Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Active Directory udostępnia bazę danych kont, która Key Distribution Center (KDC) używa do uzyskiwania informacji o podmiotów zabezpieczeń w domenie. Każdy podmiot zabezpieczeń jest reprezentowany przez obiekt konta w katalogu. Klucz szyfrowania używany do komunikowania się z użytkownikiem, komputerem lub usługą jest przechowywany jako atrybut obiektu konta tego podmiotu zabezpieczeń.
Tylko kontrolery domeny to serwery usługi Active Directory. Każdy kontroler domeny przechowuje zapisywalną kopię katalogu, dzięki czemu można tworzyć konta, resetować hasła i modyfikować członkostwo w grupie na dowolnym kontrolerze domeny. Zmiany wprowadzone w jednej repliki katalogu są automatycznie propagowane do wszystkich innych replik. System Windows replikuje magazyn informacji dla usługi Active Directory przy użyciu zastrzeżonego wielowzorcowego protokołu replikacji, który używa bezpiecznego połączenia zdalnego wywołania procedury między partnerami replikacji. Połączenie używaprotokołu uwierzytelniania Kerberosw celu zapewnienia wzajemnego uwierzytelniania i szyfrowania.
Fizyczny magazyn danych konta jest zarządzany przez Directory System Agent, chroniony proces zintegrowany z Local Security Authority (LSA) na kontrolerze domeny. Klienci usługi katalogowej nigdy nie mają bezpośredniego dostępu do magazynu danych. Każdy klient, który chce uzyskać dostęp do informacji o katalogu, musi nawiązać połączenie z agentem systemu katalogów, a następnie wyszukać, odczytać i zapisać obiekty katalogu oraz ich atrybuty.
Żądania dostępu do obiektu lub atrybutu w katalogu podlegają weryfikacji przez mechanizmy kontroli dostępu systemu Windows. Podobnie jak obiekty plików i folderów w systemie plików NTFS, obiekty w usłudze Active Directory są chronione przez listy kontroli dostępu (ACL), które określają, kto może uzyskać dostęp do obiektu i w jaki sposób. Jednak w przeciwieństwie do plików i folderów obiekty usługi Active Directory mają listę ACL dla każdego z ich atrybutów. W związku z tym atrybuty poufnych informacji o koncie mogą być chronione przez bardziej restrykcyjne uprawnienia niż te przyznane dla innych atrybutów konta.
Najbardziej poufne informacje o koncie to oczywiście jego hasło. Mimo że atrybut hasła obiektu konta przechowuje klucz szyfrowania pochodzący z hasła, a nie samego hasła, ten klucz jest równie przydatny dla intruza. W związku z tym dostęp do atrybutu hasła obiektu konta jest udzielany tylko właścicielowi konta, nigdy nikomu innemu, nawet administratorom. Tylko procesy z uprawnieniami zaufanej bazy obliczeniowej — procesy uruchomione w kontekście zabezpieczeń LSA — mogą odczytywać lub zmieniać informacje o haśle.
Aby utrudnić atak w trybie offline przez osobę mającą dostęp do taśmy kopii zapasowej kontrolera domeny, atrybut hasła obiektu konta jest dodatkowo chroniony przez drugie szyfrowanie przy użyciu klucza systemowego. Ten klucz szyfrowania może być przechowywany na nośniku wymiennym, dzięki czemu można go chronić oddzielnie lub może być przechowywany na kontrolerze domeny, ale chroniony przez mechanizm rozproszenia. Administratorzy mają możliwość wyboru miejsca przechowywania klucza systemowego, a który z kilku algorytmów jest używany do szyfrowania atrybutów haseł.