By webadmin in dapi

DPAPI keys Active Directory

DPAPI keys Active Directory

Language: Danish

Hvad er DPAPI Keys?
DPAPI (Data Protection API) backup nøgler i Active Directory bruges til at beskytte og gendanne krypterede data. Når en bruger i et Active Directory-domæne krypterer data ved hjælp af DPAPI, bliver en kopi af brugerens master-nøgle krypteret med en såkaldt DPAPI Domain Backup Key, som er kendt af alle domænecontrollere.

Disse backup nøgler er kritiske, fordi de tillader gendannelse af krypterede data, hvis en bruger glemmer sin adgangskode eller får den nulstillet. Backup nøglerne genereres kun én gang under oprettelsen af domænet og opbevares i Active Directory. De er ekstremt følsomme og bør beskyttes nøje, da adgang til disse nøgler kan give mulighed for at dekryptere data for enhver bruger i domænet

AD database indeholder et sæt objekter som er kendt af følgende:

  • BCKUPKEY_P Secret
  • BCKUPKEY_PREFERRED Secret
  • BCKUPKEY_guid1
  • BCKUPKEY_guid2

Objekter over her er en del af den schema class som hedder “secret” og eksister i
‘CN=System,DC=contoso,DC=com’.

Normalt krypterer domain users DPAPI data ved hjælp af de keys, der er afledt af deres egne adgangskoder. Men hvis brugeren glemmer sit password, eller hvis deres password bliver nulstillet fra ad’et, kan de tidligere krypterede data ikke længere dekrypteres ved hjælp af de nye keys, der er afledt af brugerens nye password.

Når dette sker, kan dataene stadig dekrypteres ved hjælp af backup-nøglerne(DPAPI Keys), der er gemt på Active Directory domænecontrollere. De kan derefter krypteres igen med brugerens nye password. Dette betyder, at enhver, der har DPAPI-backup-nøglerne for et domæne, vil kunne dekryptere DPAPI-krypterede data for enhver domain user, selv efter brugerens adgangskode er ændret.

DPAPI-backup keys på Active Directory-domænecontrollere genereres tilfældigt kun én gang, under den oprindelige oprettelse af domænet.

På grund af DPAPI keys følsomhed er det derfor afgørende at adgangen til disse nøgler beskyttes mest muligt og efter min mening betragtes som det mest fortrolig i ens virksomhed.
(Som standard har domain admins adgang til disse nøgler)

Microsoft har ikke lanceret et måde at ændre eller rotere disse DPAPI keys,

Dog kan der laves et script der kan oprette en ny DPAPI key nøgle hvor den også kan blive sat som primary key for ad’et.
(Dette er dog ikke understøttet af Microsoft)

Derfor hvis DPAPI keys bliver kompromitteret er anbefalingen at oprette et nyt domæne og migrere domain users til det nye.