Utilizzo di MFA per connettersi a condivisioni Windows sul controller di dominio

4

Ho l'obbligo di forzare MFA per tutto l'accesso amministrativo non da console ai nostri server Windows AD. Ho risolto i log in con RSA, ma ciò non impedisce ad un amministratore di dominio di mappare un'unità o di connettersi tramite \ nomeserver \ share e di apportare modifiche in questo modo.

Questo è il requisito MFA PCI 8.3.1, per coloro che hanno familiarità con PCI. Ho battuto la mia testa contro un muro per mesi; Ho grigliato gli amministratori di Windows, ho cercato su Google fino a quando non ho sanguinato le dita e ho chiesto l'input di diversi QSA. Nessuno è stato in grado di porre nemmeno una soluzione potenziale.

Qualunque idea, suggerimento o indicazione da guardare sarebbe molto apprezzata. Sono bloccato.

    
posta afrogg 30.08.2017 - 13:46
fonte

3 risposte

1

Lo so, due risposte a una domanda non sono belle - ma dopo aver postato la prima risposta ne ho discusso con alcuni amici del settore perché è davvero una domanda a cui credo non sia stato pensato quando lo standard era redatto (e se pensi che puoi dirlo allora guarda il mio profilo).

Quindi penso che l'intento dello standard sarebbe stato raggiunto se un amministratore che aveva i diritti per UTILIZZARE NET un disco nel CDE è stato creato per utilizzare MFA al primo accesso al dominio, anche se non avevano alcun desiderio o intenzione per accedere al CDE. Ciò che è importante è che se la password dell'amministratore è compromessa (malware, MITM, acquisizione di pacchetti, ecc.), Il nome utente e la password acquisiti non forniscono accesso privilegiato al CDE.

    
risposta data 13.09.2017 - 23:19
fonte
1

Questa è una domanda davvero fantastica. La mia ipotesi è che per permetterti di fare questo devi avere fiducia nei domini tra CDE e non-CDE, nel qual caso mi aspetterei che l'amministratore abbia effettuato l'accesso inizialmente usando MFA.

Ma è una bella domanda e in realtà ti incoraggerei a inviarlo al PCI SSC - Non mi aspetto che tu riceva una risposta rapida, ma è il tipo di domanda che genererebbe una FAQ a tempo debito .

    
risposta data 06.09.2017 - 23:16
fonte
0

[Full disclosure] Sono un CEO di Systola GmbH, una società che sviluppa una soluzione 2FA per Windows.

Abbiamo (almeno per ora) l'unica soluzione sul mercato, a parte le smartcard, che funziona in modo nativo con le condivisioni Windows, fornisce un vero MFA ed è conforme a PCI 8.3.1.

    
risposta data 29.09.2017 - 11:12
fonte

Leggi altre domande sui tag