Banco de dados da conta
O Active Directory fornece o banco de dados de conta que o KDC ( Centro de Distribuição de Chaves ) usa para obter informações sobre entidades de segurança no domínio. Cada entidade de segurança é representada por um objeto de conta no diretório . A chave de criptografia usada na comunicação com um usuário, computador ou serviço é armazenada como um atributo do objeto de conta dessa entidade de segurança.
Somente controladores de domínio são servidores do Active Directory. Cada controlador de domínio mantém uma cópia gravável do diretório, para que as contas possam ser criadas, redefinição de senhas e associação de grupo modificada em qualquer controlador de domínio. As alterações feitas em uma réplica do diretório são propagadas automaticamente para todas as outras réplicas. O Windows replica o repositório de informações do Active Directory usando um protocolo proprietário de replicação de vários master que usa uma conexão de chamada de procedimento remoto seguro entre parceiros de replicação. A conexão usa o protocolo de autenticação Kerberos para fornecer autenticação mútua e criptografia.
O armazenamento físico de dados da conta é gerenciado pelo Agente do Sistema de Diretório, um processo protegido integrado à LSA (Autoridade de Segurança Local ) no controlador de domínio. Os clientes do serviço de diretório nunca recebem acesso direto ao armazenamento de dados. Qualquer cliente que queira acessar as informações de diretório deve se conectar ao Agente do Sistema de Diretório e, em seguida, pesquisar, ler e gravar objetos de diretório e seus atributos.
As solicitações para acessar um objeto ou atributo no diretório estão sujeitas à validação por mecanismos de controle de acesso do Windows. Assim como os objetos de arquivo e pasta no sistema de arquivos NTFS, os objetos no Active Directory são protegidos por ACLs ( listas de controle de acesso ) que especificam quem pode acessar o objeto e de que maneira. Ao contrário de arquivos e pastas, no entanto, os objetos do Active Directory têm uma ACL para cada um de seus atributos. Assim, os atributos para informações confidenciais da conta podem ser protegidos por permissões mais restritivas do que aquelas concedidas para outros atributos da conta.
As informações mais confidenciais sobre uma conta são, naturalmente, sua senha. Embora o atributo de senha de um objeto de conta armazene uma chave de criptografia derivada de uma senha, não a senha em si, essa chave é tão útil quanto para um invasor. Portanto, o acesso ao atributo de senha de um objeto de conta é concedido apenas ao titular da conta, nunca a ninguém, nem mesmo a administradores. Somente processos com privilégio base de computação confiável — processos em execução no contexto de segurança da LSA — têm permissão para ler ou alterar informações de senha.
Para dificultar um ataque offline por alguém com acesso à fita de backup de um controlador de domínio, o atributo de senha de um objeto de conta é protegido ainda mais por uma segunda criptografia usando uma chave do sistema. Essa chave de criptografia pode ser armazenada em mídia removível para que possa ser protegida separadamente ou armazenada no controlador de domínio, mas protegida por um mecanismo de dispersão. Os administradores recebem a opção de escolher onde a chave do sistema é armazenada e qual dos vários algoritmos é usado para criptografar atributos de senha.