DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。多种攻击工具都利用 LSARPC 调用将这些密钥从域控制器中提取出来。Microsoft 识别出没有受支持的方法可用来轮换或更改这些密钥。因此，若域的 DPAPI 备份密钥泄露，他们建议重新创建一个全新的域，但这样做耗时长久且代价高昂。

ID：<a rel="noopener noreferrer" href="https://attack.mitre.org/techniques/T1552/004" target="_blank">T1552.004</a>​ 子技术归属：<a rel="noopener noreferrer" href="https://attack.mitre.org/techniques/T1552" target="_blank">T1552</a>​ 策略：<a rel="noopener noreferrer" href="https://attack.mitre.org/tactics/TA0006" target="_blank">TA0006</a>​

检测

DPAPI 域备份密钥提取

critical

描述

另见

指标详细信息