Estoy estudiando las mitigaciones de Pasar + Hash y Pasar el ticket en Active Directory que también mejoran la seguridad de la red en general. Repase algunas de las muchas opciones de autenticación de dos factores para aumentar la seguridad del inicio de sesión del usuario, pero acaba de descubrir que, bajo la forma estándar de AD de hacer cosas, la autenticación de dos factores sigue usando Kerberos o NTLM. Por lo tanto, los ataques pass-the-hash o pass-the-ticket siguen siendo efectivos contra el dominio. Lo que he leído parece decir que solo los inicios de sesión "interactivos" no son vulnerables a esto.
¿Cómo puedo adoptar la autenticación de dos factores para los inicios de sesión de los usuarios de AD de manera que no sean tan vulnerables al paso de hash / ticket como lo son las contraseñas? En la medida en que sea importante, me refiero a los entornos que usan Windows Server 2008 R2 y Server 2012.