Kontodatenbank

Active Directory stellt die Kontodatenbank bereit, die vom Key Distribution Center (KDC) zum Abrufen von Informationen über Sicherheitsprinzipale in der Domäne verwendet wird. Jeder Prinzipal wird durch ein Kontoobjekt im Verzeichnis dargestellt. Der Verschlüsselung Schlüssel, der für die Kommunikation mit einem Benutzer, Computer oder Dienst verwendet wird, wird als Attribut des Kontoobjekts dieses Sicherheitsprinzipals gespeichert.

Nur Domänencontroller sind Active Directory-Server. Jeder Domänencontroller behält eine schreibbare Kopie des Verzeichnisses bei, sodass Konten erstellt, Kennwörter zurückgesetzt und Die Gruppenmitgliedschaft auf jedem Domänencontroller geändert werden kann. Änderungen, die an einem Replikat des Verzeichnisses vorgenommen wurden, werden automatisch an alle anderen Replikate weitergegeben. Windows repliziert den Informationsspeicher für Active Directory mithilfe eines proprietären Multiple-Master-Replikationsprotokolls, das eine sichere Remoteprozeduraufrufverbindung zwischen Replikationspartnern verwendet. Die Verbindung verwendet das Kerberos-Authentifizierungsprotokoll, um gegenseitige Authentifizierung und Verschlüsselung bereitzustellen.

Physische Speicherung von Kontodaten wird vom Verzeichnissystem-Agentverwaltet, einem geschützten Prozess, der in die lokalen Sicherheitsbehörde (LSA) auf dem Domänencontroller integriert ist. Clients des Verzeichnisdiensts erhalten niemals direkten Zugriff auf den Datenspeicher. Jeder Client, der auf Verzeichnisinformationen zugreifen möchte, muss eine Verbindung mit dem Verzeichnissystem-Agent herstellen und dann nach Verzeichnisobjekten und ihren Attributen suchen, lesen und schreiben.

Anforderungen für den Zugriff auf ein Objekt oder Attribut im Verzeichnis unterliegen der Überprüfung durch Windows-Zugriffssteuerungsmechanismen. Wie Datei- und Ordnerobjekte im NTFS-Dateisystem werden Objekte in Active Directory durch Zugriffssteuerungslisten (ACLs) geschützt, die angeben, wer auf das Objekt zugreifen kann und in welcher Weise. Im Gegensatz zu Dateien und Ordnern verfügen Active Directory-Objekte jedoch über eine ACL für jedes ihrer Attribute. Daher können Attribute für vertrauliche Kontoinformationen durch restriktivere Berechtigungen geschützt werden als die Attribute, die für andere Attribute des Kontos gewährt wurden.

Die vertraulichsten Informationen zu einem Konto sind natürlich ihr Kennwort. Obwohl das Kennwort-Attribut eines Kontoobjekts einen von einem Kennwort abgeleiteten Verschlüsselungsschlüssel speichert, nicht das Kennwort selbst, ist dieser Schlüssel genauso nützlich für einen Eindringling. Der Zugriff auf das Kennwort-Attribut eines Kontoobjekts wird daher nur dem Kontoinhaber gewährt, niemals anderen, nicht einmal Administratoren. Nur Prozesse mit Trusted Computing Base-Berechtigungen – Prozesse, die im Sicherheits- Kontext der LSA ausgeführt werden, dürfen Kennwortinformationen lesen oder ändern.

Um einen Offlineangriff einer Person mit Zugriff auf das Sicherungsband eines Domänencontrollers zu verhindern, wird das Kennwort-Attribut eines Kontoobjekts durch eine zweite Verschlüsselung mit einem Systemschlüssel weiter geschützt. Dieser Verschlüsselungsschlüssel kann auf Wechselmedien gespeichert werden, sodass er separat geschützt werden kann, oder er kann auf dem Domänencontroller gespeichert, aber durch einen Dispergierungsmechanismus geschützt werden. Administratoren haben die Möglichkeit, auszuwählen, wo der Systemschlüssel gespeichert ist und welche von mehreren Algorithmen zum Verschlüsseln von Kennwortattributen verwendet wird.