Ключи резервного копирования DPAPI на контроллерах домена Active Directory
База данных Active Directory содержит набор объектов, известных как ключи резервного копирования DPAPI. К этим объектам относятся:
- Секрет BCKUPKEY_P
- Секрет BCKUPKEY_PREFERRED
- BCKUPKEY_guid1
- BCKUPKEY_guid2
Эти объекты являются частью класса схемы "secret" и существуют в контейнере "CN=System,DC=contoso,DC=com" в разделе Domain.
Как правило, пользователи домена шифруют данные, защищенные DPAPI, с помощью ключей, производных от собственных паролей. Однако если пользователь забыл свой пароль или пароль сбрасывается административно или с другого устройства, ранее зашифрованные данные больше не могут быть расшифрованы с помощью новых ключей, полученных из нового пароля пользователя.
В этом случае данные по-прежнему можно расшифровать с помощью ключей резервной копии, хранящихся на контроллерах домена Active Directory. Затем их можно повторно зашифровать с помощью нового ключа пользователя, производного от пароля. Это означает, что любой пользователь, у которого есть ключи резервного копирования DPAPI для домена, сможет расшифровать зашифрованные DPAPI-данные для любого пользователя домена даже после изменения пароля пользователя.
Ключи резервного копирования DPAPI на контроллерах домена Active Directory создаются случайным образом только один раз во время первоначального создания домена.
Из-за конфиденциальности этих ключей крайне важно, чтобы доступ к этим ключам был защищен и считался одним из наиболее конфиденциальных фрагментов информации во всем домене Active Directory. По умолчанию доступ к этим ключам ограничен администраторами домена.
В настоящее время официально поддерживаемый способ изменения или смены этих ключей резервного копирования DPAPI на контроллерах домена не поддерживается. В соответствии с документом MS-BKRP сторонние разработчики могут разработать приложение или скрипт, который создает новый ключ резервного копирования DPAPI и устанавливает новый ключ как предпочтительный для домена. Однако эти сторонние решения не будут поддерживаться корпорацией Майкрософт.
Если ключи резервной копии DPAPI для домена будут скомпрометированы, рекомендуется создать новый домен и перенести пользователей в этот новый домен. Если злоумышленник может получить доступ к ключам резервного копирования DPAPI, скорее всего, он получил доступ к домену на уровне администратора и имеет полный доступ к его ресурсам. Злоумышленник также может установить в домене другие системы backdoor с уровнем доступа, который у него есть, поэтому рекомендуется перейти на новый домен.
Рекомендации по администрированию Active Directory являются защитой от этого сценария. Предоставляя пользователям доступ к домену, укажите минимальный уровень доступа, необходимый пользователям. Кроме того, очень важно защищать резервные копии Active Directory с той же бдительностью, что и сами контроллеры домена.