Uso de MFA para conectarse a recursos compartidos de Windows en el controlador de dominio

Lo sé, dos respuestas a una pregunta no son geniales, pero después de publicar la primera respuesta, lo discutí con algunos amigos de la industria porque realmente es una pregunta que creo que no se pensó cuando el estándar era redactado (y si crees que htf puedes decir esto, mira mi perfil).

Por lo tanto, creo que se cumpliría la intención del estándar si un administrador que tuviera los derechos para usar el NET NET en un CDE se creara para usar MFA cuando ingresó por primera vez en el dominio, incluso si no tenía ningún deseo o intención. para acceder al CDE. Lo importante es que si se compromete la contraseña del administrador (malware, MITM, captura de paquetes, etc.), el nombre de usuario y la contraseña capturados no brindarán acceso privilegiado al CDE.

Esa es una gran pregunta. Mi conjetura es que para permitir esto, debe estar confiando dominios entre el CDE y el no CDE, en cuyo caso esperaría que el administrador haya iniciado sesión inicialmente usando MFA.

Pero es una excelente pregunta y realmente lo alentaría a enviarla al PCI SSC. No espero que reciba una respuesta rápida, pero es el tipo de pregunta que generará una pregunta frecuente a su debido tiempo. .

[Revelación completa] Soy un CEO de Systola GmbH, una compañía que desarrolla una solución 2FA para Windows.

Tenemos (al menos por ahora) la única solución en el mercado, aparte de las tarjetas inteligentes, que funciona de forma nativa con las acciones de Windows, proporciona MFA real y cumple con la norma PCI 8.3.1.