NIST Authenticator Assurance Level 3 mit Microsoft Entra ID
Nutzen Sie die Informationen in diesem Artikel zum Erfüllen von Authenticator Assurance Level 3 (AAL3) des National Institute of Standards and Technology (NIST).
Vor Erfüllen von AAL2 können Sie die folgenden Ressourcen konsultieren:
- NIST-Übersicht: Grundlegendes zu AAL-Ebenen
- Authentifizierungsgrundlagen: Begriffe und Authentifizierungstypen
- NIST-Authentifikatortypen: Authentifikatortypen
- NIST-AALs: AAL-Komponenten und Microsoft Entra-Authentifizierungsmethoden
Zulässige Authentifikatortypen
Microsoft bietet Authentifizierungsmethoden, mit denen Sie die Anforderungen von NIST-Authentifikatortypen erfüllen können.
| Microsoft Entra Authentifizierungsmethoden | NIST-Authentifikatortyp |
|---|---|
| Empfohlene Methoden | |
| Hardwaregeschütztes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM) FIDO 2-Sicherheitsschlüssel Windows Hello for Business mit Hardware-TPM |
Multi-Factor-Kryptografiehardware |
| Weitere Methoden | |
| Kennwort AND – In Microsoft Entra eingebunden mit Hardware TPM - OR - In Microsoft Entra hybrid eingebunden mit Hardware TPM |
Gespeichertes Geheimnis AND Single-Factor-Kryptografiehardware |
| Kennwort AND OATH-Hardwaretoken (Vorschau) AND – Single-Factor-Softwarezertifikat - OR - in Microsoft Entra hybrid eingebundenes oder kompatibles Gerät mit Software-TPM |
Gespeichertes Geheimnis AND Single-Factor-OTP-Hardware AND Single-Factor-Kryptografiesoftware |
Empfehlungen
Für AAL3 wird die Verwendung eines Multi-Factor-Kryptografiehardwareauthentifikators empfohlen, der eine kennwortlose Authentifizierung bietet und die größte Angriffsfläche, das Kennwort, eliminiert.
Eine Anleitung finden Sie unter Planen einer kennwortlosen Authentifizierungsbereitstellung in Microsoft Entra ID. Weitere Informationen finden Sie auch in der Bereitstellungsanleitung für Windows Hello for Business.
FIPS 140-Validierung
Anforderungen an Überprüfer
Microsoft Entra ID nutzt für seine kryptografischen Vorgänge zur Authentifizierung das validierte kryptografische Modul „Windows FIPS 140 Level 1 Overall“, was Microsoft Entra ID zu einem konformen Prüfmechanismus macht.
Anforderungen an Authentifikatoren
Anforderungen an Single-Factor- und Multi-Factor-Kryptografiehardware-Authentifikatoren.
Single-Factor-Kryptografiehardware
Authentifikatoren müssen folgende Anforderungen erfüllen:
FIPS 140 Level 1 Overall oder höher
FIPS 140 Level 3 Physical Security oder höher
In Microsoft Entra eingebundene und in Microsoft Entra hybrid eingebundene Geräte erfüllen diese Anforderung in folgenden Fällen:
Sie führen Windows in einem FIPS 140-konformen Modus aus.
Auf einem Computer mit TPM konform mit FIPS 140 Level 1 Overall oder höher, mit FIPS 140 Level 3 Physical Security
- Um konforme TPMs zu finden, suchen Sie unter Cryptographic Module Validation Program nach „Trusted Platform Module“ und „TPM“.
Befragen Sie Ihren Mobilgeräteanbieter nach seiner Konformität mit FIPS 140.
Multi-Factor-Kryptografiehardware
Authentifikatoren müssen folgende Anforderungen erfüllen:
FIPS 140 Level 2 Overall oder höher
FIPS 140 Level 3 Physical Security oder höher
FIDO 2-Sicherheitsschlüssel, Smartcards und Windows Hello for Business können Ihnen helfen, diese Anforderungen zu erfüllen.
FIDO 2-Schlüsselanbieter unterliegen der FIPS-Zertifizierung. Es wird empfohlen, die Liste der unterstützten FIDO 2-Schlüsselanbieter zu überprüfen. Wenden Sie sich an Ihren Anbieter, um den aktuellen FIPS-Validierungsstatus zu erfahren.
Smartcards sind eine bewährte Technologie. Mehrere Herstellerprodukte erfüllen FIPS-Anforderungen.
- Erfahren Sie mehr zum Cryptographic Module Validation Program.
Windows Hello for Business
FIPS 140 setzt voraus, dass die kryptografische Grenze, einschließlich Software, Firmware und Hardware, im Evaluierungsumfang enthalten ist. Windows-Betriebssysteme können mit tausenden dieser Kombinationen gekoppelt werden. Daher ist es für Microsoft nicht möglich, Windows Hello for Business auf FIPS 140-Sicherheitsebene 2 überprüfen zu lassen. Bundeskunden sollten Risikobewertungen durchführen und jede der folgenden Komponentenzertifizierungen im Rahmen ihrer Risikoakzeptanz bewerten, bevor sie diesen Dienst als AAL3 annehmen:
Windows 10 und Windows Server verwenden das von der US-Regierung genehmigte Schutzprofil für universelle Betriebssysteme Version 4.2.1 der National Information Assurance Partnership (NIAP). Diese Organisation überwacht ein nationales Programm, mit dem handelsübliche IT-Produkte, sog. Commercial Off-The-Shelf- bzw. COTS-Produkte, auf Konformität mit den internationalen Common Criteria überprüft werden.
Windows Cryptographic Libraryenthält FIPS Level 1 Overall im NIST Cryptographic Module Validation Program (CMVP), einem gemeinsamen Projekt von NIST und dem Canadian Center for Cyber Security. Diese Organisation überprüft kryptografische Module anhand von FIPS-Standards.
Wählen Sie ein TPM (Trusted Platform Module), das FIPS 140 Level 2 Overall FIPS 140 Level3 Physical Security erfüllt. Ihre Organisation stellt sicher, dass das hardwaregestützte TPM die von Ihnen gewünschten Anforderungen auf AAL-Ebene erfüllt.
Um die TPMs zu ermitteln, die aktuellen Standards entsprechen, wechseln Sie zu NIST Computer Security Resource Center Cryptographic Module Validation Program. Geben Sie Trusted Platform Module in das Feld Module Name ein, um eine Liste hardwaregestützter TPMs anzuzeigen, die Standards entsprechen.
Erneute Authentifizierung
Für AAL3 erfordert NIST alle 12 Stunden unabhängig von der Benutzeraktivität eine erneute Authentifizierung. Eine erneute Authentifizierung ist nach mindestens 15 Minuten Inaktivität erforderlich. Beide Faktoren müssen vorgewiesen werden.
Um die Anforderung einer erneuten Authentifizierung unabhängig von der Benutzeraktivität zu erfüllen, empfiehlt Microsoft, die Anmeldehäufigkeit für Benutzer auf 12 Stunden festzulegen.
Mit NIST kann die Anwesenheit von Teilnehmern durch kompensierende Kontrollmechanismen bestätigt werden:
Legen Sie das Timeout für Sitzungsinaktivität auf 15 Minuten fest. Sperren Sie das Gerät auf Betriebssystemebene mit Microsoft Configuration Manager, einem Gruppenrichtlinienobjekt (GPO) oder Intune. Fordern Sie eine lokale Authentifizierung an, damit der Teilnehmer das Gerät entsperren kann.
Legen Sie das Timeout unabhängig von der Aktivität fest, indem Sie mit Configuration Manager, einem Gruppenrichtlinienobjekt oder Intune eine geplante Aufgabe ausführen. Sperren Sie den Computer unabhängig von der Aktivität nach 12 Stunden.
Man-in-the-Middle-Widerstand
Die Kommunikation zwischen dem Anfordernden und Microsoft Entra ID erfolgt zum Schutz vor Man-in-the-Middle-Angriffen (MitM) über einen authentifizierten geschützten Kanal. Diese Konfiguration erfüllt die MitM-Widerstandsanforderungen für AAL1, AAL2 und AAL3.
Widerstand gegen Identitätswechsel des Überprüfers
Microsoft Entra-Authentifizierungsmethoden, die AAL3 erfüllen, verwenden kryptografische Authentifikatoren, die die Authentifikatorausgabe an die zu authentifizierende Sitzung binden. Die Methoden verwenden einen privaten Schlüssel, der vom Antragsteller gesteuert wird. Der öffentliche Schlüssel ist dem Prüfmechanismus bekannt. Diese Konfiguration erfüllt die Anforderungen an den Identitätswechsel von Überprüfern für AAL3.
Widerstand gegen Kompromittierung von Überprüfern
Für alle Microsoft Entra-Authentifizierungsmethoden, die AAL3 erfüllen, gilt Folgendes:
- Verwenden einen kryptografischen Authentifikator, der verlangt, dass der Prüfmechanismus einen öffentlichen Schlüssel speichert, der einem privaten Schlüssel entspricht, den der Authentifikator besitzt
- Speichern die erwartete Authentifikatorausgabe mit FIPS-140-validierten Hashalgorithmen
Weitere Informationen finden Sie unter Überlegungen zur Sicherheit von Microsoft Entra-Daten.
Replay-Widerstand
Microsoft Entra-Authentifizierungsmethoden, die AAL3 erfüllen, verwenden Nonce oder Herausforderungen. Diese Methoden sind resistent gegen Replay-Angriffe, da der Prüfmechanismus wiederholte Authentifizierungstransaktionen erkennen kann. Solche Transaktionen enthalten nicht die erforderlichen Nonce- oder Aktualitätsdaten.
Authentifizierungsabsicht
Dadurch, dass die Authentifizierungsabsicht erforderlich ist, wird es schwieriger, direkt verbundene physische Authentifikatoren wie Multi-Factor-Kryptografiehardware ohne das Wissen der betroffenen Person zu verwenden (z. B. durch Malware am Endpunkt). Microsoft Entra-Methoden, die AAL3 erfüllen, erfordern die Eingabe einer PIN oder biometrischer Daten durch den Benutzer, um die Authentifizierungsabsicht zu beweisen.
Nächste Schritte
Authentifizierungsszenarien für Azure AD