Freigeben über


DPAPI-Sicherungsschlüssel auf Active Directory-Domänencontrollern

Die Active Directory-Datenbank enthält eine Reihe von Objekten, die als DPAPI-Sicherungsschlüssel bezeichnet werden. Zu diesen Objekten gehören:

  • BCKUPKEY_P Geheimnis
  • BCKUPKEY_PREFERRED Geheimnis
  • BCKUPKEY_guid1
  • BCKUPKEY_guid2

Diese Objekte sind Teil der Schemaklasse "secret" und befinden sich im Container "CN=System,DC=contoso,DC=com" in der Domänenpartition.

Normalerweise verschlüsseln Domänenbenutzer DPAPI-geschützte Daten mithilfe von Schlüsseln, die von ihren eigenen Kennwörtern abgeleitet werden. Wenn der Benutzer jedoch sein Kennwort vergisst oder sein Kennwort von einem anderen Gerät aus zurückgesetzt oder zurückgesetzt wird, können die zuvor verschlüsselten Daten nicht mehr mithilfe der neuen Schlüssel entschlüsselt werden, die aus dem neuen Kennwort des Benutzers abgeleitet werden.

In diesem Fall können die Daten weiterhin mithilfe der Sicherungsschlüssel entschlüsselt werden, die auf den Active Directory-Domänencontrollern gespeichert sind. Sie können dann mit dem neuen kennwortbasierten Schlüssel des Benutzers erneut verschlüsselt werden. Dies bedeutet, dass jeder, der über die DPAPI-Sicherungsschlüssel für eine Domäne verfügt, dpAPI-verschlüsselte Daten für jeden Domänenbenutzer entschlüsseln kann, auch nachdem das Kennwort des Benutzers geändert wurde.

Die DPAPI-Sicherungsschlüssel auf Active Directory-Domänencontrollern werden nur einmal während der ersten Erstellung der Domäne nach dem Zufallsprinzip generiert.

Aufgrund der Vertraulichkeit dieser Schlüssel ist es zwingend erforderlich, den Zugriff auf diese Schlüssel zu schützen und als eine der streng vertraulichsten Informationen in der gesamten Active Directory-Domäne zu betrachten. Standardmäßig ist der Zugriff auf diese Schlüssel auf Domänenadministratoren beschränkt.

Es gibt derzeit keine offiziell unterstützte Möglichkeit, diese DPAPI-Sicherungsschlüssel auf den Domänencontrollern zu ändern oder zu rotieren. In Übereinstimmung mit dem Dokument MS-BKRP haben drei Drittanbieter die Möglichkeit, eine Anwendung oder ein Skript zu entwickeln, das einen neuen DPAPI-Sicherungsschlüssel erstellt und den neuen Schlüssel als bevorzugten Schlüssel für die Domäne festlegt. Diese Lösungen von Drittanbietern werden jedoch von Microsoft nicht unterstützt.

Sollten die DPAPI-Sicherungsschlüssel für die Domäne kompromittiert werden, wird empfohlen, eine neue Domäne zu erstellen und Benutzer zu dieser neuen Domäne zu migrieren. Wenn ein böswilliger Akteur Zugriff auf die DPAPI-Sicherungsschlüssel erhalten kann, ist es wahrscheinlich, dass er Zugriff auf Domänenadministratorebene auf die Domäne erlangt hat und Vollzugriff auf deren Ressourcen hat. Ein Angreifer kann auch andere Backdoor-Systeme in der Domäne mit der Zugriffsebene installieren, die er jetzt hat, daher die Empfehlung, zu einer neuen Domäne zu migrieren.

Bewährte Methoden für die Active Directory-Verwaltung sind die Abwehr dieses Szenarios. Geben Sie beim Gewähren von Domänenzugriff für Benutzer die Mindestzugriffsebene an, die Benutzer benötigen. Es ist auch wichtig, Active Directory-Sicherungen mit so großer Wachsamkeit zu schützen, wie Sie die Domänencontroller selbst schützen.

Weitere Informationen

CNG DPAPI

MS-BKRP: BackupKey Remote Protocol-Dokument