Partager via


Clés de sauvegarde DPAPI sur les contrôleurs de domaine Active Directory

La base de données Active Directory contient un ensemble d’objets appelés clés de sauvegarde DPAPI. Ces objets sont les suivants :

  • BCKUPKEY_P Secret
  • BCKUPKEY_PREFERRED Secret
  • BCKUPKEY_guid1
  • BCKUPKEY_guid2

Ces objets font partie de la classe de schéma « secret », et ils existent dans le conteneur « CN=System,DC=contoso,DC=com » au sein de la partition Domain.

Normalement, les utilisateurs du domaine chiffrent les données protégées par DPAPI à l’aide de clés dérivées de leurs propres mots de passe. Toutefois, si l’utilisateur oublie son mot de passe, ou si son mot de passe est réinitialisé ou réinitialisé administrativement à partir d’un autre appareil, les données précédemment chiffrées ne peuvent plus être déchiffrées à l’aide des nouvelles clés dérivées du nouveau mot de passe de l’utilisateur.

Dans ce cas, les données peuvent toujours être déchiffrées à l’aide des clés de sauvegarde stockées sur les contrôleurs de domaine Active Directory. Ils peuvent ensuite être rechiffrés avec la nouvelle clé dérivée du mot de passe de l’utilisateur. Cela signifie que toute personne disposant des clés de sauvegarde DPAPI pour un domaine peut déchiffrer les données chiffrées DPAPI pour n’importe quel utilisateur de domaine, même après la modification du mot de passe de l’utilisateur.

Les clés de sauvegarde DPAPI sur les contrôleurs de domaine Active Directory ne sont générées de manière aléatoire qu’une seule fois, lors de la création initiale du domaine.

En raison de la nature sensible de ces clés, il est impératif que l’accès à ces clés soit protégé et considéré comme l’une des informations les plus hautement confidentielles dans l’ensemble du domaine Active Directory. Par défaut, l’accès à ces clés est limité aux administrateurs de domaine.

Il n’existe actuellement aucun moyen officiellement pris en charge de modifier ou de faire pivoter ces clés de sauvegarde DPAPI sur les contrôleurs de domaine. Conformément au document MS-BKRP, les tiers ont la possibilité de développer une application ou un script qui crée une clé de sauvegarde DPAPI et définit la nouvelle clé comme clé préférée pour le domaine. Toutefois, ces solutions tierces ne seraient pas prises en charge par Microsoft.

Si les clés de sauvegarde DPAPI pour le domaine sont compromises, il est recommandé de créer un domaine et de migrer les utilisateurs vers ce nouveau domaine. Si un acteur malveillant est en mesure d’accéder aux clés de sauvegarde DPAPI, il est probable qu’il ait acquis un accès au domaine au niveau de l’administrateur de domaine et qu’il ait un accès complet à ses ressources. Un attaquant peut également installer d’autres systèmes de porte dérobée dans le domaine avec le niveau d’accès qu’il a maintenant, d’où la recommandation de migrer vers un nouveau domaine.

Les meilleures pratiques d’administration Active Directory constituent la défense contre ce scénario. Lorsque vous accordez l’accès au domaine aux utilisateurs, fournissez le niveau minimal d’accès dont les utilisateurs ont besoin. Il est également essentiel de protéger les sauvegardes Active Directory avec autant de vigilance que les contrôleurs de domaine eux-mêmes.

Voir aussi

DPAPI CNG

MS-BKRP : Document protocole distant BackupKey