Tengo el requisito de forzar el MFA para todos los accesos administrativos que no sean de consola a nuestros servidores Windows AD. He solucionado los inicios de sesión con RSA, pero eso no impide que un administrador de dominio asigne un disco o se conecte a través de \ servername \ share y realice cambios de esa manera.
Este es el requisito de PCI MFA 8.3.1, para aquellos que están familiarizados con PCI. He estado golpeando mi cabeza contra una pared por esto durante meses; He interrogado a los administradores de Windows, busqué en Google hasta que mis dedos sangraron y pedí información de varios QSA. Ninguno ha podido plantear siquiera una solución potencial.
Cualquier pensamiento, sugerencia o dirección para mirar sería muy apreciado. Estoy atascado.