Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La base de données Active Directory contient un ensemble d’objets appelés clés de sauvegarde DPAPI. Ces objets sont les suivants :
- BCKUPKEY_P Secret
- BCKUPKEY_PREFERRED Secret
- BCKUPKEY_guid1
- BCKUPKEY_guid2
Ces objets font partie de la classe de schéma « secret », et ils existent dans le conteneur « CN=System,DC=contoso,DC=com » dans la partition de domaine.
Normalement, les utilisateurs de domaine chiffrent les données protégées par DPAPI à l’aide de clés dérivées de leurs propres mots de passe. Toutefois, si l’utilisateur oublie son mot de passe ou si son mot de passe est réinitialisé ou réinitialisé administrativement à partir d’un autre appareil, les données précédemment chiffrées ne peuvent plus être déchiffrées à l’aide des nouvelles clés dérivées du nouveau mot de passe de l’utilisateur.
Lorsque cela se produit, les données peuvent toujours être déchiffrées à l’aide des clés de sauvegarde stockées sur les contrôleurs de domaine Active Directory. Ils peuvent ensuite être rechiffrés avec la nouvelle clé dérivée du mot de passe de l’utilisateur. Cela signifie que toute personne disposant des clés de sauvegarde DPAPI pour un domaine peut déchiffrer les données chiffrées DPAPI pour n’importe quel utilisateur de domaine, même après la modification du mot de passe de l’utilisateur.
Les clés de sauvegarde DPAPI sur les contrôleurs de domaine Active Directory ne sont générées de manière aléatoire qu’une seule fois, lors de la création initiale du domaine.
En raison de la nature sensible de ces clés, il est impératif que l’accès à ces clés soit protégé et considéré comme l’une des informations les plus confidentielles dans l’ensemble du domaine Active Directory. Par défaut, l’accès à ces clés est limité aux administrateurs de domaine.
Il n’existe actuellement aucun moyen officiellement pris en charge de modifier ou de faire pivoter ces clés de sauvegarde DPAPI sur les contrôleurs de domaine. Conformément au document MS-BKRP, les tiers ont la possibilité de développer une application ou un script qui crée une clé de sauvegarde DPAPI et définit la nouvelle clé comme clé préférée pour le domaine. Toutefois, ces solutions tierces ne seraient pas prises en charge par Microsoft.
Si les clés de sauvegarde DPAPI pour le domaine sont compromises, il est recommandé de créer un domaine et de migrer des utilisateurs vers ce nouveau domaine. Si un acteur malveillant est en mesure d’accéder aux clés de sauvegarde DPAPI, il est probable qu’il ait acquis l’accès au niveau de l’administrateur de domaine au domaine et qu’il ait un accès complet à ses ressources. Un attaquant peut également installer d’autres systèmes de porte dérobée dans le domaine avec le niveau d’accès dont ils disposent maintenant, d’où la recommandation de migrer vers un nouveau domaine.
Les meilleures pratiques d’administration Active Directory sont la défense contre ce scénario. Lors de l’octroi d’un accès au domaine aux utilisateurs, fournissez le niveau minimal d’accès dont ont besoin les utilisateurs. Il est également essentiel de protéger les sauvegardes Active Directory avec autant de vigilance que vous protégez les contrôleurs de domaine eux-mêmes.