Utilizzo di MFA per connettersi a condivisioni Windows sul controller di dominio

Lo so, due risposte a una domanda non sono belle - ma dopo aver postato la prima risposta ne ho discusso con alcuni amici del settore perché è davvero una domanda a cui credo non sia stato pensato quando lo standard era redatto (e se pensi che puoi dirlo allora guarda il mio profilo).

Quindi penso che l'intento dello standard sarebbe stato raggiunto se un amministratore che aveva i diritti per UTILIZZARE NET un disco nel CDE è stato creato per utilizzare MFA al primo accesso al dominio, anche se non avevano alcun desiderio o intenzione per accedere al CDE. Ciò che è importante è che se la password dell'amministratore è compromessa (malware, MITM, acquisizione di pacchetti, ecc.), Il nome utente e la password acquisiti non forniscono accesso privilegiato al CDE.

Questa è una domanda davvero fantastica. La mia ipotesi è che per permetterti di fare questo devi avere fiducia nei domini tra CDE e non-CDE, nel qual caso mi aspetterei che l'amministratore abbia effettuato l'accesso inizialmente usando MFA.

Ma è una bella domanda e in realtà ti incoraggerei a inviarlo al PCI SSC - Non mi aspetto che tu riceva una risposta rapida, ma è il tipo di domanda che genererebbe una FAQ a tempo debito .

[Full disclosure] Sono un CEO di Systola GmbH, una società che sviluppa una soluzione 2FA per Windows.

Abbiamo (almeno per ora) l'unica soluzione sul mercato, a parte le smartcard, che funziona in modo nativo con le condivisioni Windows, fornisce un vero MFA ed è conforme a PCI 8.3.1.