Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Active Directory предоставляет базу данных учетной записи, которуюцентра распространения ключей(KDC) использует для получения сведений о субъектах безопасности в домене. Каждый субъект представлен объектом учетной записи в каталоге. Ключ шифрования , используемый при взаимодействии с пользователем, компьютером или службой, хранится в качестве атрибута объекта учетной записи этого субъекта безопасности.
Только контроллеры домена являются серверами Active Directory. Каждый контроллер домена сохраняет записную копию каталога, поэтому учетные записи можно создавать, сбрасывать пароли и членство в группах, измененных на любом контроллере домена. Изменения, внесенные в одну реплику каталога, автоматически распространяются на все остальные реплики. Windows реплицирует хранилище данных для Active Directory с помощью закрытого протокола репликации с несколькими узлами, использующего безопасное удаленное подключение к процедуре между партнерами репликации. Подключение использует протокол проверки подлинности Kerberos для обеспечения взаимной проверки подлинности и шифрования.
Физическое хранение данных учетной записи управляется агентом системы каталогов, защищенным процессом, интегрированным с локальным центром безопасности (LSA) на контроллере домена. Клиенты службы каталогов никогда не получают прямой доступ к хранилищу данных. Любой клиент, которому требуется доступ к сведениям каталога, должен подключаться к агенту системы каталогов, а затем выполнять поиск, чтение и запись объектов каталога и их атрибутов.
Запросы на доступ к объекту или атрибуту в каталоге подлежат проверке механизмами управления доступом Windows. Как и объекты файлов и папок в файловой системе NTFS, объекты в Active Directory защищены списками управления доступом (ACL), которые указывают, кто может получить доступ к объекту и каким образом. Однако в отличие от файлов и папок объекты Active Directory имеют ACL для каждого из их атрибутов. Таким образом, атрибуты конфиденциальной учетной записи могут быть защищены более строгими разрешениями, чем предоставленные для других атрибутов учетной записи.
Наиболее конфиденциальная информация о учетной записи, конечно, является его паролем. Хотя атрибут пароля объекта учетной записи хранит ключ шифрования, производный от пароля, а не сам пароль, этот ключ так же полезен для злоумышленника. Поэтому доступ к атрибуту пароля объекта учетной записи предоставляется только владельцу учетной записи, никогда не кому-либо другому, а не администраторам. Только процессы с привилегиями доверенной вычислительной базы — процессы, выполняемые в контексте безопасности LSA, могут считывать или изменять сведения о пароле.
Чтобы препятствовать автономной атаке с доступом к ленте резервной копии контроллера домена, атрибут пароля объекта учетной записи дополнительно защищен вторым шифрованием с помощью системного ключа. Этот ключ шифрования можно хранить на съемных носителях, чтобы его можно было защитить отдельно или сохранить на контроллере домена, но защитить его с помощью механизма разброса. Администраторы получают возможность выбрать, где хранится системный ключ, и какой из нескольких алгоритмов используется для шифрования атрибутов пароля.