Mantendo o contexto de segurança entre conexões
Observação
A partir do Windows 11 22H2, a Microsoft está substituindo o Microsoft Digest, também conhecido como wDigest. Continuaremos a dar suporte ao Microsoft Digest em versões com suporte do Windows. As versões futuras do Windows incluirão recursos limitados para o Microsoft Digest e, eventualmente, o Microsoft Digest não terá mais suporte no Windows.
Para reduzir o tráfego do controlador de domínio e melhorar o desempenho, o lado do cliente do Microsoft Digest armazena em cache as informações recebidas após a autenticação bem-sucedida com um servidor. Os aplicativos cliente só precisam armazenar o identificador em cache no contexto de segurança estabelecido. A tabela a seguir descreve as informações armazenadas em cache pelo pacote de segurança.
Informações | Descrição |
---|---|
Nome do servidor | O servidor que criou com êxito um contexto de segurança para o usuário. |
Realm/Domínio | O nome de domínio usado na autenticação bem-sucedida. |
Nonce | Um nó de servidor associado à autenticação bem-sucedida. |
Contagem de nonce | O número de vezes que o cliente incluiu o nonce em solicitações para o servidor. Isso é usado para detecção de reprodução. |
Valor opaco | O valor retornado para a diretiva opaca após uma autenticação bem-sucedida. Esse valor contém uma referência ao contexto de segurança do usuário. |
Quando um cliente envia uma mensagem para um servidor, o servidor deve determinar se o cliente tem um contexto de segurança existente. Para fazer isso, o servidor passa cada solicitação de cliente para a função AcceptSecurityContext (Geral ). Essa função extrai o valor da diretiva opaca da solicitação, se presente, e a usa para pesquisar o contexto de segurança do cliente. Se o contexto de segurança for encontrado, o identificador do contexto será retornado ao servidor. Para obter informações relacionadas, consulte Autenticando solicitações subsequentes.
Como um meio de detectar ataques de falsificação e reprodução, o cliente chama a função MakeSignature que usa um contexto de segurança para assinar uma mensagem. Quando as mensagens são protegidas usando a função MakeSignature , o servidor usa a função VerifySignature com o contexto armazenado em cache para verificar a origem e a integridade da mensagem. Para obter mais informações, consulte Protegendo mensagens.