NIST-Authentifikatorsicherheitsstufe 2 mit Microsoft Entra ID
Das National Institute of Standards and Technology (NIST) entwickelt die technischen Anforderungen für US-Bundesbehörden, die Identitätslösungen implementieren. Organisationen, die mit US-Bundesbehörden zusammenarbeiten, müssen diese Anforderungen erfüllen.
Bevor Sie versuchen, AAL2 (Authenticator Assurance Level 2) zu erfüllen, können Sie die folgenden Ressourcen konsultieren:
- NIST-Übersicht: Grundlegendes zu AAL-Ebenen
- Authentifizierungsgrundlagen: Begriffe und Authentifizierungstypen
- NIST-Authentifikatortypen: Authentifikatortypen
- NIST-AALs: AAL-Komponenten und Microsoft Entra-Authentifizierungsmethoden
Zulässige AAL2-Authentifikatortypen
Die folgende Tabelle enthält Authentifikatortypen, die für AAL2 zulässig sind:
| Microsoft Entra-Authentifizierungsmethode | NIST-Authentifikatortyp |
|---|---|
| Empfohlene Methoden | |
| Multi-Faktor-Softwarezertifikat (PIN-geschützt) Windows Hello for Business mit softwaregestütztem TPM (Trusted Platform Module) |
Multi-Factor-Kryptografiesoftware |
| Hardwaregeschütztes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM) FIDO 2-Sicherheitsschlüssel Windows Hello for Business mit Hardware-TPM |
Multi-Factor-Kryptografiehardware |
| Microsoft Authenticator-App (kennwortlos) | Multi-Faktor Out-of-band |
| Weitere Methoden | |
| Passwort UND – Microsoft Authenticator-App (Pushbenachrichtigung) - ODER – Microsoft Authenticator Lite (Pushbenachrichtigung) - ODER – Telefon (SMS) |
Gespeichertes Geheimnis UND Single-Factor Out-of-band |
| Passwort UND – OATH-Hardwaretoken (Vorschau) - ODER – Microsoft Authenticator-App (OTP) - ODER – Microsoft Authenticator Lite (OTP) - ODER Oath-Softwaretoken |
Gespeichertes Geheimnis UND Single-Factor OTP |
| Passwort UND – Single-Factor-Softwarezertifikat - ODER – In Microsoft Entra eingebunden mit Software TPM - ODER – In Microsoft Entra hybrid eingebunden mit Software TPM - ODER – Kompatibles mobiles Gerät |
Gespeichertes Geheimnis UND Single-Factor-Kryptografiesoftware |
| Passwort UND – In Microsoft Entra eingebunden mit Hardware TPM - ODER – In Microsoft Entra hybrid eingebunden mit Hardware TPM |
Gespeichertes Geheimnis UND Single-Factor-Kryptografiehardware |
Hinweis
Microsoft Authenticator ist heute an und für sich nicht phishing-resistent. Um sich bei der Verwendung von Microsoft Authenticator vor externen Phishingbedrohungen zu schützen, müssen Sie zusätzlich eine Richtlinie für bedingten Zugriff konfigurieren, für die ein verwaltetes Gerät erforderlich ist.
AAL2-Empfehlungen
Um AAL2 zu erfüllen, verwenden Sie Multi-Factor-Kryptografie-fähige hardware- oder softwaregestützte Authentifikatoren. Kennwortlose Authentifizierung beseitigt die größte Angriffsfläche (das Kennwort) und bietet Benutzern eine optimierte Methode zur Authentifizierung.
Einen Leitfaden zur Auswahl einer kennwortlosen Authentifizierungsmethode finden Sie unter Planen einer Bereitstellung mit kennwortloser Authentifizierung in Microsoft Entra ID. Weitere Informationen finden Sie auch in der Bereitstellungsanleitung für Windows Hello for Business
FIPS 140-Validierung
In den folgenden Abschnitten erfahren Sie mehr über die FIPS 140-Validierung.
Anforderungen an Überprüfer
Microsoft Entra ID verwendet für die kryptografischen Vorgänge zur Authentifizierung das gesamtvalidierte Kryptografiemodul Windows FIPS 140 Level 1 Overall. Es handelt sich daher um einen FIPS 140-konformen Prüfmechanismus, wie von US-Regierungsbehörden gefordert.
Anforderungen an Authentifikatoren
Die kryptografischen Authentifikatoren von US-Regierungsbehörden müssen gemäß Windows FIPS 140 Level 1 Overall validiert sein. Diese Anforderung gilt nicht für Institutionen, die keine US-Regierungsbehörden sind. Die folgenden Microsoft Entra-Authentifikatoren erfüllen die Anforderung, wenn sie unter Windows in einem gemäß FIPS 140 genehmigten Betriebsmodus ausgeführt werden:
Passwort
In Microsoft Entra eingebunden mit Software oder Hardware TPM
In Microsoft Entra hybrid eingebunden mit Software oder Hardware TPM
Windows Hello for Business mit Software- oder Hardware-TPM
In Software oder Hardware gespeichertes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM)
Die Microsoft Authenticator-App ist FIPS 140-konform für iOS und Android. Weitere Informationen zu den von Microsoft Authenticator verwendeten FIPS-validierten kryptografischen Modulen finden Sie hier. Siehe Microsoft Authenticator App
Für OATH-Hardwaretoken und Smartcards empfehlen wir Ihnen, sich bei Ihrem Anbieter über den aktuellen FIPS-Validierungsstatus zu informieren.
Anbieter von FIDO 2-Sicherheitsschlüsseln befinden sich in verschiedenen Phasen der FIPS-Zertifizierung. Es wird empfohlen, die Liste der unterstützten FIDO 2-Schlüsselanbieter zu überprüfen. Wenden Sie sich an Ihren Anbieter, um den aktuellen FIPS-Validierungsstatus zu erfahren.
Erneute Authentifizierung
Zum Erfüllen von AAL2 erfordert NIST alle 12 Stunden unabhängig von der Benutzeraktivität eine erneute Authentifizierung. Eine erneute Authentifizierung ist nach mindestens 30 Minuten Inaktivität erforderlich. Da das Sitzungsgeheimnis etwas ist, das Sie haben, ist es erforderlich, etwas zu präsentieren, das Sie wissen oder sind.
Um die Anforderung einer erneuten Authentifizierung unabhängig von der Benutzeraktivität zu erfüllen, empfiehlt Microsoft, die Anmeldehäufigkeit für Benutzer auf 12 Stunden festzulegen.
Gemäß NIST können Sie kompensierende Kontrollmechanismen verwenden, um die Anwesenheit von Teilnehmern zu bestätigen:
Legen Sie das Timeout bei Sitzungsinaktivität auf 30 Minuten fest: Sperren Sie das Gerät über Microsoft System Center Configuration Manager, Gruppenrichtlinienobjekte oder Intune auf Betriebssystemebene. Fordern Sie eine lokale Authentifizierung an, damit der Teilnehmer das Gerät entsperren kann.
Timeout unabhängig von der Aktivität: Führen Sie eine geplante Aufgabe (in Configuration Manager, Gruppenrichtlinienobjekt oder Intune) aus, um den Computer unabhängig von der Aktivität nach 12 Stunden zu sperren.
Man-in-the-Middle-Widerstand
Die Kommunikation zwischen Anforderer und Microsoft Entra ID erfolgt über einen authentifizierten, geschützten Kanal. Diese Konfiguration bietet Widerstandsfähigkeit gegen Man-in-the-Middle-Angriffe (MitM) und erfüllt die MitM-Widerstandsanforderungen für AAL1, AAL2 und AAL3.
Replay-Widerstand
Microsoft Entra-Authentifizierungsmethoden gemäß AAL2 verwenden Nonce oder Herausforderungen. Die Methoden sind widerstandsfähig gegen Replay-Angriffe, da der Prüfmechanismus wiederholte Authentifizierungstransaktionen leicht erkennt. Solche Transaktionen enthalten nicht die erforderlichen Nonce- oder Aktualitätsdaten.
Nächste Schritte
Authentifizierungsszenarien für Azure AD
Erzielen der NIST-Authentifikator-Sicherheitsstufe 1 (AAL1) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 2 (AAL2) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 3 (AAL3) mit Microsoft Entra ID