Aracılığıyla paylaş

Hesap Veritabanı

  • Makale

Active Directory, Anahtar Dağıtım Merkezi'nin (KDC) etki alanındakigüvenlik sorumluları hakkında bilgi edinmek için kullandığı hesap veritabanını sağlar. Her sorumlu, dizindeki bir hesap nesnesiyle temsil edilir. Kullanıcı, bilgisayar veya hizmetle iletişim kurarken kullanılan şifreleme anahtarı, bu güvenlik sorumlusunun hesap nesnesinin özniteliği olarak depolanır.

Yalnızca etki alanı denetleyicileri Active Directory sunucularıdır. Her etki alanı denetleyicisi, herhangi bir etki alanı denetleyicisinde hesap oluşturulabilmesi, parolaların sıfırlanabilmesi ve grup üyeliğinin değiştirilebilmesi için dizinin yazılabilir bir kopyasını tutar. Dizinin bir çoğaltmasına yapılan değişiklikler otomatik olarak diğer tüm çoğaltmalara yayılır. Windows, çoğaltma ortakları arasında güvenli bir uzaktan yordam çağrısı bağlantısı kullanan özel bir çoklu ana çoğaltma protokolü kullanarak Active Directory için bilgi depolarını çoğaltır. Bağlantı, karşılıklı kimlik doğrulaması ve şifreleme sağlamak için Kerberos kimlik doğrulama protokolü kullanır.

Hesap verilerinin fiziksel olarak depolanması, etki alanı denetleyicisindeki Yerel Güvenlik Yetkilisi (LSA) ile tümleştirilmiş korumalı bir işlem olan Dizin Sistem Aracısıtarafından yönetilir. Dizin hizmetinin istemcilerine hiçbir zaman veri deposuna doğrudan erişim verilmez. Dizin bilgilerine erişmek isteyen tüm istemciler Dizin Sistemi Aracısı'na bağlanmalı ve ardından dizin nesnelerini ve özniteliklerini aramalı, okumalı ve yazmalıdır.

Dizindeki bir nesneye veya özniteliğe erişme istekleri, Windows erişim denetimi mekanizmaları tarafından doğrulamaya tabidir. NTFS dosya sistemindeki dosya ve klasör nesneleri gibi, Active Directory'deki nesneler de nesneye kimlerin ve ne şekilde erişebileceğini belirten(ACL' ler)erişim denetimi listeleri tarafından korunur. Ancak, dosya ve klasörlerden farklı olarak, Active Directory nesnelerinin özniteliklerinin her biri için bir ACL'leri vardır. Bu nedenle, hassas hesap bilgilerinin öznitelikleri, hesabın diğer öznitelikleri için verilen izinlerden daha kısıtlayıcı izinlerle korunabilir.

Bir hesap hakkındaki en hassas bilgiler elbette parolasıdır. Bir hesap nesnesinin parola özniteliği, parolanın kendisinden değil paroladan türetilen bir şifreleme anahtarını depolasa da, bu anahtar bir davetsiz misafir için de yararlıdır. Bu nedenle, bir hesap nesnesinin parola özniteliğine erişim yalnızca hesap sahibine verilir, hiçbir zaman başka kimseye, yöneticilere bile erişim verilmez. Yalnızca Güvenilen Bilgi İşlem Temeli ayrıcalığına sahip işlemler (LSA'nın güvenlik bağlam çalışan işlemlerin parola bilgilerini okumasına veya değiştirmesine izin verilir.

Bir etki alanı denetleyicisinin yedekleme bandına erişimi olan birinin çevrimdışı saldırısını engellemek için, bir hesap nesnesinin parola özniteliği sistem anahtarı kullanılarak ikinci bir şifreleme ile daha fazla korunur. Bu şifreleme anahtarı ayrı ayrı korunabilmesi için çıkarılabilir medyada depolanabilir veya etki alanı denetleyicisinde depolanabilir ancak bir dağılım mekanizmasıyla korunabilir. Yöneticilere, sistem anahtarının nerede depolandığını ve parola özniteliklerini şifrelemek için çeşitli algoritmalardan hangisinin kullanılacağını seçme seçeneği verilir.