Account Database
Active Directory fornisce il database dell'account usato dal Centro distribuzione chiavi (KDC) per ottenere informazioni sulle entità di sicurezza nel dominio. Ogni entità è rappresentata da un oggetto account nella directory. La chiave di crittografia usata per comunicare con un utente, un computer o un servizio viene archiviata come attributo dell'oggetto account di tale entità di sicurezza.
Solo i controller di dominio sono server Active Directory. Ogni controller di dominio mantiene una copia scrivibile della directory, quindi è possibile creare account, reimpostare le password e modificare l'appartenenza al gruppo in qualsiasi controller di dominio. Le modifiche apportate a una replica della directory vengono propagate automaticamente a tutte le altre repliche. Windows replica l'archivio informazioni per Active Directory usando un protocollo di replica multi-master proprietario che usa una connessione di chiamata di routine remota sicura tra i partner di replica. La connessione usa il protocollo di autenticazione Kerberos per fornire l'autenticazione reciproca e la crittografia.
L'archiviazione fisica dei dati dell'account viene gestita dall'agente del sistema directory, un processo protetto integrato con l'Autorità di sicurezza locale (LSA) nel controller di dominio. I client del servizio directory non hanno mai accesso diretto all'archivio dati. Qualsiasi client che vuole accedere alle informazioni della directory deve connettersi all'agente del sistema directory e quindi cercare, leggere e scrivere oggetti directory e i relativi attributi.
Le richieste di accesso a un oggetto o attributo nella directory sono soggette alla convalida da parte dei meccanismi di controllo degli accessi di Windows. Come gli oggetti file e cartelle nel file system NTFS, gli oggetti in Active Directory sono protetti dagli elenchi di controllo di accesso (ACL) che specificano chi può accedere all'oggetto e in quale modo. A differenza di file e cartelle, tuttavia, gli oggetti Active Directory dispongono di un elenco di controllo di accesso per ognuno dei relativi attributi. Pertanto, gli attributi per le informazioni sull'account sensibili possono essere protetti da autorizzazioni più restrittive rispetto a quelle concesse per altri attributi dell'account.
Le informazioni più sensibili relative a un account sono naturalmente la relativa password. Anche se l'attributo password di un oggetto account archivia una chiave di crittografia derivata da una password, non la password stessa, questa chiave è altrettanto utile per un intruso. Pertanto, l'accesso all'attributo password di un oggetto account viene concesso solo al titolare dell'account, non a nessuno altro, non anche agli amministratori. Solo i processi con privilegi Di base di calcolo attendibile, i processi in esecuzione nel contesto di sicurezza dell'LSA, possono leggere o modificare le informazioni sulla password.
Per impedire un attacco offline da parte di un utente con accesso al nastro di backup di un controller di dominio, l'attributo password di un oggetto account è ulteriormente protetto da una seconda crittografia usando una chiave di sistema. Questa chiave di crittografia può essere archiviata in supporti rimovibili in modo che possa essere protetta separatamente oppure può essere archiviata nel controller di dominio ma protetta da un meccanismo di dispersione. Gli amministratori hanno la possibilità di scegliere dove viene archiviata la chiave di sistema e quale di diversi algoritmi viene usato per crittografare gli attributi delle password.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per