Nivel de garantía del autenticador de NIST 3 mediante el identificador de Microsoft Entra
Use la información de este artículo para el nivel 3 (AAL3) de garantía del autenticador del Instituto Nacional de Estándares y Tecnología (NIST).
Antes de obtener AAL2, puede revisar los siguientes recursos:
- Información general sobre NIST: descripción de los niveles de AAL
- Conceptos básicos de autenticación: terminología y tipos de autenticación
- Tipos de autenticadores de NIST: tipos de autenticadores
- ALL de NIST: componentes de AAL y métodos de autenticación de Microsoft Entra
Tipos de autenticadores permitidos
Use los métodos de autenticación de Microsoft para satisfacer los tipos de autenticadores de NIST necesarios.
| Microsoft Entra métodos de autenticación | Tipo de autenticador de NIST |
|---|---|
| Métodos recomendados | |
| Certificado protegido por hardware (tarjeta inteligente/clave de seguridad/TPM) Clave de seguridad FIDO 2 Windows Hello para empresas con TPM de hardware |
Hardware criptográfico multifactor |
| Otros métodos | |
| Contraseña AND - Microsoft Entra unido con TPM de hardware - OR - Microsoft Entra híbrido unido con TPM de hardware |
Secreto memorizado AND Hardware criptográfico de un solo factor |
| Contraseña AND Tokens de hardware OATH (versión preliminar) AND - Certificado de software de factor único - OR - Microsoft Entra dispositivo híbrido unido o compatible con TPM de software |
Secreto memorizado AND Hardware OTP de factor único AND Software criptográfico de un solo factor |
Recomendaciones
Para AAL3, se recomienda usar un autenticador de hardware criptográfico multifactor que proporcione autenticación sin contraseña eliminando la mayor superficie expuesta a ataques, la contraseña.
Para mayor guía, consultePlaneamiento de una implementación de autenticación sin contraseña en ID. de Microsoft Entra. Consulte también Introducción a la implementación de Windows Hello para empresas.
Validación de FIPS 140
Requisitos del comprobador
Microsoft Entra id. usa el módulo criptográfico validado global de Windows FIPS 140 nivel 1 para sus operaciones criptográficas de autenticación, lo que Microsoft Entra identificador es un comprobador compatible.
Requisitos del autenticador
Requisitos de los autenticadores de hardware criptográfico de un solo factor y multifactor.
Hardware criptográfico de un solo factor
Los autenticadores deben ser:
FIPS 140 nivel 1 general (o superior)
FIPS 140 nivel 3 en seguridad física (o superior)
Microsoft Entra unidos y Microsoft Entra dispositivos unidos híbridos cumplen este requisito cuando:
En una máquina con un TPM que sea FIPS 140 nivel 1 general (o superior) con FIPS 140 nivel 3 en seguridad física.
- Busque TPM compatibles: busque el Módulo de plataforma segura y TPM en Programa de validación de módulos criptográficos.
Consulte con el proveedor de dispositivos móviles para obtener información sobre su cumplimiento con FIPS 140.
Hardware criptográfico multifactor
Los autenticadores deben ser:
FIPS 140 nivel 2 general (o superior)
FIPS 140 nivel 3 en seguridad física (o superior)
Las claves de seguridad FIDO2, las tarjetas inteligentes y Windows Hello para empresas pueden ayudarle a cumplir estos requisitos.
Los proveedores de claves FIDO2 tienen la certificación FIPS. Se recomienda consultar la lista de proveedores de claves FIDO2 admitidos. Consulte a su proveedor sobre su estado de validación de FIPS actual.
Las tarjetas inteligentes son una tecnología probada. Varios productos de proveedores cumplen los requisitos de FIPS.
- Obtenga más información en Programa de validación de módulos criptográficos.
Windows Hello para empresas
FIPS 140 requiere que el límite criptográfico, incluido el software, el firmware y el hardware, esté en el ámbito de la evaluación. Los sistemas operativos Windows se pueden emparejar con miles de estas combinaciones. Por lo tanto, no es factible que Microsoft haya validado Windows Hello para empresas en el nivel de seguridad 2 de FIPS 140. Los clientes federales deben realizar evaluaciones de riesgos y evaluar cada una de las siguientes certificaciones de componentes como parte de su aceptación de riesgos antes de aceptar este servicio como AAL3:
Windows 10 y Windows Server usan el perfil de protección aprobado por el Gobierno de EE. UU. para sistemas operativos de uso general, versión 4.2.1 de National Information Assurance Partnership (NIAP). Esta organización supervisa un programa nacional para evaluar productos de tecnologías de la información (TI) de productos comerciales (COTS) para cumplir los criterios comunes internacionales.
La biblioteca criptográfica de Windowstiene el nivel 1 de FIPS general del Programa de validación de módulos criptográficos (CMVP) de NIST, un esfuerzo conjunto entre NIST y el Centro canadiense de ciberseguridad. Esta organización valida los módulos criptográficos con los estándares FIPS.
Elija un Módulo de plataforma segura (TPM) que sea FIPS 140 nivel 2 general y FIPS 140 nivel 3 en seguridad física. Su organización garantiza que el TPM de hardware cumpla los requisitos de nivel AAL que desee.
Para determinar qué TPM cumplen los estándares actuales, vaya al Programa de validación de módulos criptográficos del centro de recursos de seguridad del equipo de NIST. En el cuadro Nombre del módulo, escriba Módulo de plataforma segura para obtener una lista de TPM de hardware que cumplan los estándares.
Reautenticación
Para AAL3, los requisitos de NIST son repetir la autenticación cada 12 horas, independientemente de la actividad del usuario. La reautenticación es necesaria después de cualquier período de inactividad que dure 15 minutos o más. Se requiere la presentación de ambos factores.
Para cumplir el requisito de reautenticación independientemente de la actividad del usuario, Microsoft recomienda configurar la frecuencia de inicio de sesión del usuario en 12 horas.
NIST permite que los controles de compensación confirmen la presencia del suscriptor:
Establezca un tiempo de inactividad de sesión de 15 minutos: bloquee el dispositivo en el nivel de sistema operativo mediante Microsoft Configuration Manager, el objeto de directiva de grupo (GPO) o Intune. Para que el suscriptor lo desbloquee, debe requerir autenticación local.
Establezca el tiempo de espera, independientemente de la actividad, ejecutando una tarea programada mediante Configuration Manager, GPO o Intune. Bloquee la máquina después de 12 horas, independientemente de la actividad.
Resistencia de tipo "man in the middle" (MitM)
Todas las comunicaciones entre el solicitante y Microsoft Entra ID se realizan a través de un canal protegido y autenticado para proporcionar resistencia a los ataques de intermediario. Esta configuración satisface los requisitos de resistencia de MitM para AAL1, AAL2 y AAL3.
Resistencia a la suplantación del comprobador
Los métodos de autenticación de Microsoft Entra que cumplen AAL3 utilizan los autenticadores criptográficos que enlazan la salida del autenticador con la sesión que se va a autenticar. Los métodos utilizan una clave privada controlada por el solicitante. El comprobador conoce la clave pública. Esta configuración satisface los requisitos de resistencia a la suplantación del comprobador para AAL3.
Resistencia al riesgo del comprobador
Todos los métodos de autenticación de Microsoft Entra que cumplen con AAL3:
- Usan un autenticador criptográfico que requiere que el comprobador almacene una clave pública que se corresponda con una clave privada que mantiene el autenticador.
- Almacenan la salida esperada del autenticador mediante algoritmos hash validados por FIPS-140.
Para más información, consulte Consideraciones sobre la seguridad de los datos de Microsoft Entra.
Resistencia de reproducción
Los métodos de autenticación de Microsoft Entra que cumplen con AAL3 usan nonce o desafíos. Estos métodos son resistentes a los ataques de reproducción porque el comprobador puede detectar las transacciones de autenticación reproducidas. Estas transacciones no contienen los datos de nonce o de escala de tiempo necesarios.
Intención de autenticación
Requerir intención de autenticación hace que sea más difícil que los autenticadores físicos conectados directamente, como el hardware criptográfico multifactor, se usen sin el conocimiento del sujeto (por ejemplo, por malware en el punto de conexión). Microsoft Entra métodos que cumplen AAL3 requieren la entrada de usuario de pin o biométrica, lo que demuestra la intención de autenticación.
Pasos siguientes
Conceptos básicos sobre autenticación
Tipos de autenticadores de NIST