Поделиться через


База данных учетной записи

Active Directory предоставляет базу данных учетных записей, которую центр распространения ключей (KDC) использует для получения сведений о субъектах безопасности в домене. Каждый субъект представлен объектом учетной записи в каталоге . Ключ шифрования , используемый при взаимодействии с пользователем, компьютером или службой, хранится как атрибут объекта учетной записи этого субъекта безопасности.

Серверы Active Directory являются только контроллерами домена. Каждый контроллер домена хранит копию каталога для записи, поэтому можно создавать учетные записи, сбрасывать пароли и изменять членство в группах на любом контроллере домена. Изменения, внесенные в один реплика каталога, автоматически распространяются на все остальные реплики. Windows реплицирует хранилище данных для Active Directory, используя собственный протокол репликации с несколькими master, который использует безопасное подключение к удаленному вызову процедур между партнерами репликации. Подключение использует протокол проверки подлинности Kerberos для обеспечения взаимной проверки подлинности и шифрования.

Физическим хранением данных учетной записи управляет агент системы каталогов, защищенный процесс, интегрированный с локальным центром безопасности (LSA) на контроллере домена. Клиентам службы каталогов никогда не предоставляется прямой доступ к хранилищу данных. Любой клиент, которому требуется доступ к данным каталога, должен подключаться к агенту системы каталогов, а затем выполнять поиск, чтение и запись объектов каталога и их атрибутов.

Запросы на доступ к объекту или атрибуту в каталоге подлежат проверке с помощью механизмов управления доступом Windows. Как и объекты файлов и папок в файловой системе NTFS, объекты в Active Directory защищены списками управления доступом (ACL), которые указывают, кто и каким образом может получить доступ к объекту. Однако в отличие от файлов и папок, объекты Active Directory имеют список ACL для каждого из своих атрибутов. Таким образом, атрибуты для конфиденциальной информации учетной записи могут быть защищены более строгими разрешениями, чем предоставленные для других атрибутов учетной записи.

Наиболее конфиденциальной информацией об учетной записи, конечно, является ее пароль. Хотя атрибут password объекта учетной записи хранит ключ шифрования, производный от пароля, а не сам пароль, этот ключ так же полезен для злоумышленников. Таким образом, доступ к атрибуту password объекта учетной записи предоставляется только владельцу учетной записи, никогда не кому-либо еще, даже администраторам. Только процессам с привилегией Trusted Computing Base ( процессы, выполняемые в контексте безопасности LSA) разрешено считывать или изменять сведения о пароле.

Чтобы препятствовать автономной атаке со стороны пользователя с доступом к ленте резервного копирования контроллера домена, атрибут пароля объекта учетной записи дополнительно защищен с помощью второго шифрования с помощью системного ключа. Этот ключ шифрования можно хранить на съемном носителе, чтобы его можно было защитить отдельно, или на контроллере домена, но защищен механизмом диспергирования. Администраторы могут выбрать, где хранится системный ключ и какой из нескольких алгоритмов используется для шифрования атрибутов пароля.