Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Active Directory-Datenbank enthält eine Reihe von Objekten, die als DPAPI-Sicherungsschlüssel bezeichnet werden. Zu diesen Objekten gehören:
- BCKUPKEY_P Geheimer Schlüssel
- BCKUPKEY_PREFERRED Geheimer Schlüssel
- BCKUPKEY_guid1
- BCKUPKEY_guid2
Diese Objekte sind Teil der Schemaklasse "secret", und sie sind im Container "CN=System,DC=contoso,DC=com" innerhalb der Domänenpartition vorhanden.
Normalerweise verschlüsseln Domänenbenutzer DPAPI-geschützte Daten mithilfe von Schlüsseln, die von ihren eigenen Kennwörtern abgeleitet werden. Wenn der Benutzer jedoch sein Kennwort vergessen oder das Kennwort von einem anderen Gerät aus administrativ zurückgesetzt oder zurückgesetzt wird, können die zuvor verschlüsselten Daten nicht mehr mit den neuen Schlüsseln entschlüsselt werden, die vom neuen Kennwort des Benutzers abgeleitet wurden.
In diesem Fall können die Daten weiterhin mithilfe der auf den Active Directory-Domänencontrollern gespeicherten Sicherungsschlüssel entschlüsselt werden. Sie können dann mit dem neuen vom Kennwort abgeleiteten Schlüssel des Benutzers erneut verschlüsselt werden. Dies bedeutet, dass jeder, der über die DPAPI-Sicherungsschlüssel für eine Domäne verfügt, in der Lage ist, DPAPI-verschlüsselte Daten für jeden Domänenbenutzer zu entschlüsseln, auch nachdem das Kennwort des Benutzers geändert wurde.
Die DPAPI-Sicherungsschlüssel auf Active Directory-Domänencontrollern werden während der ersten Erstellung der Domäne nur einmal zufällig generiert.
Aufgrund der vertraulichen Natur dieser Schlüssel ist es zwingend erforderlich, dass der Zugriff auf diese Schlüssel geschützt und als einer der streng vertraulichsten Informationselemente in der gesamten Active Directory-Domäne angesehen wird. Standardmäßig ist der Zugriff auf diese Schlüssel auf Domänenadministratoren beschränkt.
Derzeit gibt es keine offiziell unterstützte Möglichkeit, diese DPAPI-Sicherungsschlüssel auf den Domänencontrollern zu ändern oder zu drehen. Gemäß dem Dokument MS-BKRPhaben Dritte die Möglichkeit, eine Anwendung oder ein Skript zu entwickeln, mit dem ein neuer DPAPI-Sicherungsschlüssel erstellt wird und der neue Schlüssel als bevorzugter Schlüssel für die Domäne festgelegt wird. Diese Drittanbieterlösungen werden jedoch von Microsoft nicht unterstützt.
Sollte die DPAPI-Sicherungsschlüssel für die Domäne kompromittiert werden, empfiehlt es sich, eine neue Domäne zu erstellen und Benutzer zu dieser neuen Domäne zu migrieren. Wenn ein böswilliger Akteur Zugriff auf die DPAPI-Sicherungsschlüssel erhalten kann, ist es wahrscheinlich, dass er Zugriff auf Domänenadministratorebene auf die Domäne erworben hat und vollzugriff auf seine Ressourcen hat. Ein Angreifer kann auch andere Backdoor-Systeme in der Domäne installieren, deren Zugriffsebene sie jetzt haben, daher die Empfehlung, zu einer neuen Domäne zu migrieren.
Bewährte Methoden für die Active Directory-Verwaltung sind die Verteidigung gegen dieses Szenario. Stellen Sie bei der Gewährung des Domänenzugriffs auf Benutzer die mindeste Zugriffsstufe bereit, die benutzer benötigen. Es ist auch wichtig, Active Directory-Sicherungen mit so viel Wachsamkeit zu schützen, wie Sie die Domänencontroller selbst schützen.