关于AD管理员双因素认证的问题

最近，我们收到了更多关于部署WiKID双因素认证（2FA）以防范勒索软件攻击中潜在权限提升的问题。我们已完成概念验证，证明WiKID能显著增加权限提升的难度。但我们意识到遗漏了一个关键问题：如何确保不会锁定所有管理员账户？这确实是个重要问题，以下是解答：

当管理员从WiKID请求一次性密码（OTP）时，系统会用OTP覆盖当前的AD密码。管理员登录后，OTP过期时，系统会将其替换为一个随机的长字符串。无人知晓该字符串的值，且它从未在网络中使用。如果Mimikatz或其他传递哈希恶意软件尝试使用OTP登录，将会失败，并触发警报，提示网络中存在异常活动。

WiKID服务器实际上充当密码重置服务（是的，我们也有此功能）。要“关闭”任何账户的双因素认证，只需手动将该随机字符串替换为用户密码。显然，您需要确保这些账户凭据安全，且不用于远程访问。