问远程注册表允许绕过使用1FA的2FA强制执行

EN

一些组织将他们的Windows系统配置为对所有帐户登录都需要智能卡，作为双因素身份验证实现的一部分。但是，在某些条件下，无需双因素身份验证，就可以很容易地绕过这一问题。

旁路要求管理员凭据(仅使用用户名和密码-智能卡和PIN不需要)，或物理访问系统或访问系统的远程注册表服务。

有了对系统的物理访问，您可以做的不仅仅是简单地禁用2FA强制执行。因此，这是相当少的关注。另一方面，远程注册表角度似乎是系统中的一个重大漏洞。

智能卡登入的执行由下列注册项目处理：

• 密钥：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
• 价值：scforceoption
• 设置：0用于禁用，1用于启用。

远程注册表通常用于公司环境，以方便集中监测和管理服务。但是，访问远程注册表服务只需要使用用户名和密码的单因素身份验证.给予：

• 在目标计算机上启用远程注册表。
• 本地计算机和目标之间没有任何阻塞远程注册表。
• 您是在本地登录的，其帐户位于同一域中，该帐户在目标计算机上具有Adminsitrator权限。

以下命令很容易允许您在远程目标上禁用智能卡强制执行，而无需使用智能卡对其进行身份验证：

reg add \\[TargetHostName]\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v scforceoption /t REG_DWORD /d 0

通过巧妙地使用runas，您甚至不必通过管理员帐户在本地登录，也不必在同一域中使用系统。只要您有用户名和密码，并且可以访问，就可以在不使用2FA的情况下绕过2FA策略。

虽然到目前为止，这并不是世界上最关键的漏洞，但它似乎是Windows双因素身份验证策略中的一个弱点。是否有一些配置选项可以用来弥补这一问题-例如:打开远程注册表的2FA，而不必实际禁用远程注册表？