PCI DSS e Windows Terminal Server e 2FA

0

Stiamo utilizzando una farm di Windows Terminal Server (che fornisce la funzione di sicurezza) per accedere ai server nel CDE. Il CDE è separato (VLAN / IP / FW) anche la farm TS è segmentata (VLAN / IP / FW). L'unico modo per accedere a TS dalle workstation è VPN a Secure Gateway utilizzando l'autenticazione a due fattori.

  1. Abbiamo bisogno di 2FA anche sui jumphosts (Win TS farm)?
  2. Se sì, come?

NLA è abilitato su TS per ottenere la crittografia tra server TS e CDE poiché la crittografia RDP predefinita è RC4 (non consigliato).

NLA usa pre-auth che attiva i 2FA quando lascia il TS, così ora abbiamo 3 passaggi di 2FA!

Prima VPN per proteggere GW, seconda da RDP a TS e terza da TS per accedere al server CDE e probabilmente una quarta quando si accede al server CDE stesso.

Dovremmo disabilitare NLA con RC4?

    
posta Mikael 11.01.2017 - 19:12
fonte

0 risposte

Leggi altre domande sui tag