PCI DSS y servidores de terminales de Windows y 2FA

0

Estamos utilizando una granja de servidores de Terminal Server de Windows (que proporciona una función de seguridad) para acceder a los servidores en el CDE. CDE está segregado (VLAN / IP / FW) y la comunidad TS está segmentada (VLAN / IP / FW). La única forma de acceder al TS desde las estaciones de trabajo es mediante VPN a una puerta de enlace segura utilizando autenticación de dos factores.

  1. ¿Necesitamos 2FA también en los jumphosts (Win TS farm)?
  2. Si es así, ¿cómo?

NLA está habilitado en el TS para obtener el cifrado entre los servidores TS y CDE, ya que el cifrado RDP predeterminado es RC4 (no recomendado).

NLA usa una pre-autenticación que activa el 2FA cuando sale del TS, ¡así que ahora tenemos 3 pases de 2FA!

La primera VPN para asegurar GW, la segunda RDP a TS y la tercera que deja el TS que accede al servidor de CDE y probablemente una cuarta al iniciar sesión en el mismo servidor de CDE.

¿Debemos deshabilitar NLA con RC4?

    
pregunta Mikael 11.01.2017 - 19:12
fuente

0 respuestas

Lea otras preguntas en las etiquetas