Konfigurieren von CMMC Level 2-Steuerungen für Identifizierung und Authentifizierung (IA)
Microsoft Entra ID unterstützt Sie bei der Erfüllung identitätsbezogener Verfahrensanforderungen auf allen CMMC-Ebenen (Cybersecurity Maturity Model Certification). Die Durchführung weiterer Konfigurationen oder Prozesse zum Erfüllen von CMMC V2.0 Level 2-Anforderungen liegt in der Verantwortung von Unternehmen, die für das US-Verteidigungsministerium (DoD) bzw. in dessen Auftrag arbeiten.
In CMMC Level 2 gibt es 13 Bereiche, die eine oder mehrere Verfahren im Zusammenhang mit Identität aufweisen. Die Bereiche sind wie folgt:
- Zugriffssteuerung (Access Control, AC)
- Überwachung und Verantwortlichkeit (AU)
- Konfigurationsverwaltung (Configuration Management, CM)
- Identifizierung und Authentifizierung (IA)
- Reaktion auf Vorfälle (Incident Response, IR)
- Wartung (Maintenance, MA)
- Medienschutz (Media Protection, MP)
- Personalsicherheit (PS)
- Physischer Schutz (PE)
- Risikobewertung (Risk Assessment, RA)
- Sicherheitsbewertung (CA)
- System- und Kommunikationsschutz (System and Communications, SC)
- Integrität von System und Informationen (SI)
Der Rest dieses Artikels bietet Anleitungen für den Bereich „Identifizierung und Autorisierung“. Sie finden eine Tabelle mit Links zu Inhalten, die eine Schritt-für-Schritt-Anleitung für die Durchführung des Verfahrens bieten.
Identifizierung und Authentifizierung
In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.
| CMMC-Verfahrensanweisung und -Ziele | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| IA.L2-3.5.3 Verfahrensanweisung: Verwenden Sie die Multi-Faktor-Authentifizierung für den lokalen Zugriff und den Netzwerkzugriff auf privilegierte Konten sowie für den Netzwerkzugriff auf nicht privilegierte Konten. Ziele: Ermitteln Sie, ob: [a.] privilegierte Konten identifiziert sind; [b.] die Multi-Faktor-Authentifizierung für den lokalen Zugriff auf privilegierte Konten implementiert ist; [c.] die Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten implementiert ist; und [d.] die Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf nicht privilegierte Konten implementiert ist. |
Unter den folgenden Punkten finden Sie Definitionen der für diesen Steuerungsbereich verwendeten Begriffe: Die Aufschlüsselung der obigen Anforderung bedeutet Folgendes: Sie sind dafür verantwortlich, bedingten Zugriff so zu konfigurieren, dass eine Multi-Faktor-Authentifizierung erforderlich ist. Aktivieren Sie Microsoft Entra-Authentifizierungsmethoden, die AAL2 und höher erfüllen. Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff Erreichen von NIST-Authentifikator-Sicherheitsstufen mit Microsoft Entra ID Authentifizierungsmethoden und Features |
| IA.L2-3.5.4 Verfahrensanweisung: Verwenden Sie Authentifizierungsmechanismen zum Schutz vor Replay-Angriffen für den Netzwerkzugriff auf privilegierte und nicht privilegierte Konten. Ziele: Ermitteln Sie, ob: [a.] Authentifizierungsmechanismen zum Schutz vor Replay-Angriffen für den Netzwerkzugriff auf privilegierte und nicht privilegierte Konten implementiert sind. |
Alle Microsoft Entra-Authentifizierungsmethoden ab AAL2 sind resistent gegen Replay-Angriffe. Erreichen von NIST-Authentifikator-Sicherheitsstufen mit Microsoft Entra ID |
| IA.L2-3.5.5 Verfahrensanweisung: Verhindern Sie die Wiederverwendung von Bezeichnern für einen bestimmten Zeitraum. Ziele: Ermitteln Sie, ob: [a.] ein Zeitraum festgelegt ist, innerhalb dessen Bezeichner nicht wiederverwendet werden können; und [b.] die Wiederverwendung von Bezeichnern innerhalb des festgelegten Zeitraums verhindert wird. |
Alle global eindeutigen Bezeichner (GUIDs) für Benutzer, Gruppen und Geräteobjekte sind während der Lebensdauer des Microsoft Entra-Mandanten garantiert eindeutig und nicht wiederverwendbar. Ressourcentyp „Benutzer“: Microsoft Graph v1.0 Ressourcentyp „Gruppe“: Microsoft Graph v1.0 Ressourcentyp „Gerät“: Microsoft Graph v1.0 |
| IA.L2-3.5.6 Verfahrensanweisung: Deaktivieren Sie Bezeichner nach einer bestimmten Zeit der Inaktivität. Ziele: Ermitteln Sie, ob: [a.] eine Zeitdauer der Inaktivität festgelegt ist, nach der ein Bezeichner deaktiviert wird; und [b.] Bezeichner nach der festgelegten Zeit der Inaktivität deaktiviert werden. |
Implementieren Sie die Automatisierung der Kontoverwaltung mit Microsoft Graph und Microsoft Graph PowerShell SDK. Verwenden Sie Microsoft Graph, um Anmeldeaktivitäten zu überwachen, und Microsoft Graph PowerShell SDK, um Innerhalb des erforderlichen Zeitrahmens Maßnahmen für Konten zu ergreifen. Bestimmen von Inaktivität Verwalten inaktiver Benutzerkonten in Microsoft Entra ID Verwalten veralteter Geräte in Microsoft Entra ID Entfernen oder Deaktivieren von Konten Arbeiten mit Benutzern in Microsoft Graph Abrufen eines Benutzers Benutzer aktualisieren Löschen eines Benutzers Arbeiten mit Geräten in Microsoft Graph Gerät abrufen Gerät aktualisieren Gerät löschen Verwenden des Microsoft Graph PowerShell SDK Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
| IA.L2-3.5.7 Verfahrensanweisung: Ziele: Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden. Ermitteln Sie, ob: [a.] Anforderungen an die Komplexität von Kennwörtern definiert sind; [b.] Anforderungen an die Änderung der für Kennwörter verwendeten Zeichen definiert sind; [c.] die definierten Anforderungen an die Mindestkomplexität von Kennwörtern beim Erstellen neuer Kennwörter erzwungen werden; und [d.] die definierten Anforderungen an die Änderung der für Kennwörter verwendeten Zeichen beim Erstellen neuer Kennwörter erzwungen werden. IA.L2-3.5.8 Verfahrensanweisung: Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Generierungen. Ziele: Ermitteln Sie, ob: [a.] die Anzahl von Generierungen, bei denen ein Kennwort nicht wiederverwendet werden kann, festgelegt ist; und [b.] die Wiederverwendung von Kennwörtern für die festgelegte Anzahl von Generierungen verhindert wird. |
Kennwortlose Strategien werden ausdrücklich empfohlen. Dieses Steuerelement gilt nur für Kennwortauthentifikatoren, sodass es nicht mehr anwendbar ist, wenn Kennwörter als verfügbarer Authentifikator entfernt werden. Gemäß NIST SP 800-63 B, Abschnitt 5.1.1: Pflegen Sie eine Liste häufig verwendeter, erwarteter oder kompromittierten Kennwörter. Beim Microsoft Entra-Kennwortschutz werden globale Standardlisten mit gesperrten Kennwörtern automatisch auf alle Benutzer eines Microsoft Entra-Mandanten angewendet. Zur Unterstützung Ihrer Geschäfts- und Sicherheitsanforderungen können Sie Einträge in einer benutzerdefinierten Liste mit gesperrten Kennwörtern definieren. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese anhand dieser Listen mit gesperrten Kennwörtern überprüft, um die Nutzung von sicheren Kennwörtern zu erzwingen. Für Kunden, die strenge Anforderungen an die Änderung von Kennwortzeichen, die Wiederverwendung von Kennwörtern und deren Komplexität stellen, verwenden Sie mit Kennworthashsynchronisierung (Password Hash Sync, PHS) konfigurierte Hybridkonten. Dadurch wird sichergestellt, dass die mit Microsoft Entra ID synchronisierten Kennwörter die in den Active Directory-Kennwortrichtlinien konfigurierten Einschränkungen erben. Schützen Sie lokale Kennwörter weiter, indem Sie lokalen Microsoft Entra-Kennwortschutz für Active Directory Domain Services konfigurieren. NIST-Sonderveröffentlichung 800-63 B NIST-Sonderveröffentlichung 800-53 Revision 5 – IA-5-Steuerungsoptimierung (1) Ausschließen unsicherer Kennwörter mithilfe des Microsoft Entra-Kennwortschutzes Was ist Kennworthashsynchronisierung mit Microsoft Entra ID? |
| IA.L2-3.5.9 Verfahrensanweisung: Erlauben Sie die Verwendung eines temporären Kennworts für Systemanmeldungen mit sofortiger Änderung in ein dauerhaftes Kennwort. Ziele: Ermitteln Sie, ob: [a.] eine sofortige Änderung in ein dauerhaftes Kennwort erforderlich ist, wenn ein temporäres Kennwort für die Systemanmeldung verwendet wird. |
Das anfängliche Kennwort eines Microsoft Entra-Benutzers ist ein temporäres Kennwort zur einmaligen Verwendung, das nach erfolgreicher Verwendung sofort in ein dauerhaftes Kennwort geändert werden muss. Microsoft empfiehlt nachdrücklich kennwortlose Authentifizierungsmethoden. Benutzer können kennwortlose Authentifizierungsmethoden mithilfe von TAP (Temporary Access Pass, befristeter Zugriffspass) ermöglichen. Ein TAP ist ein hinsichtlich Zeit und Nutzung begrenzter Passcode, der von einem Administrator ausgestellt wurde und Anforderungen an eine sichere Authentifizierung erfüllt. Durch kennwortlose Authentifizierung in Verbindung mit einem zeitlich und hinsichtlich Nutzung begrenzten befristeten Zugriffspass (TAP) werden Kennwörter (und deren Wiederverwendung) vollständig vermieden. Hinzufügen oder Löschen von Benutzern Konfigurieren eines befristeten Zugriffspasses in Microsoft Entra ID für die Registrierung von kennwortlosen Authentifizierungsmethoden Kennwortlose Authentifizierung |
| IA.L2-3.5.10 Verfahrensanweisung: Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter. Ziele: Ermitteln Sie, ob: [a.] Kennwörter bei der Speicherung kryptografisch geschützt sind; und [b.] Kennwörter bei der Übertragung kryptografisch geschützt sind. |
Verschlüsselung ruhender Geheimnisse: Zusätzlich zur Verschlüsselung auf Datenträgerebene werden im Verzeichnis gespeicherte ruhende Geheimnisse mithilfe von Distributed Key Management (DKM, Verwaltung verteilter Schlüssel) verschlüsselt. Die Verschlüsselungsschlüssel werden im Microsoft Entra-Hauptspeicher gespeichert und wiederum mit einem Skalierungseinheitenschlüssel verschlüsselt. Der Schlüssel wird in einem Container gespeichert, der mit Verzeichnis-ACLs für Benutzer mit den höchsten Berechtigungen und bestimmte Dienste geschützt ist. Der symmetrische Schlüssel wird in der Regel alle sechs Monate rotiert. Zugriff auf die Umgebung ist dank betrieblicher Kontrollmechanismen und physischer Sicherheit noch weiter geschützt. Verschlüsselung während der Übertragung: Um Datensicherheit zu gewährleisten, werden Verzeichnisdaten in Microsoft Entra ID während der Übertragung zwischen Rechenzentren innerhalb einer Skalierungseinheit signiert und verschlüsselt. Die Daten werden auf Microsoft Entra-Hauptspeicherebene ver- und entschlüsselt, die sich in geschützten Serverhostingbereichen der zugehörigen Microsoft-Rechenzentren befindet. Kundenorientierte Webdienste sind mit dem Protokoll TLS (Transport Layer Security) geschützt. Um mehr zu erfahren, laden Sie Datenschutzaspekte – Datensicherheit herunter. Auf Seite 15 finden Sie weitere Details. Entmystifizieren der Kennworthashsynchronisierung (microsoft.com) Überlegungen zur Microsoft Entra Datensicherheit |
| IA.L2-3.5.11 Verfahrensanweisung: Machen Sie das Feedback von Authentifizierungsinformationen unkenntlich. Ziele: Ermitteln Sie, ob: [a.] Authentifizierungsinformationen während des Authentifizierungsvorgangs unkenntlich gemacht werden. |
Standardmäßig verschleiert Microsoft Entra ID das gesamte Authentifikatorfeedback. |
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für