Claves de copia de seguridad de DPAPI en controladores de dominio de Active Directory
La base de datos de Active Directory contiene un conjunto de objetos conocidos como claves de copia de seguridad de DPAPI. Estos objetos incluyen:
- secreto de BCKUPKEY_P
- secreto de BCKUPKEY_PREFERRED
- BCKUPKEY_guid1
- BCKUPKEY_guid2
Estos objetos forman parte de la clase de esquema "secret" y existen en el contenedor "CN=System,DC=contoso,DC=com" dentro de la partición Dominio.
Normalmente, los usuarios de dominio cifran los datos protegidos por DPAPI mediante claves derivadas de sus propias contraseñas. Sin embargo, si el usuario olvida su contraseña, o si su contraseña se restablece o restablece de forma administrativa desde otro dispositivo, los datos cifrados anteriormente ya no se pueden descifrar con las nuevas claves derivadas de la nueva contraseña del usuario.
Cuando esto ocurre, los datos todavía se pueden descifrar mediante las claves de copia de seguridad almacenadas en los controladores de dominio de Active Directory. A continuación, se pueden volver a cifrar con la nueva clave derivada de contraseña del usuario. Esto significa que cualquier persona que tenga las claves de copia de seguridad de DPAPI para un dominio podrá descifrar los datos cifrados de DPAPI para cualquier usuario de dominio, incluso después de cambiar la contraseña del usuario.
Las claves de copia de seguridad de DPAPI en los controladores de dominio de Active Directory solo se generan aleatoriamente una vez, durante la creación inicial del dominio.
Debido a la naturaleza confidencial de estas claves, es imperativo que el acceso a estas claves esté protegido y considerado como uno de los fragmentos de información más confidenciales de todo el dominio de Active Directory. De forma predeterminada, el acceso a estas claves está restringido a los administradores de dominio.
Actualmente no se admite oficialmente la forma de cambiar o rotar estas claves de copia de seguridad de DPAPI en los controladores de dominio. De acuerdo con el documento MS-BKRP, las terceras partes tienen la capacidad de desarrollar una aplicación o un script que cree una nueva clave de copia de seguridad de DPAPI y establezca la nueva clave como clave preferida para el dominio. Sin embargo, Microsoft no admitiría estas soluciones de terceros.
Si las claves de copia de seguridad de DPAPI para el dominio están en peligro, la recomendación es crear un nuevo dominio y migrar usuarios a ese nuevo dominio. Si un actor malintencionado puede obtener acceso a las claves de copia de seguridad de DPAPI, es probable que haya adquirido acceso de nivel de administrador de dominio al dominio y tenga acceso total a sus recursos. Un atacante también puede instalar otros sistemas backdoor en el dominio con el nivel de acceso que tienen, por lo tanto, la recomendación de migrar a un nuevo dominio.
Los procedimientos recomendados de administración de Active Directory son la defensa frente a este escenario. Al conceder acceso de dominio a los usuarios, proporcione el nivel mínimo de acceso que necesitan los usuarios. También es fundamental proteger las copias de seguridad de Active Directory con tanta vigilancia como proteja los propios controladores de dominio.
Vea también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de