Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Active Directory-databasen innehåller en uppsättning objekt som kallas DPAPI-säkerhetskopieringsnycklar. Dessa objekt omfattar:
- BCKUPKEY_P hemlighet
- BCKUPKEY_PREFERRED hemlighet
- BCKUPKEY_guid1
- BCKUPKEY_guid2
Dessa objekt är en del av schemaklassen "secret" och de finns i containern "CN=System,DC=contoso,DC=com" i domänpartitionen.
Normalt krypterar domänanvändare DPAPI-skyddade data med nycklar som härleds från sina egna lösenord. Men om användaren glömmer sitt lösenord, eller om lösenordet återställs eller återställs administrativt från en annan enhet, kan tidigare krypterade data inte längre dekrypteras med hjälp av de nya nycklar som härleds från användarens nya lösenord.
När detta inträffar kan data fortfarande dekrypteras med hjälp av säkerhetskopieringsnycklarna som lagras på Active Directory-domänkontrollanterna. De kan sedan omkrypteras med användarens nya lösenordsbaserade nyckel. Det innebär att alla som har DPAPI Backup-nycklar för en domän kan dekryptera DPAPI-krypterade data för alla domänanvändare, även efter att användarens lösenord har ändrats.
DPAPI-säkerhetskopieringsnycklarna på Active Directory-domänkontrollanter genereras slumpmässigt bara en gång när domänen skapas.
På grund av dessa nycklars känsliga karaktär är det absolut nödvändigt att åtkomsten till dessa nycklar skyddas och betraktas som en av de mest konfidentiella uppgifterna i hela Active Directory-domänen. Som standard är åtkomsten till dessa nycklar begränsad till domänadministratörer.
Det finns för närvarande inget officiellt stöd för att ändra eller rotera dessa DPAPI-säkerhetskopieringsnycklar på domänkontrollanterna. I enlighet med dokumentet MS-BKRPhar tredje part möjlighet att utveckla ett program eller skript som skapar en ny DPAPI Backup-nyckel och anger den nya nyckeln som den föredragna nyckeln för domänen. Dessa lösningar från tredje part stöds dock inte av Microsoft.
Om DPAPI Backup-nycklarna för domänen skulle komprometteras rekommenderar vi att du skapar en ny domän och migrerar användare till den nya domänen. Om en obehörig aktör kan få åtkomst till DPAPI-säkerhetskopieringsnycklarna är det troligt att de har fått åtkomst på domänadministratörsnivå till domänen och har fullständig åtkomst till dess resurser. En angripare kan också installera andra backdoor-system i domänen med den åtkomstnivå som de nu har, därav rekommendationen att migrera till en ny domän.
Metodtips för Active Directory-administration är skydd mot det här scenariot. När du beviljar domänåtkomst till användare anger du den lägsta åtkomstnivå som användarna behöver. Det är också viktigt att skydda Active Directory-säkerhetskopior med lika stor vaksamhet som du skyddar domänkontrollanterna själva.