Поддержание контекста безопасности между подключениями
Примечание
Начиная с Windows 11 22H2, Корпорация Майкрософт не рекомендует Microsoft Digest, также известный как wDigest. Мы продолжим поддерживать Microsoft Digest в поддерживаемых версиях Windows. Будущие версии Windows будут включать ограниченные возможности microsoft digest, и в конечном итоге Microsoft Digest больше не будет поддерживаться в Windows.
Чтобы уменьшить трафик контроллера домена и повысить производительность, на стороне клиента Microsoft Digest кэшируются сведения, полученные после успешной проверки подлинности на сервере. Клиентские приложения должны кэшировать дескриптор только в контексте безопасности , который был установлен. В следующей таблице описаны сведения, кэшируемые пакетом безопасности.
| Сведения | Описание |
|---|---|
| Имя сервера | Сервер, который успешно создал контекст безопасности для пользователя. |
| Область или домен | Доменное имя, используемое при успешной проверке подлинности. |
| Nonce | Nonce сервера, связанный с успешной проверкой подлинности. |
| Число nonce | Количество раз, когда клиент включал nonce в запросы к серверу. Используется для обнаружения воспроизведения. |
| Непрозрачное значение | Значение, возвращаемое для непрозрачной директивы после успешной проверки подлинности. Это значение содержит ссылку на контекст безопасности пользователя. |
Когда клиент отправляет сообщение на сервер, сервер должен определить, имеет ли клиент существующий контекст безопасности. Для этого сервер передает каждый клиентский запрос в функцию AcceptSecurityContext (General). Эта функция извлекает значение непрозрачной директивы из запроса, если оно имеется, и использует его для поиска контекста безопасности клиента. Если контекст безопасности найден, дескриптор контекста возвращается серверу. Дополнительные сведения см. в разделе Проверка подлинности последующих запросов.
В качестве средства обнаружения атак спуфинга и воспроизведения клиент вызывает функцию MakeSignature , которая использует контекст безопасности для подписания сообщения. При защите сообщений с помощью функции MakeSignature сервер использует функцию VerifySignature с кэшируемым контекстом для проверки происхождения и целостности сообщения. Дополнительные сведения см. в разделе Защита сообщений.