Base de données de compte
Active Directory fournit la base de données de compte que le centre de distribution de clés (KDC) utilise pour obtenir des informations sur les principaux de sécurité dans le domaine. Chaque principal est représenté par un objet de compte dans le répertoire. La clé de chiffrement utilisée pour communiquer avec un utilisateur, un ordinateur ou un service est stockée en tant qu’attribut de l’objet de compte de ce principal de sécurité.
Seuls les contrôleurs de domaine sont des serveurs Active Directory. Chaque contrôleur de domaine conserve une copie accessible en écriture du répertoire, ce qui permet de créer des comptes, de réinitialiser les mots de passe et de modifier l’appartenance au groupe sur n’importe quel contrôleur de domaine. Les modifications apportées à un réplica du répertoire sont automatiquement propagées à tous les autres réplicas. Windows réplique la banque d’informations pour Active Directory à l’aide d’un protocole de réplication multi-master propriétaire qui utilise une connexion d’appel de procédure distante sécurisée entre les partenaires de réplication. La connexion utilise le protocole d’authentification Kerberos pour fournir l’authentification mutuelle et le chiffrement.
Le stockage physique des données de compte est géré par l’Agent système de répertoire, un processus protégé intégré à l’autorité de sécurité locale (LSA) sur le contrôleur de domaine. Les clients du service d’annuaire ne bénéficient jamais d’un accès direct au magasin de données. Tout client qui souhaite accéder aux informations d’annuaire doit se connecter à l’Agent système d’annuaire, puis rechercher, lire et écrire des objets d’annuaire et leurs attributs.
Les demandes d’accès à un objet ou à un attribut dans le répertoire sont soumises à la validation par les mécanismes de contrôle d’accès Windows. Comme les objets de fichiers et de dossiers dans le système de fichiers NTFS, les objets dans Active Directory sont protégés par des listes de contrôle d’accès (ACL) qui spécifient qui peut accéder à l’objet et de quelle manière. Contrairement aux fichiers et dossiers, toutefois, les objets Active Directory ont une liste de contrôle d’accès pour chacun de leurs attributs. Ainsi, les attributs des informations sensibles du compte peuvent être protégés par des autorisations plus restrictives que celles accordées pour d’autres attributs du compte.
Les informations les plus sensibles sur un compte sont bien sûr son mot de passe. Bien que l’attribut de mot de passe d’un objet de compte stocke une clé de chiffrement dérivée d’un mot de passe, et non du mot de passe lui-même, cette clé est tout aussi utile pour un intrus. Par conséquent, l’accès à l’attribut de mot de passe d’un objet de compte n’est accordé qu’au titulaire du compte, jamais à quiconque d’autre, pas même aux administrateurs. Seuls les processus disposant d’un privilège de base de calcul approuvé (processus s’exécutant dans le contexte de sécurité de l’ALS) sont autorisés à lire ou à modifier les informations de mot de passe.
Pour empêcher une attaque hors connexion par une personne ayant accès à la bande de sauvegarde d’un contrôleur de domaine, l’attribut de mot de passe d’un objet de compte est en outre protégé par un deuxième chiffrement à l’aide d’une clé système. Cette clé de chiffrement peut être stockée sur un support amovible afin qu’elle puisse être protégée séparément, ou elle peut être stockée sur le contrôleur de domaine, mais protégée par un mécanisme de dispersion. Les administrateurs ont la possibilité de choisir où la clé système est stockée et lequel de plusieurs algorithmes est utilisé pour chiffrer les attributs de mot de passe.