Algunas organizaciones configurarán sus sistemas Windows para requerir tarjetas inteligentes para todos los inicios de sesión de la cuenta, como parte de una implementación de autenticación de dos factores. Sin embargo, esto se puede omitir fácilmente sin una autenticación de dos factores bajo ciertas condiciones.
La omisión requiere credenciales de administrador (nombre de usuario y contraseña solo - tarjeta inteligente y PIN no son necesarios), y acceso físico al sistema o acceso al servicio de registro remoto del sistema.
Con el acceso físico al sistema, puede hacer mucho más que simplemente deshabilitar la aplicación 2FA. Así que esto es de poca importancia. El ángulo de Registro Remoto, por otro lado, parece ser una ruptura significativa en el sistema.
La ejecución del inicio de sesión de la tarjeta inteligente se maneja mediante el siguiente elemento del Registro:
- clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System - Valor:
scforceoption - Configuración:
0para deshabilitado,1para habilitado.
El Registro remoto se usa comúnmente en entornos corporativos para facilitar los servicios centralizados de monitoreo y administración. Sin embargo, el acceso al servicio de Registro remoto solo requiere autenticación de factor único con un nombre de usuario y contraseña. Dado:
- El Registro remoto está habilitado en la computadora de destino.
- Nada entre la computadora local y el destino está bloqueando el Registro remoto.
- Ha iniciado sesión localmente con una cuenta en el mismo dominio, que tiene derechos de administrador en el equipo de destino.
El siguiente comando le permitirá fácilmente deshabilitar la aplicación de la tarjeta inteligente en un destino remoto, sin tener que usar una tarjeta inteligente para autenticarse:
reg add \[TargetHostName]\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v scforceoption /t REG_DWORD /d 0
Con un uso inteligente de runas , ni siquiera tiene que iniciar sesión localmente con la cuenta de Administrador o usar un sistema en el mismo dominio. Siempre que tenga el nombre de usuario y la contraseña, y pueda acceder al servicio de Registro remoto, es posible omitir la política de 2FA sin utilizar 2FA.
Si bien esta no es la vulnerabilidad más crítica del mundo, parece ser una debilidad en la política de autenticación de dos factores de Windows. ¿Existen opciones de configuración que se puedan usar para compensar esto? Por ejemplo, activar 2FA para el Registro remoto, sin tener que deshabilitar el Registro remoto.