Chaves de backup DPAPI em controladores de domínio do Ative Directory
O banco de dados do Ative Directory contém um conjunto de objetos conhecidos como chaves de backup DPAPI. Esses objetos incluem:
- BCKUPKEY_P Segredo
- BCKUPKEY_PREFERRED Segredo
- BCKUPKEY_guid1
- BCKUPKEY_guid2
Esses objetos fazem parte da classe de esquema "secret" e existem no contêiner "CN=System,DC=contoso,DC=com" dentro da partição Domain.
Normalmente, os usuários do domínio criptografam dados protegidos por DPAPI usando chaves derivadas de suas próprias senhas. No entanto, se o usuário esquecer sua senha, ou se sua senha for redefinida ou redefinida administrativamente de outro dispositivo, os dados previamente criptografados não poderão mais ser descriptografados usando as novas chaves derivadas da nova senha do usuário.
Quando isso ocorre, os dados ainda podem ser descriptografados usando as chaves de backup armazenadas nos controladores de domínio do Ative Directory. Eles podem ser criptografados novamente com a nova chave derivada da senha do usuário. Isso significa que qualquer pessoa que tenha as chaves de backup DPAPI para um domínio poderá descriptografar dados criptografados por DPAPI para qualquer usuário de domínio, mesmo depois que a senha do usuário for alterada.
As chaves de backup DPAPI nos controladores de domínio do Ative Directory são geradas aleatoriamente apenas uma vez, durante a criação inicial do domínio.
Devido à natureza sensível dessas chaves, é imperativo que o acesso a essas chaves seja protegido e considerado como uma das informações mais confidenciais em todo o domínio do Ative Directory. Por padrão, o acesso a essas chaves é restrito aos administradores de domínio.
Atualmente, não há nenhuma maneira oficialmente suportada de alterar ou girar essas chaves de backup DPAPI nos controladores de domínio. De acordo com o documento MS-BKRP, 3rd partes têm a capacidade de desenvolver um aplicativo ou script que cria uma nova chave de backup DPAPI e define a nova chave para ser a chave preferida para o domínio. No entanto, essas soluções de terceiros não seriam suportadas pela Microsoft.
Se as chaves de backup DPAPI para o domínio forem comprometidas, a recomendação é criar um novo domínio e migrar os usuários para esse novo domínio. Se um ator mal-intencionado conseguir obter acesso às chaves de backup DPAPI, é provável que ele tenha adquirido acesso de nível de administrador de domínio ao domínio e tenha acesso total aos seus recursos. Um invasor também pode instalar outros sistemas backdoor no domínio com o nível de acesso que eles têm agora, daí a recomendação de migrar para um novo domínio.
As práticas recomendadas de administração do Ative Directory são a defesa contra esse cenário. Ao conceder acesso de domínio aos usuários, forneça o nível mínimo de acesso que os usuários precisam. Também é fundamental proteger os backups do Ative Directory com tanta vigilância quanto proteger os próprios controladores de domínio.
Ver também
MS-BKRP: de documentos do protocolo remoto BackupKey