Uso de MFA para conectarse a recursos compartidos de Windows en el controlador de dominio

4

Tengo el requisito de forzar el MFA para todos los accesos administrativos que no sean de consola a nuestros servidores Windows AD. He solucionado los inicios de sesión con RSA, pero eso no impide que un administrador de dominio asigne un disco o se conecte a través de \ servername \ share y realice cambios de esa manera.

Este es el requisito de PCI MFA 8.3.1, para aquellos que están familiarizados con PCI. He estado golpeando mi cabeza contra una pared por esto durante meses; He interrogado a los administradores de Windows, busqué en Google hasta que mis dedos sangraron y pedí información de varios QSA. Ninguno ha podido plantear siquiera una solución potencial.

Cualquier pensamiento, sugerencia o dirección para mirar sería muy apreciado. Estoy atascado.

    
pregunta afrogg 30.08.2017 - 13:46
fuente

3 respuestas

1

Lo sé, dos respuestas a una pregunta no son geniales, pero después de publicar la primera respuesta, lo discutí con algunos amigos de la industria porque realmente es una pregunta que creo que no se pensó cuando el estándar era redactado (y si crees que htf puedes decir esto, mira mi perfil).

Por lo tanto, creo que se cumpliría la intención del estándar si un administrador que tuviera los derechos para usar el NET NET en un CDE se creara para usar MFA cuando ingresó por primera vez en el dominio, incluso si no tenía ningún deseo o intención. para acceder al CDE. Lo importante es que si se compromete la contraseña del administrador (malware, MITM, captura de paquetes, etc.), el nombre de usuario y la contraseña capturados no brindarán acceso privilegiado al CDE.

    
respondido por el withoutfire 13.09.2017 - 23:19
fuente
1

Esa es una gran pregunta. Mi conjetura es que para permitir esto, debe estar confiando dominios entre el CDE y el no CDE, en cuyo caso esperaría que el administrador haya iniciado sesión inicialmente usando MFA.

Pero es una excelente pregunta y realmente lo alentaría a enviarla al PCI SSC. No espero que reciba una respuesta rápida, pero es el tipo de pregunta que generará una pregunta frecuente a su debido tiempo. .

    
respondido por el withoutfire 06.09.2017 - 23:16
fuente
0

[Revelación completa] Soy un CEO de Systola GmbH, una compañía que desarrolla una solución 2FA para Windows.

Tenemos (al menos por ahora) la única solución en el mercado, aparte de las tarjetas inteligentes, que funciona de forma nativa con las acciones de Windows, proporciona MFA real y cumple con la norma PCI 8.3.1.

    
respondido por el Roman Kuznetsov 29.09.2017 - 11:12
fuente

Lea otras preguntas en las etiquetas