Stiamo utilizzando una farm di Windows Terminal Server (che fornisce la funzione di sicurezza) per accedere ai server nel CDE. Il CDE è separato (VLAN / IP / FW) anche la farm TS è segmentata (VLAN / IP / FW). L'unico modo per accedere a TS dalle workstation è VPN a Secure Gateway utilizzando l'autenticazione a due fattori.
- Abbiamo bisogno di 2FA anche sui jumphosts (Win TS farm)?
- Se sì, come?
NLA è abilitato su TS per ottenere la crittografia tra server TS e CDE poiché la crittografia RDP predefinita è RC4 (non consigliato).
NLA usa pre-auth che attiva i 2FA quando lascia il TS, così ora abbiamo 3 passaggi di 2FA!
Prima VPN per proteggere GW, seconda da RDP a TS e terza da TS per accedere al server CDE e probabilmente una quarta quando si accede al server CDE stesso.
Dovremmo disabilitare NLA con RC4?