Chaves de backup DPAPI em controladores de domínio do Active Directory
O banco de dados do Active Directory contém um conjunto de objetos conhecidos como chaves de backup DPAPI. Esses objetos incluem:
- Segredo BCKUPKEY_P
- Segredo BCKUPKEY_PREFERRED
- BCKUPKEY_guid1
- BCKUPKEY_guid2
Esses objetos fazem parte da classe de esquema "secret" e existem no contêiner "CN=System,DC=contoso,DC=com" na partição Domínio.
Normalmente, os usuários de domínio criptografam dados protegidos por DPAPI usando chaves derivadas de suas próprias senhas. No entanto, se o usuário esquecer a senha ou se a senha for redefinida administrativamente de outro dispositivo, os dados criptografados anteriormente não poderão mais ser descriptografados usando as novas chaves derivadas da nova senha do usuário.
Quando isso ocorre, os dados ainda podem ser descriptografados usando as chaves de backup armazenadas nos controladores de domínio do Active Directory. Em seguida, eles podem ser criptografados novamente com a nova chave derivada de senha do usuário. Isso significa que qualquer pessoa que tenha as chaves de Backup de DPAPI para um domínio poderá descriptografar dados criptografados por DPAPI para qualquer usuário de domínio, mesmo depois que a senha do usuário for alterada.
As chaves de Backup DPAPI em controladores de domínio do Active Directory são geradas aleatoriamente apenas uma vez, durante a criação inicial do domínio.
Devido à natureza confidencial dessas chaves, é imperativo que o acesso a essas chaves seja protegido e considerado como uma das informações mais altamente confidenciais em todo o domínio do Active Directory. Por padrão, o acesso a essas chaves é restrito aos administradores de domínio.
Atualmente, não há uma maneira oficialmente compatível de alterar ou girar essas chaves de backup DPAPI nos controladores de domínio. De acordo com o documento MS-BKRP, terceiros têm a capacidade de desenvolver um aplicativo ou script que cria uma nova chave de Backup de DPAPI e define a nova chave como a chave preferencial para o domínio. No entanto, essas soluções de terceiros não teriam suporte da Microsoft.
Se as chaves de Backup do DPAPI para o domínio forem comprometidas, a recomendação é criar um novo domínio e migrar usuários para esse novo domínio. Se um ator mal-intencionado conseguir obter acesso às chaves de backup DPAPI, é provável que eles tenham adquirido acesso no nível do administrador de domínio ao domínio e tenham acesso total aos seus recursos. Um invasor também pode instalar outros sistemas de backdoor no domínio com o nível de acesso que ele tem agora, portanto, a recomendação para migrar para um novo domínio.
As melhores práticas de administração do Active Directory são a defesa contra esse cenário. Ao conceder acesso de domínio aos usuários, forneça o nível mínimo de acesso que os usuários precisam. Também é essencial proteger os backups do Active Directory com tanta vigilância quanto você protege os próprios controladores de domínio.