Freigeben über

Konfigurieren von CMMC Level 2-Steuerungen für Identifizierung und Authentifizierung (IA)

  • Artikel

Microsoft Entra ID unterstützt Sie bei der Erfüllung identitätsbezogener Verfahrensanforderungen auf allen CMMC-Ebenen (Cybersecurity Maturity Model Certification). Die Durchführung weiterer Konfigurationen oder Prozesse zum Erfüllen von CMMC V2.0 Level 2-Anforderungen liegt in der Verantwortung von Unternehmen, die für das US-Verteidigungsministerium (DoD) bzw. in dessen Auftrag arbeiten.

In CMMC Level 2 gibt es 13 Bereiche, die eine oder mehrere Verfahren im Zusammenhang mit Identität aufweisen. Die Bereiche sind wie folgt:

  • Zugriffssteuerung (Access Control, AC)
  • Überwachung und Verantwortlichkeit (AU)
  • Konfigurationsverwaltung (Configuration Management, CM)
  • Identifizierung und Authentifizierung (IA)
  • Reaktion auf Vorfälle (Incident Response, IR)
  • Wartung (Maintenance, MA)
  • Medienschutz (Media Protection, MP)
  • Personalsicherheit (PS)
  • Physischer Schutz (PE)
  • Risikobewertung (Risk Assessment, RA)
  • Sicherheitsbewertung (CA)
  • System- und Kommunikationsschutz (System and Communications, SC)
  • Integrität von System und Informationen (SI)

Der Rest dieses Artikels bietet Anleitungen für den Bereich „Identifizierung und Autorisierung“. Sie finden eine Tabelle mit Links zu Inhalten, die eine Schritt-für-Schritt-Anleitung für die Durchführung des Verfahrens bieten.

Identifizierung und Authentifizierung

In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.

CMMC-Verfahrensanweisung und -Ziele Leitfaden und Empfehlungen für Microsoft Entra
IA.L2-3.5.3

Verfahrensanweisung: Verwenden Sie die Multi-Faktor-Authentifizierung für den lokalen Zugriff und den Netzwerkzugriff auf privilegierte Konten sowie für den Netzwerkzugriff auf nicht privilegierte Konten.

Ziele:
Ermitteln Sie, ob:
[a.] privilegierte Konten identifiziert sind;
[b.] die Multi-Faktor-Authentifizierung für den lokalen Zugriff auf privilegierte Konten implementiert ist;
[c.] die Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Konten implementiert ist; und
[d.] die Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf nicht privilegierte Konten implementiert ist.		 Unter den folgenden Punkten finden Sie Definitionen der für diesen Steuerungsbereich verwendeten Begriffe:
  • Lokaler Zugriff: Zugriff auf das Informationssystem einer Organisation durch einen Benutzer (oder einen im Auftrag eines Benutzers agierenden Prozess), der über eine Direktverbindung ohne Einsatz eines Netzwerks kommuniziert.
  • Netzwerkzugriff: Zugriff auf ein Informationssystem durch einen Benutzer (oder einen im Auftrag eines Benutzers agierenden Prozess), der über ein Netzwerk (z. B. lokales Netzwerk, WAN [Wide Area Network], Internet) kommuniziert.
  • Privilegierter Benutzer: Ein Benutzer, der autorisiert (und daher vertrauenswürdig) ist, sicherheitsrelevante Funktionen auszuführen, für die normale Benutzer nicht autorisiert sind.

    Die Aufschlüsselung der obigen Anforderung bedeutet Folgendes:
  • Für alle Benutzer ist für den Netzwerk-/Remotezugriff MFA erforderlich.
  • Nur für privilegierte Benutzer ist für lokalen Zugriff MFA erforderlich. Wenn Konten normaler Benutzer nur über administrative Rechte auf ihren Computern verfügen, handelt es sich nicht um ein „privilegiertes Konto“, weshalb für lokalen Zugriff MFA nicht erforderlich ist.

    Sie sind dafür verantwortlich, bedingten Zugriff so zu konfigurieren, dass eine Multi-Faktor-Authentifizierung erforderlich ist. Aktivieren Sie Microsoft Entra-Authentifizierungsmethoden, die AAL2 und höher erfüllen.
    Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff
    Erreichen von NIST-Authentifikator-Sicherheitsstufen mit Microsoft Entra ID
    Authentifizierungsmethoden und Features
    		•
    IA.L2-3.5.4

    Verfahrensanweisung: Verwenden Sie Authentifizierungsmechanismen zum Schutz vor Replay-Angriffen für den Netzwerkzugriff auf privilegierte und nicht privilegierte Konten.

    Ziele:
    Ermitteln Sie, ob:
    [a.] Authentifizierungsmechanismen zum Schutz vor Replay-Angriffen für den Netzwerkzugriff auf privilegierte und nicht privilegierte Konten implementiert sind.    		 Alle Microsoft Entra-Authentifizierungsmethoden ab AAL2 sind resistent gegen Replay-Angriffe.
    Erreichen von NIST-Authentifikator-Sicherheitsstufen mit Microsoft Entra ID
    IA.L2-3.5.5

    Verfahrensanweisung: Verhindern Sie die Wiederverwendung von Bezeichnern für einen bestimmten Zeitraum.

    Ziele:
    Ermitteln Sie, ob:
    [a.] ein Zeitraum festgelegt ist, innerhalb dessen Bezeichner nicht wiederverwendet werden können; und
    [b.] die Wiederverwendung von Bezeichnern innerhalb des festgelegten Zeitraums verhindert wird.    		 Alle global eindeutigen Bezeichner (GUIDs) für Benutzer, Gruppen und Geräteobjekte sind während der Lebensdauer des Microsoft Entra-Mandanten garantiert eindeutig und nicht wiederverwendbar.
    Ressourcentyp „Benutzer“: Microsoft Graph v1.0
    Ressourcentyp „Gruppe“: Microsoft Graph v1.0
    Ressourcentyp „Gerät“: Microsoft Graph v1.0
    IA.L2-3.5.6

    Verfahrensanweisung: Deaktivieren Sie Bezeichner nach einer bestimmten Zeit der Inaktivität.

    Ziele:
    Ermitteln Sie, ob:
    [a.] eine Zeitdauer der Inaktivität festgelegt ist, nach der ein Bezeichner deaktiviert wird; und
    [b.] Bezeichner nach der festgelegten Zeit der Inaktivität deaktiviert werden.    		 Implementieren Sie die Automatisierung der Kontoverwaltung mit Microsoft Graph und Microsoft Graph PowerShell SDK. Verwenden Sie Microsoft Graph, um Anmeldeaktivitäten zu überwachen, und Microsoft Graph PowerShell SDK, um Innerhalb des erforderlichen Zeitrahmens Maßnahmen für Konten zu ergreifen.

    Bestimmen von Inaktivität
    Verwalten inaktiver Benutzerkonten in Microsoft Entra ID
    Verwalten veralteter Geräte in Microsoft Entra ID

    Entfernen oder Deaktivieren von Konten
    Arbeiten mit Benutzern in Microsoft Graph
    Abrufen eines Benutzers
    Benutzer aktualisieren
    Löschen eines Benutzers

    Arbeiten mit Geräten in Microsoft Graph
    Gerät abrufen
    Gerät aktualisieren
    Gerät löschen

    Verwenden des Microsoft Graph PowerShell SDK
    Get-MgUser
    Update-MgUser
    Get-MgDevice
    Update-MgDevice
    IA.L2-3.5.7

    Verfahrensanweisung:

    Ziele: Erzwingen Sie eine Mindestkomplexität für Kennwörter und die Verwendung unterschiedlicher Zeichen, wenn neue Kennwörter erstellt werden.
    Ermitteln Sie, ob:
    [a.] Anforderungen an die Komplexität von Kennwörtern definiert sind;
    [b.] Anforderungen an die Änderung der für Kennwörter verwendeten Zeichen definiert sind;
    [c.] die definierten Anforderungen an die Mindestkomplexität von Kennwörtern beim Erstellen neuer Kennwörter erzwungen werden; und
    [d.] die definierten Anforderungen an die Änderung der für Kennwörter verwendeten Zeichen beim Erstellen neuer Kennwörter erzwungen werden.

    IA.L2-3.5.8

    Verfahrensanweisung: Verhindern Sie die Wiederverwendung von Kennwörtern für eine bestimmte Anzahl von Generierungen.

    Ziele:
    Ermitteln Sie, ob:
    [a.] die Anzahl von Generierungen, bei denen ein Kennwort nicht wiederverwendet werden kann, festgelegt ist; und
    [b.] die Wiederverwendung von Kennwörtern für die festgelegte Anzahl von Generierungen verhindert wird.    		 Kennwortlose Strategien werden ausdrücklich empfohlen. Dieses Steuerelement gilt nur für Kennwortauthentifikatoren, sodass es nicht mehr anwendbar ist, wenn Kennwörter als verfügbarer Authentifikator entfernt werden.

    Gemäß NIST SP 800-63 B, Abschnitt 5.1.1: Pflegen Sie eine Liste häufig verwendeter, erwarteter oder kompromittierten Kennwörter.

    Beim Microsoft Entra-Kennwortschutz werden globale Standardlisten mit gesperrten Kennwörtern automatisch auf alle Benutzer eines Microsoft Entra-Mandanten angewendet. Zur Unterstützung Ihrer Geschäfts- und Sicherheitsanforderungen können Sie Einträge in einer benutzerdefinierten Liste mit gesperrten Kennwörtern definieren. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese anhand dieser Listen mit gesperrten Kennwörtern überprüft, um die Nutzung von sicheren Kennwörtern zu erzwingen.
    Für Kunden, die strenge Anforderungen an die Änderung von Kennwortzeichen, die Wiederverwendung von Kennwörtern und deren Komplexität stellen, verwenden Sie mit Kennworthashsynchronisierung (Password Hash Sync, PHS) konfigurierte Hybridkonten. Dadurch wird sichergestellt, dass die mit Microsoft Entra ID synchronisierten Kennwörter die in den Active Directory-Kennwortrichtlinien konfigurierten Einschränkungen erben. Schützen Sie lokale Kennwörter weiter, indem Sie lokalen Microsoft Entra-Kennwortschutz für Active Directory Domain Services konfigurieren.
    NIST-Sonderveröffentlichung 800-63 B
    NIST-Sonderveröffentlichung 800-53 Revision 5 – IA-5-Steuerungsoptimierung (1)
    Ausschließen unsicherer Kennwörter mithilfe des Microsoft Entra-Kennwortschutzes
    Was ist Kennworthashsynchronisierung mit Microsoft Entra ID?
    IA.L2-3.5.9

    Verfahrensanweisung: Erlauben Sie die Verwendung eines temporären Kennworts für Systemanmeldungen mit sofortiger Änderung in ein dauerhaftes Kennwort.

    Ziele:
    Ermitteln Sie, ob:
    [a.] eine sofortige Änderung in ein dauerhaftes Kennwort erforderlich ist, wenn ein temporäres Kennwort für die Systemanmeldung verwendet wird.    		 Das anfängliche Kennwort eines Microsoft Entra-Benutzers ist ein temporäres Kennwort zur einmaligen Verwendung, das nach erfolgreicher Verwendung sofort in ein dauerhaftes Kennwort geändert werden muss. Microsoft empfiehlt nachdrücklich kennwortlose Authentifizierungsmethoden. Benutzer können kennwortlose Authentifizierungsmethoden mithilfe von TAP (Temporary Access Pass, befristeter Zugriffspass) ermöglichen. Ein TAP ist ein hinsichtlich Zeit und Nutzung begrenzter Passcode, der von einem Administrator ausgestellt wurde und Anforderungen an eine sichere Authentifizierung erfüllt. Durch kennwortlose Authentifizierung in Verbindung mit einem zeitlich und hinsichtlich Nutzung begrenzten befristeten Zugriffspass (TAP) werden Kennwörter (und deren Wiederverwendung) vollständig vermieden.
    Hinzufügen oder Löschen von Benutzern
    Konfigurieren eines befristeten Zugriffspasses in Microsoft Entra ID für die Registrierung von kennwortlosen Authentifizierungsmethoden
    Kennwortlose Authentifizierung
    IA.L2-3.5.10

    Verfahrensanweisung: Speichern und übertragen Sie nur kryptografisch geschützte Kennwörter.

    Ziele:
    Ermitteln Sie, ob:
    [a.] Kennwörter bei der Speicherung kryptografisch geschützt sind; und
    [b.] Kennwörter bei der Übertragung kryptografisch geschützt sind.    		 Verschlüsselung ruhender Geheimnisse:
    Zusätzlich zur Verschlüsselung auf Datenträgerebene werden im Verzeichnis gespeicherte ruhende Geheimnisse mithilfe von Distributed Key Management (DKM, Verwaltung verteilter Schlüssel) verschlüsselt. Die Verschlüsselungsschlüssel werden im Microsoft Entra-Hauptspeicher gespeichert und wiederum mit einem Skalierungseinheitenschlüssel verschlüsselt. Der Schlüssel wird in einem Container gespeichert, der mit Verzeichnis-ACLs für Benutzer mit den höchsten Berechtigungen und bestimmte Dienste geschützt ist. Der symmetrische Schlüssel wird in der Regel alle sechs Monate rotiert. Zugriff auf die Umgebung ist dank betrieblicher Kontrollmechanismen und physischer Sicherheit noch weiter geschützt.

    Verschlüsselung während der Übertragung:
    Um Datensicherheit zu gewährleisten, werden Verzeichnisdaten in Microsoft Entra ID während der Übertragung zwischen Rechenzentren innerhalb einer Skalierungseinheit signiert und verschlüsselt. Die Daten werden auf Microsoft Entra-Hauptspeicherebene ver- und entschlüsselt, die sich in geschützten Serverhostingbereichen der zugehörigen Microsoft-Rechenzentren befindet.

    Kundenorientierte Webdienste sind mit dem Protokoll TLS (Transport Layer Security) geschützt.
    Um mehr zu erfahren, laden Sie Datenschutzaspekte – Datensicherheit herunter. Auf Seite 15 finden Sie weitere Details.
    Entmystifizieren der Kennworthashsynchronisierung (microsoft.com)
    Überlegungen zur Microsoft Entra Datensicherheit
    IA.L2-3.5.11

    Verfahrensanweisung: Machen Sie das Feedback von Authentifizierungsinformationen unkenntlich.

    Ziele:
    Ermitteln Sie, ob:
    [a.] Authentifizierungsinformationen während des Authentifizierungsvorgangs unkenntlich gemacht werden.    		 Standardmäßig verschleiert Microsoft Entra ID das gesamte Authentifikatorfeedback.

    Nächste Schritte