Gestione del contesto di sicurezza tra connessioni
Nota
A partire da Windows 11 22H2, Microsoft deprecato Microsoft Digest, noto anche come wDigest. Microsoft Digest continuerà a supportare Microsoft Digest nelle versioni supportate di Windows. Le versioni future di Windows includeranno funzionalità limitate per Microsoft Digest e infine Microsoft Digest non sarà più supportato in Windows.
Per ridurre il traffico del controller di dominio e migliorare le prestazioni, il lato client di Microsoft Digest memorizza nella cache le informazioni ricevute dopo l'autenticazione con un server. Le applicazioni client devono memorizzare nella cache solo l'handle nel contesto di sicurezza stabilito. Nella tabella seguente vengono descritte le informazioni memorizzate nella cache dal pacchetto di sicurezza.
Informazioni | Descrizione |
---|---|
Nome server | Il server che ha creato correttamente un contesto di sicurezza per l'utente. |
Area di autenticazione/dominio | Nome di dominio usato nell'autenticazione riuscita. |
Nonce | Un server nonce associato all'autenticazione riuscita. |
Conteggio nonce | Numero di volte in cui il client include il nonce nelle richieste al server. Viene usato per il rilevamento della riproduzione. |
Valore opaco | Valore restituito per la direttiva opaca dopo un'autenticazione riuscita. Questo valore contiene un riferimento al contesto di sicurezza dell'utente. |
Quando un client invia un messaggio a un server, il server deve determinare se il client ha un contesto di sicurezza esistente. A tale scopo, il server passa ogni richiesta client alla funzione AcceptSecurityContext (Generale). Questa funzione estrae il valore della direttiva opaca dalla richiesta, se presente, e la usa per cercare il contesto di sicurezza del client. Se viene trovato il contesto di sicurezza, l'handle del contesto viene restituito al server. Per informazioni correlate, vedere Autenticazione delle richieste successive.
Come mezzo per rilevare attacchi di spoofing e riesecuzione, il client chiama la funzione MakeSignature che usa un contesto di sicurezza per firmare un messaggio. Quando i messaggi sono protetti tramite la funzione MakeSignature , il server usa la funzione VerifySignature con il contesto memorizzato nella cache per verificare l'origine e l'integrità del messaggio. Per altre informazioni, vedere Protezione dei messaggi.