Estamos utilizando una granja de servidores de Terminal Server de Windows (que proporciona una función de seguridad) para acceder a los servidores en el CDE. CDE está segregado (VLAN / IP / FW) y la comunidad TS está segmentada (VLAN / IP / FW). La única forma de acceder al TS desde las estaciones de trabajo es mediante VPN a una puerta de enlace segura utilizando autenticación de dos factores.
- ¿Necesitamos 2FA también en los jumphosts (Win TS farm)?
- Si es así, ¿cómo?
NLA está habilitado en el TS para obtener el cifrado entre los servidores TS y CDE, ya que el cifrado RDP predeterminado es RC4 (no recomendado).
NLA usa una pre-autenticación que activa el 2FA cuando sale del TS, ¡así que ahora tenemos 3 pases de 2FA!
La primera VPN para asegurar GW, la segunda RDP a TS y la tercera que deja el TS que accede al servidor de CDE y probablemente una cuarta al iniciar sesión en el mismo servidor de CDE.
¿Debemos deshabilitar NLA con RC4?