AD管理员双因素认证(2FA)的关键技术解析
关于AD管理员双因素认证的问题
我们最近收到更多关于部署WiKID双因素认证(2FA)以防范勒索软件攻击中潜在权限提升的问题。我们已完成概念验证,表明WiKID能有效增加权限提升的难度。但发现遗漏了一个关键问题:如何确保不会意外锁定所有管理员账户?这是个极其重要的问题,以下是解决方案:
当管理员从WiKID请求一次性密码(OTP)时,系统会用OTP覆盖当前AD密码。管理员登录后,OTP过期时会被替换为一个随机长字符串。该字符串的值无人知晓,也从未在网络上使用。如果Mimikatz或其他哈希传递恶意软件尝试使用OTP登录,将会失败并触发网络异常警报。
WiKID服务器实质上充当密码重置服务(我们也确实具备此功能)。要关闭任何账户的双因素认证,只需手动将该随机字符串替换为用户密码即可。当然,这些账户凭证必须严格保护且禁止远程使用。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码