises en cache par le package de sécurité.
| Information | Description |
|---|---|
| Nom du serveur | Serveur qui a correctement créé un contexte de sécurité pour l’utilisateur. |
| Realm/Domaine | Nom de domaine utilisé dans l’authentification réussie. |
| Nonce | Nonce du serveur associé à l’authentification réussie. |
| Nombre de nonces | Nombre de fois où le client a inclus le nonce dans les requêtes adressées au serveur. Il est utilisé pour la détection de relecture. |
| Valeur opaque | Valeur retournée pour la directive opaque après une authentification réussie. Cette valeur contient une référence au contexte de sécurité de l’utilisateur. |
Lorsqu’un client envoie un message à un serveur, celui-ci doit déterminer si le client a un contexte de sécurité existant. Pour ce faire, le serveur transmet chaque demande cliente à la fonction AcceptSecurityContext (Général). Cette fonction extrait la valeur de la directive opaque de la requête, le cas échéant, et l’utilise pour rechercher le contexte de sécurité du client. Si le contexte de sécurité est trouvé, le handle du contexte est retourné au serveur. Pour plus d’informations, consultez Authentification des demandes ultérieures.
Pour détecter les attaques d’usurpation et de relecture, le client appelle la fonction MakeSignature qui utilise un contexte de sécurité pour signer un message. Lorsque les messages sont protégés à l’aide de la fonction MakeSignature , le serveur utilise la fonction VerifySignature avec le contexte mis en cache pour vérifier l’origine et l’intégrité du message. Pour plus d’informations, consultez Protection des messages.