语言:
DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。多种攻击工具都利用 LSARPC 调用将这些密钥从域控制器中提取出来。Microsoft 识别出没有受支持的方法可用来轮换或更改这些密钥。因此,若域的 DPAPI 备份密钥泄露,他们建议重新创建一个全新的域,但这样做耗时长久且代价高昂。
CQLabs - Extracting Roamed Private Keys from Active Directory
Operational Guidance for Offensive User DPAPI Abuse
DPAPI 密钥
DPAPI backup keys on Active Directory domain controllers
名称: DPAPI 域备份密钥提取
代码名称: I-AdDpapiKey
严重程度: Critical