Может ли мой администратор домена Windows расшифровать мои зашифрованные файлы DPAPI?

Question

Я хочу зашифровать пароли, используя DPAPI, как это

ProtectedData.Protect(plain, optionalEntropy, DataProtectionScope.CurrentUser);

и задаюсь вопросом, может ли администратор домена расшифровать сгенерированный большой двоичный объект, как Эффективное использование паролей состояния:

Однако в доменной среде администратор домена может смело менять ваш пароль, и вы все равно будете иметь доступ к вашим зашифрованным файлам.

Похоже, что администратор домена должен был бы сначала расшифровать данные (или, скорее, зашифрованные главные ключи), чтобы иметь возможность повторно зашифровать их, используя другой пароль.

Answer 1

Ответ да , при условии, что он также имеет доступ к ключу entropy (если он создан) или если он желает и достаточно способен взломать BLOB-объекты ( см. ссылки ниже).

Для Мастер-ключа в DPAPI (в режиме CurrentUser ) имя пользователя и пароль для входа в Windows используются для генерации мастер-ключа. Если администратор обновит пароль домена пользователя, DPAPI перекодирует мастер-ключ для этого пользователя. То же самое происходит, если пользователь обновляет свой пароль, например, из-за. ежемесячная политика смены пароля.

Однако, если у него нет доступа к необязательному энтропийному ключу или данным, составляющим этот ключ, файл останется зашифрованным, и все, что он получит, это недействительные данные.

Если DPAPI используется в режиме CurrentMachine , файл можно расшифровать только на том компьютере, который его зашифровал, однако файл будет доступен для чтения всем учетным записям на этом компьютере, снова при условии, что они также могут собирать содержимое ключа энтропии.

Хорошим хранилищем информации является Секреты DPAPI и . Этот документ посвящен обратной связи DPAPI + со ссылкой на инструмент, который может восстанавливать данные из BLAP-объектов DPAPI

Answer 2

Ответ - да. Утилита PoC с описанием: Уязвимость защиты данных DPAPI в Win2K, Win2K3, Windows Server 2008 и Windows Server 2012 Также работает в Win Server 2016/2019.

Answer 3

Краткий ответ: он, вероятно, не может сразу, но администратор домена является мощным. Есть много способов получить ваш ключ, если они действительно этого хотят.

Длинный ответ: DPAPI шифрует ваши данные ключом. IIRC использует AES с ключом, который меняется каждые 90 дней. Ключ хранится на вашем компьютере, зашифрован вашим паролем. Это значение по умолчанию, и оно сохраняет ваш ключ вне досягаемости никого, кроме вас.

Если только администратор вашего домена не установит регистратор ключей, не украдет ваш пароль, не выдаст себя за вас и не украдет ваш ключ (или не перейдет прямо к данным, которые он теперь видит в виде простого текста).

Еще один несколько менее известный факт заключается в том, что когда Роуминг учетных данных включен в Active Directory, он будет отправлять ваши зашифрованные ключи на сервер. Администратор домена может использовать эту копию для автономной атаки. Но это сложно, и если ваши данные не будут очень ценными, я не буду беспокоиться об этом.