Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
База данных Active Directory содержит набор объектов, известных как ключи резервного копирования DPAPI. К этим объектам относятся:
- Секрет BCKUPKEY_P
- Секрет BCKUPKEY_PREFERRED
- BCKUPKEY_guid1
- BCKUPKEY_guid2
Эти объекты являются частью класса схемы "secret", и они существуют в контейнере "CN=System,DC=contoso,DC=com" в разделе домена.
Как правило, пользователи домена шифруют защищенные DPAPI данные с помощью ключей, производных от собственных паролей. Тем не менее, если пользователь забыл пароль, или если пароль сброшен или сброшен с другого устройства, ранее зашифрованные данные больше не могут быть расшифрованы с помощью новых ключей, производных от нового пароля пользователя.
При этом данные по-прежнему можно расшифровывать с помощью ключей резервного копирования, хранящихся на контроллерах домена Active Directory. Затем их можно повторно зашифровать с помощью нового ключа, производного от пароля. Это означает, что любой пользователь, имеющий ключи резервного копирования DPAPI для домена, сможет расшифровать зашифрованные данные DPAPI для любого пользователя домена, даже после изменения пароля пользователя.
Ключи резервного копирования DPAPI на контроллерах домена Active Directory создаются случайным образом только один раз во время первоначального создания домена.
Из-за конфиденциальности этих ключей необходимо защитить доступ к этим ключам и рассматриваться как один из самых конфиденциальных элементов информации во всем домене Active Directory. По умолчанию доступ к этим ключам ограничен администраторами домена.
В настоящее время нет официально поддерживаемого способа изменения или поворота этих ключей резервного копирования DPAPI на контроллерах домена. В соответствии с документом MS-BKRP, сторонние стороны могут разрабатывать приложение или скрипт, который создает новый ключ резервного копирования DPAPI и задает новый ключ, который является предпочтительным ключом для домена. Однако эти сторонние решения будут неподдерживаемыми корпорацией Майкрософт.
Если ключи резервного копирования DPAPI для домена будут скомпрометированы, рекомендуется создать новый домен и перенести пользователей в этот новый домен. Если злоумышленник может получить доступ к ключам резервного копирования DPAPI, скорее всего, они приобрели доступ администратора домена к домену и имеют полный доступ к своим ресурсам. Злоумышленник также может установить другие серверные системы в домене с уровнем доступа, который у них есть, поэтому рекомендация по миграции в новый домен.
Рекомендации по администрированию Active Directory — это защита от этого сценария. При предоставлении доступа к домену пользователям необходимо предоставить минимальный уровень доступа. Кроме того, важно защитить резервные копии Active Directory с такой же бдительностью, как и сами контроллеры домена.