Úroveň záruky authenticatoru NIST 3 s využitím ID Microsoft Entra
Použijte informace v tomto článku pro ověřovací úroveň ověřování NIST (National Institute of Standards and Technology) (AAL3).
Před získáním AAL2 si můžete projít následující zdroje informací:
- Přehled NIST: Vysvětlení úrovní AAL
- Základy ověřování: Terminologie a typy ověřování
- Typy ověřovacího programu NIST: Typy authenticatoru
- AALs NIST: Komponenty AAL a metody ověřování Microsoft Entra
Povolené typy authenticatoru
K splnění požadovaných typů ověřovacích objektů NIST použijte metody ověřování Microsoftu.
| Metody ověřování Microsoft Entra | Typ ověřovacího objektu NIST |
|---|---|
| Doporučené metody | |
| Certifikát chráněný hardwarem (čipová karta, klíč zabezpečení/ ČIP TPM) Klíč zabezpečení FIDO 2 Windows Hello pro firmy s hardwarovým čipem TPM |
Kryptografický hardware s vícefaktorovým šifrováním |
| Další metody | |
| Heslo A – Microsoft Entra připojený k hardwarovému čipu TPM - NEBO – Hybridní připojení Microsoft Entra k hardwarovému čipu TPM |
Zapamatovaný tajný kód A Kryptografický hardware s jedním faktorem |
| Heslo A Hardwarové tokeny OATH (Preview) A - Jednofaktorový softwarový certifikát - NEBO – Hybridní nebo kompatibilní zařízení Microsoft Entra se softwarovým čipem TPM |
Zapamatovaný tajný kód A Hardware jednorázového jednorázového hesla A Kryptografický software s jedním faktorem |
Doporučení
Pro AAL3 doporučujeme použít vícefaktorový kryptografický ověřovací program, který poskytuje ověřování bez hesla, čímž se eliminuje největší prostor pro útoky, heslo.
Pokyny najdete v tématu Plánování nasazení ověřování bez hesla v Microsoft Entra ID. Viz také Windows Hello pro firmy průvodce nasazením.
Ověřování FIPS 140
Požadavky na ověřovatele
Microsoft Entra ID používá celkový ověřený kryptografický modul Windows FIPS 140 Level 1 pro své ověřovací kryptografické operace, takže Microsoft Entra ID je kompatibilní ověřovatel.
Požadavky na authenticator
Požadavky na jednofaktorové a vícefaktorové kryptografické ověřování hardwaru
Kryptografický hardware s jedním faktorem
Ověřovací objekty musí být:
FIPS 140 Level 1 Overall nebo vyšší
Fyzické zabezpečení úrovně 3 úrovně FIPS 140 nebo vyšší
Zařízení připojená k Microsoft Entra a hybridní připojená zařízení Microsoft Entra splňují tento požadavek v těchto případech:
Windows spustíte v schváleném režimu FIPS-140.
Na počítači s čipem TPM, který má fips 140 úroveň 1 celkově nebo vyšší, s fyzickým zabezpečením FIPS 140 úrovně 3
- Vyhledání kompatibilních čipů TPM: Vyhledejte modul Trusted Platform Module a TPM v programu pro ověřování kryptografických modulů.
Informace o dodržování standardu FIPS 140 vám poskytne dodavatel mobilních zařízení.
Kryptografický hardware s vícefaktorovým šifrováním
Ověřovací objekty musí být:
FIPS 140 Level 2 Overall nebo vyšší
Fyzické zabezpečení úrovně 3 úrovně FIPS 140 nebo vyšší
Klíče zabezpečení FIDO 2, čipové karty a Windows Hello pro firmy vám můžou pomoct splnit tyto požadavky.
Poskytovatelé klíčů FIDO2 jsou v certifikaci FIPS. Doporučujeme projít si seznam podporovaných dodavatelů klíčů FIDO2. Aktuální stav ověření FIPS vám poskytne váš poskytovatel.
Čipové karty jsou prověřenou technologií. Více dodavatelů produktů splňuje požadavky FIPS.
- Další informace o ověřovacím programu kryptografických modulů
Windows Hello pro firmy
FiPS 140 vyžaduje kryptografickou hranici, včetně softwaru, firmwaru a hardwaru, aby byla v rozsahu pro vyhodnocení. Operační systémy Windows lze spárovat s tisíci těchto kombinací. Proto není možné, aby společnost Microsoft Windows Hello pro firmy ověřena na úrovni zabezpečení FIPS 140 2. Federální zákazníci by měli provádět posouzení rizik a vyhodnocovat každou z následujících certifikací součástí jako součást přijetí rizika před přijetím této služby jako AAL3:
Windows 10 a Windows Server používají profil schválené ochrany státní správy USA pro operační systémy pro obecné účely verze 4.2.1 z programu National Information Assurance Partnership (NIAP). Tato organizace dohlížela na národní program, který bude vyhodnocovat komerční produkty informačních technologií cots (COTS) za účelem souladu s mezinárodními společnými kritérii.
Kryptografická knihovnasystému Windows má v programu PRO OVĚŘOVÁNÍ kryptografických modulů NIST (CMVP) celkovou úroveň 1, a to společné úsilí mezi NIST a Kanadskou centrem pro kybernetické zabezpečení. Tato organizace ověřuje kryptografické moduly vůči standardům FIPS.
Zvolte čip TPM (Trusted Platform Module), který je celkově fips 140 level 2, a fyzické zabezpečení ÚROVNĚ 140 ÚROVNĚ 3. Vaše organizace zajišťuje, že hardware TPM splňuje požadované požadavky na úroveň AAL.
Pokud chcete zjistit čipy TPM, které splňují aktuální standardy, přejděte do programu OVĚŘOVÁNÍ kryptografických modulů služby NIST Computer Security Resource Center. Do pole Název modulu zadejte modul Trusted Platform Module pro seznam hardwarových čipů TPM, které splňují standardy.
Opětovné ověření
V případě AAL3 se požadavky NIST znovu ověřují každých 12 hodin bez ohledu na aktivitu uživatele. Opětovné ověření se vyžaduje po 15 minutách nečinnosti nebo déle. Vyžaduje se prezentace obou faktorů.
Microsoft doporučuje nakonfigurovat frekvenci přihlašování uživatelů na 12 hodin, aby splňovala požadavek na opětovné ověření bez ohledu na aktivitu uživatele.
NIST umožňuje kompenzační ovládací prvky pro potvrzení přítomnosti odběratele:
Nastavte časový limit nečinnosti relace 15 minut: Zamkněte zařízení na úrovni operačního systému pomocí Microsoft Configuration Manageru, objektu zásad skupiny (GPO) nebo Intune. Aby ho předplatitel odemkl, vyžaduje místní ověřování.
Nastavte časový limit bez ohledu na aktivitu spuštěním naplánované úlohy pomocí Configuration Manageru, objektu zásad skupiny nebo Intune. Uzamkněte počítač po 12 hodinách bez ohledu na aktivitu.
Man-in-the-middle odpor
Komunikace mezi deklaracemi a ID Microsoft Entra se provádí prostřednictvím ověřeného chráněného kanálu pro odolnost proti útokům typu man-in-the-middle (MitM). Tato konfigurace splňuje požadavky na odolnost MitM pro AAL1, AAL2 a AAL3.
Zosobnění zosobnění
Metody ověřování Microsoft Entra, které splňují protokol AAL3, používají kryptografické ověřovací objekty, které sváže výstup authenticátoru s ověřenou relací. Metody používají privátní klíč řízený deklarátorem. Veřejný klíč je známý pro ověřovatele. Tato konfigurace splňuje požadavky na odolnost ověřovatele a zosobnění pro AAL3.
Ověřitel ohrožení odolnosti
Všechny metody ověřování Microsoft Entra, které splňují AAL3:
- Použití kryptografického ověřovacího objektu, který vyžaduje, aby ověřovatel ukládala veřejný klíč odpovídající privátnímu klíči uchovávanému ověřovacím objektem.
- Uložení očekávaného výstupu ověřovacího objektu pomocí ověřených hash algoritmů FIPS-140
Další informace naleznete v tématu Microsoft Entra Data Security Considerations.
Replay odpor
Metody ověřování Microsoft Entra, které splňují AAL3, používají jiné než výzvy. Tyto metody jsou odolné proti útokům na přehrání, protože ověřovatel může detekovat přehrání ověřovacích transakcí. Tyto transakce nebudou obsahovat potřebná data o nedosahování ani aktuálnosti.
Záměr ověřování
Vyžadování záměru ověřování ztěžuje použití přímo připojených fyzických ověřovacích objektů, jako je kryptografický hardware s vícefaktorovými faktory, bez znalosti subjektu (například malwarem na koncovém bodu). Metody Microsoft Entra, které splňují AAL3, vyžadují zadání pinu nebo biometrického kódu uživatele, což demonstruje záměr ověřování.
Další kroky
Typy ověřovacího programu NIST