注意
從 Windows 11 22H2 開始,Microsoft即將淘汰Microsoft Digest,也稱為 wDigest。 我們將繼續支援在支援的 Windows 版本上 Microsoft 摘要。 未來的 Windows 版本將包含Microsoft摘要的有限功能,最後 Windows 將不再支援Microsoft摘要。
當伺服器收到來自用戶端的挑戰回應時,就會進行初始驗證。 驗證挑戰回應通常牽涉到至少兩部伺服器:
- 原始伺服器—接收來自用戶端的要求併發出挑戰,然後從必須驗證的用戶端接收挑戰回應。
- 驗證伺服器—從原始伺服器接收授權資訊,並執行驗證。 此伺服器通常是支援多個原始伺服器的域控制器。
當原始伺服器收到包含摘要式挑戰回應的授權標頭要求時,驗證會繼續進行,如下所示:
- 原始伺服器的身分識別會與挑戰的 nonce 中編碼的伺服器進行比對檢查。
- 會檢查 nonce 中編碼的時間戳。 如果 nonce 已過期且使用者名稱/密碼資訊有效,則原始伺服器會發出新的 Digest 挑戰,並將過時指示詞設定為 「true」 來結束驗證。 這表示只有 nonce 為「過時」,而用戶端可以使用在先前回應中使用的密碼來回應新的挑戰。 如果客戶端在傳送過時挑戰的挑戰回應之後收到新的挑戰,客戶端必須產生新的挑戰回應。
- 如果強制執行重放偵測,伺服器所維護的 nonce 會話資料庫中將檢查 nc 指令(nonce count)。
- 驗證伺服器會識別並傳送客戶端的授權資訊。
- 驗證伺服器會檢查以 nonce 編碼的伺服器身分識別,與源伺服器的身分識別是否一致。
- 驗證伺服器,這是域控制器,會擷取用戶的密碼。
- 使用授權資訊、密碼和原始伺服器識別,驗證伺服器會計算客戶端在"挑戰回應指令"中應提供的值。 驗證伺服器會將計算值與客戶端的回應進行比較,以判斷驗證的成功或失敗。
如果驗證成功,則會將使用者的 安全性內容 和摘要 會話密鑰 傳回至原始伺服器。 如果驗證失敗,原始伺服器必須產生錯誤回應。 成功驗證之後,原始伺服器會將要求的資源傳回給用戶端。
驗證伺服器傳回的摘要會話密鑰會由原始伺服器快取,以用於驗證未來的要求。 如需詳細資訊,請參閱 使用 Microsoft 摘要 驗證後續要求。