Windows DPAPI和密码重置

Question

我想为应用程序存储私钥，这样只有授权用户才能使用它。在此方案中，域管理员不被授权使用此私钥。

我希望设置一个帐户，以便将密钥存储在帐户证书存储区中，并使用DPAPI加密。据我所读，域帐户是不可能的-基于https://support.microsoft.com/en-us/help/309408/how-to-troubleshoot-the-data-protection-api-dpapi，域管理员可以重置密码和商店重新加密。

但这就留下了一个使用本地帐户的选项--如果本地管理员重置密码，主密钥的访问权限就会丢失，这是否正确？

Answer 1

DPAPI的主密钥是用用户的SID加上用户密码的哈希加密的。可以使用多个密码散列。

如果用户通过提供旧密码和新密码更改其密码，则仍可以访问DPAPI数据，则将使用新的密码哈希输入主密钥。

但是，如果管理员使用net user或其他命令重置密码，并且不知道旧密码，则所有对DPAPI数据的访问都将丢失。

如果密码更改为原始密码，则应再次使用对数据的访问，因为原始加密仍然可用。

对你来说测试这个应该很容易。