Partager via

Base de données de compte

  • Article

Active Directory fournit la base de données de compte utilisée par le centre dedistribution de clés(KDC) pour obtenir des informations sur principaux de sécurité dans le domaine. Chaque principal est représenté par un objet de compte dans le répertoire. Le chiffrement clé utilisée pour communiquer avec un utilisateur, un ordinateur ou un service est stocké en tant qu’attribut de l’objet de compte de ce principal de sécurité.

Seuls les contrôleurs de domaine sont des serveurs Active Directory. Chaque contrôleur de domaine conserve une copie accessible en écriture du répertoire, afin que les comptes puissent être créés, réinitialiser les mots de passe et modifier l’appartenance au groupe à n’importe quel contrôleur de domaine. Les modifications apportées à un réplica du répertoire sont automatiquement propagées à tous les autres réplicas. Windows réplique le magasin d’informations pour Active Directory à l’aide d’un protocole de réplication multimaître propriétaire qui utilise une connexion d’appel de procédure distante sécurisée entre les partenaires de réplication. La connexion utilise le protocole d’authentification Kerberos pour fournir une authentification mutuelle et le chiffrement.

Le stockage physique des données de compte est géré par l’agent système d’annuaire , un processus protégé intégré à l'l’autorité de sécurité locale (LSA) sur le contrôleur de domaine. Les clients du service d’annuaire ne reçoivent jamais d’accès direct au magasin de données. Tout client qui souhaite accéder aux informations d’annuaire doit se connecter à l’Agent système d’annuaire, puis rechercher, lire et écrire des objets de répertoire et leurs attributs.

Les demandes d’accès à un objet ou à un attribut dans le répertoire sont soumises à la validation par les mécanismes de contrôle d’accès Windows. Comme les objets de fichiers et de dossiers dans le système de fichiers NTFS, les objets dans Active Directory sont protégés par listes de contrôle d’accès (ACL) qui spécifient qui peut accéder à l’objet et de quelle manière. Contrairement aux fichiers et dossiers, toutefois, les objets Active Directory ont une liste de contrôle d’accès pour chacun de leurs attributs. Par conséquent, les attributs pour les informations de compte sensibles peuvent être protégés par des autorisations plus restrictives que celles accordées pour d’autres attributs du compte.

Les informations les plus sensibles relatives à un compte sont bien sûr son mot de passe. Bien que l’attribut de mot de passe d’un objet de compte stocke une clé de chiffrement dérivée d’un mot de passe, et non le mot de passe lui-même, cette clé est tout aussi utile pour un intrus. Par conséquent, l’accès à l’attribut de mot de passe d’un objet de compte est accordé uniquement au titulaire du compte, jamais à quelqu’un d’autre, pas même aux administrateurs. Seuls les processus disposant de privilèges de base de l’informatique approuvée ( les processus s’exécutant dans le contexte de sécurité du LSA) sont autorisés à lire ou modifier les informations de mot de passe.

Pour empêcher une attaque hors connexion par une personne ayant accès à la bande de sauvegarde d’un contrôleur de domaine, l’attribut de mot de passe d’un objet de compte est davantage protégé par un deuxième chiffrement à l’aide d’une clé système. Cette clé de chiffrement peut être stockée sur un média amovible afin qu’elle puisse être protégée séparément, ou être stockée sur le contrôleur de domaine, mais protégée par un mécanisme de dispersion. Les administrateurs ont la possibilité de choisir l’emplacement où la clé système est stockée et laquelle de plusieurs algorithmes est utilisée pour chiffrer les attributs de mot de passe.