Base de datos de cuentas

Active Directory proporciona la base de datos de cuenta que usa el Centro de distribución de claves (KDC) para obtener información sobre las entidades de seguridad del dominio. Cada entidad de seguridad se representa mediante un objeto de cuenta en el directorio . La clave de cifrado usada para comunicarse con un usuario, equipo o servicio se almacena como un atributo del objeto de cuenta de esa entidad de seguridad.

Solo los controladores de dominio son servidores de Active Directory. Cada controlador de dominio mantiene una copia grabable del directorio, por lo que las cuentas se pueden crear, restablecer contraseñas y modificar la pertenencia a grupos en cualquier controlador de dominio. Los cambios realizados en una réplica del directorio se propagan automáticamente a todas las demás réplicas. Windows replica el almacén de información de Active Directory mediante un protocolo de replicación de varios maestros propietario que usa una conexión segura de llamada a procedimiento remoto entre asociados de replicación. La conexión usa el protocolo de autenticación Kerberos para proporcionar autenticación mutua y cifrado.

El agente del sistema de directorio administra el almacenamiento físico de los datos de la cuenta, un proceso protegido integrado con la autoridad de seguridad local (LSA) en el controlador de dominio. Los clientes del servicio de directorio nunca reciben acceso directo al almacén de datos. Cualquier cliente que quiera acceder a la información de directorio debe conectarse al Agente del sistema de directorios y, a continuación, buscar, leer y escribir objetos de directorio y sus atributos.

Las solicitudes para acceder a un objeto o atributo en el directorio están sujetas a validación mediante mecanismos de control de acceso de Windows. Al igual que los objetos file y folder del sistema de archivos NTFS, los objetos de Active Directory están protegidos por listas de control de acceso (ACL) que especifican quién puede acceder al objeto y de qué manera. Sin embargo, a diferencia de los archivos y carpetas, los objetos de Active Directory tienen una ACL para cada uno de sus atributos. Por lo tanto, los atributos de información confidencial de la cuenta se pueden proteger mediante permisos más restrictivos que los concedidos para otros atributos de la cuenta.

La información más confidencial sobre una cuenta es, por supuesto, su contraseña. Aunque el atributo password de un objeto de cuenta almacena una clave de cifrado derivada de una contraseña, no la propia contraseña, esta clave es tan útil para un intruso. Por lo tanto, el acceso al atributo password de un objeto de cuenta solo se concede al titular de la cuenta, nunca a nadie más, ni siquiera a los administradores. Solo los procesos con privilegios de base informática de confianza (procesos que se ejecutan en el contexto de seguridad de LSA) pueden leer o cambiar la información de contraseña.

Para impedir un ataque sin conexión por parte de alguien con acceso a la cinta de copia de seguridad de un controlador de dominio, el atributo de contraseña de un objeto de cuenta está protegido por un segundo cifrado mediante una clave del sistema. Esta clave de cifrado se puede almacenar en medios extraíbles para que se pueda proteger por separado, o bien se puede almacenar en el controlador de dominio, pero protegida por un mecanismo de dispersión. A los administradores se les da la opción de elegir dónde se almacena la clave del sistema y cuál de varios algoritmos se usa para cifrar los atributos de contraseña.