Sdílet prostřednictvím

Databáze účtů

  • Článek

Služba Active Directory poskytuje databázi účtů, kterou Centrum distribuce klíčů (KDC) používá k získání informací o objektech zabezpečení v doméně. Každý objekt zabezpečení je reprezentován objektem účtu v adresáři. Šifrovací klíč použitý při komunikaci s uživatelem, počítačem nebo službou je uložen jako atribut objektu účtu tohoto objektu zabezpečení.

Pouze řadiče domény jsou servery služby Active Directory. Každý řadič domény uchovává zapisovatelnou kopii adresáře, takže účty je možné vytvářet, resetovat hesla a členství ve skupinách upravovat na jakémkoli řadiči domény. Změny provedené v jedné replice adresáře se automaticky rozšíří do všech ostatních replik. Systém Windows replikuje úložiště informací pro službu Active Directory pomocí proprietárního protokolu replikace s více hlavními servery, který používá zabezpečené připojení vzdáleného volání procedur mezi partnery replikace. Připojení používáověřovací protokol kerberosk zajištění vzájemného ověřování a šifrování.

Fyzické úložiště dat účtu spravuje agent systému adresářů, chráněný proces integrovaný s místní autoritou zabezpečení (LSA) na řadiči domény. Klienti adresářové služby nikdy nemají přímý přístup k úložišti dat. Každý klient, který chce získat přístup k informacím o adresáři, se musí připojit k agentu systému adresářů a pak vyhledat, číst a zapisovat objekty adresáře a jejich atributy.

Požadavky na přístup k objektu nebo atributu v adresáři podléhají ověření mechanismy řízení přístupu systému Windows. Podobně jako objekty souborů a složek v systému souborů NTFS jsou objekty ve službě Active Directory chráněné seznamy řízení přístupu (ACL), které určují, kdo má k objektu přístup a jakým způsobem. Na rozdíl od souborů a složek ale objekty služby Active Directory mají seznam ACL pro každý z jejich atributů. Atributy citlivých informací o účtu tak mohou být chráněny více omezujícími oprávněními, než jsou atributy udělené pro jiné atributy účtu.

Nejcitlivější informace o účtu jsou samozřejmě jeho heslo. I když atribut hesla objektu účtu ukládá šifrovací klíč odvozený z hesla, nikoli samotné heslo, je tento klíč stejně užitečný pro útočníka. Přístup k atributu hesla objektu účtu je proto udělen pouze držiteli účtu, nikdy komukoli jinému, ani správcům. Čtení nebo změně informací o heslech můžou jenom procesy s oprávněním Trusted Computing Base – procesy spuštěné v kontextu kontextu LSA.

Aby někdo s přístupem k záložní pásce řadiče domény zabránil offline útoku, je atribut hesla objektu účtu dále chráněn druhým šifrováním pomocí systémového klíče. Tento šifrovací klíč lze uložit na vyměnitelné médium, aby bylo možné ho chránit samostatně, nebo ho lze uložit na řadiči domény, ale chránit ho rozptýleným mechanismem. Správci mají možnost zvolit, kde je systémový klíč uložený a který z několika algoritmů se používá k šifrování atributů hesel.