Chiavi di backup DPAPI nei controller di dominio di Active Directory
Il database di Active Directory contiene un set di oggetti noti come chiavi di backup DPAPI. Questi oggetti includono:
- segreto BCKUPKEY_P
- segreto BCKUPKEY_PREFERRED
- BCKUPKEY_guid1
- BCKUPKEY_guid2
Questi oggetti fanno parte della classe di schema "secret" ed esistono nel contenitore "CN=System,DC=contoso,DC=com" all'interno della partizione di dominio.
In genere, gli utenti del dominio crittografano i dati protetti con DPAPI usando chiavi derivate dalle proprie password. Tuttavia, se l'utente dimentica la password o se la password viene reimpostata o reimpostata in modo amministrativo da un altro dispositivo, i dati crittografati in precedenza non possono più essere decrittografati usando le nuove chiavi derivate dalla nuova password dell'utente.
In questo caso, i dati possono comunque essere decrittografati usando le chiavi di backup archiviate nei controller di dominio di Active Directory. Possono quindi essere crittografati nuovamente con la nuova chiave derivata dalla password dell'utente. Ciò significa che chiunque abbia le chiavi di backup DPAPI per un dominio sarà in grado di decrittografare i dati crittografati DPAPI per qualsiasi utente di dominio, anche dopo la modifica della password dell'utente.
Le chiavi di backup DPAPI nei controller di dominio Active Directory vengono generate in modo casuale una sola volta, durante la creazione iniziale del dominio.
A causa della natura sensibile di queste chiavi, è fondamentale che l'accesso a queste chiavi sia protetto e considerato come una delle informazioni più riservate nell'intero dominio di Active Directory. Per impostazione predefinita, l'accesso a queste chiavi è limitato agli amministratori di dominio.
Attualmente non esiste un modo ufficialmente supportato di modificare o ruotare queste chiavi di backup DPAPI nei controller di dominio. In conformità al documento MS-BKRP, le terze parti hanno la possibilità di sviluppare un'applicazione o uno script che crea una nuova chiave di backup DPAPI e imposta la nuova chiave come chiave preferita per il dominio. Tuttavia, queste soluzioni di terze parti non sarebbero supportate da Microsoft.
Se le chiavi di backup DPAPI per il dominio devono essere compromesse, è consigliabile creare un nuovo dominio ed eseguire la migrazione degli utenti a tale nuovo dominio. Se un attore malintenzionato è in grado di accedere alle chiavi di backup DPAPI, è probabile che abbiano acquisito l'accesso a livello di amministratore di dominio al dominio e abbiano accesso completo alle relative risorse. Un utente malintenzionato può anche installare altri sistemi backdoor nel dominio con il livello di accesso attualmente disponibile, quindi è consigliabile eseguire la migrazione a un nuovo dominio.
Le procedure consigliate per l'amministrazione di Active Directory sono la difesa da questo scenario. Quando si concede l'accesso al dominio agli utenti, fornire il livello minimo di accesso necessario agli utenti. È anche fondamentale proteggere i backup di Active Directory con il livello di vigilanza necessario per proteggere i controller di dominio stessi.
Vedi anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per