AD管理员关于双因子认证的疑问

发布时间: 4年前
作者: root

近期我们收到更多关于部署WiKID双因子认证以保护AD管理员账户、防范勒索攻击中权限提升的问题。我们通过概念验证证明WiKID能有效增加权限提升难度。但我们发现遗漏了一个关键问题：如何确保不会锁定所有管理员账户？这是个非常重要的问题，以下是解答：

当管理员从WiKID请求一次性密码时，系统会用OTP覆盖当前AD密码。管理员登录后，OTP过期时会被随机长字符串覆盖。无人知晓该字符串的值，且它从未在网络中使用。如果Mimikatz或其他哈希传递恶意软件尝试使用OTP登录，将会失败并触发警报，提示网络中存在异常活动。

WiKID服务器实质上充当密码重置服务（我们确实也具备此功能）。要关闭任何账户的双因子认证，只需手动将该随机字符串替换为用户密码。显然，这些账户凭证需要严格保护且不应远程使用。

当前评分: 3.8/5