CMMC 2. szintű azonosítási és hitelesítési (IA) vezérlők konfigurálása
A Microsoft Entra ID segít megfelelni az identitással kapcsolatos gyakorlatra vonatkozó követelményeknek minden kiberbiztonsági érettségi modell tanúsítási (CMMC) szintjén. A CMMC V2.0 2. szintű követelményeinek megfelelő egyéb konfigurációk vagy folyamatok elvégzése azoknak a vállalatoknak a feladata, amelyek az EGYESÜLT Államok Védelmi Osztályával (DoD) dolgoznak együtt és annak nevében.
A CMMC 2. szintje 13 olyan tartománnyal rendelkezik, amelyek egy vagy több identitással kapcsolatos gyakorlattal rendelkeznek. A tartományok a következők:
- Hozzáférés-vezérlés (AC)
- Naplózás & elszámoltathatóság (AU)
- Konfigurációkezelés (CM)
- Azonosítás & hitelesítés (IA)
- Incidenskezelés (IR)
- Karbantartás (MA)
- Media Protection (MP)
- Személyzeti biztonság (PS)
- Fizikai védelem (PE)
- Kockázatértékelés (RA)
- Security Assessment (CA)
- System and Communications Protection (SC)
- Rendszer- és információintegritás (SI)
A cikk további része útmutatást nyújt az Azonosítás és engedélyezés (IA) tartományhoz. Van egy táblázat, amely hivatkozásokat tartalmaz a tartalomra, amely részletes útmutatást nyújt a gyakorlat elvégzéséhez.
Azonosítás > Hitelesítés
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
A CMMC gyakorlatának nyilatkozata és célkitűzései | A Microsoft Entra útmutatásai és javaslatai |
---|---|
IA. L2-3.5.3 Gyakorlatutasítás: Többtényezős hitelesítés használata a kiemelt fiókokhoz való helyi és hálózati hozzáféréshez, valamint a nem kiemelt fiókokhoz való hálózati hozzáféréshez. Célkitűzések: Állapítsa meg, hogy: [a.] a rendszer a kiemelt fiókokat azonosítja; [b.] a többtényezős hitelesítés a kiemelt fiókokhoz való helyi hozzáféréshez van implementálva; [c.] a többtényezős hitelesítés a kiemelt fiókokhoz való hálózati hozzáféréshez van implementálva; és [d.] A többtényezős hitelesítés a nem emelt jogosultságú fiókokhoz való hálózati hozzáféréshez van implementálva. |
A következő elemek a vezérlőterülethez használt kifejezések definíciói: Az előző követelmény lebontása a következőt jelenti: Ön a felelős a feltételes hozzáférés többtényezős hitelesítés megkövetelése érdekében történő konfigurálásáért. Engedélyezze az AAL2 és újabb verzióknak megfelelő Microsoft Entra hitelesítési módszereket. Vezérlőelemek megadása a feltételes hozzáférési szabályzatban NIST hitelesítői megbízhatósági szintek elérése a Microsoft Entra ID-val Hitelesítési módszerek és funkciók |
IA. L2-3.5.4 Gyakorlatutasítás: Replay-rezisztens hitelesítési mechanizmusokat alkalmazhat a kiemelt és nem emelt szintű fiókokhoz való hálózati hozzáféréshez. Célkitűzések: Állapítsa meg, hogy: [a.] A visszajátszás-rezisztens hitelesítési mechanizmusok a hálózati fiókok kiemelt és nem emelt jogosultságú fiókokhoz való hozzáféréséhez vannak implementálva. |
Az AAL2 és újabb Microsoft Entra-hitelesítési módszerek mindegyike replay-rezisztens. NIST hitelesítői megbízhatósági szintek elérése a Microsoft Entra ID-val |
IA. L2-3.5.5 Gyakorlatutasítás: Az azonosítók meghatározott időszakra történő újbóli felhasználásának megakadályozása. Célkitűzések: Állapítsa meg, hogy: [a.] meghatároz egy időtartamot, amelyen belül az azonosítók nem használhatók fel újra; és [b.] az azonosítók újrafelhasználása a meghatározott időszakon belül meg van tiltva. |
Minden felhasználó, csoport, eszközobjektum globálisan egyedi azonosítója (GUID) garantáltan egyedi és nem újrafelhasználható a Microsoft Entra-bérlő teljes élettartama alatt. felhasználói erőforrás típusa – Microsoft Graph 1.0-s verzió csoport erőforrástípusa – Microsoft Graph 1.0-s verzió eszköz erőforrástípusa – Microsoft Graph 1.0-s verzió |
IA. L2-3.5.6 Gyakorlatutasítás: Az azonosítók letiltása meghatározott inaktivitási időszak után. Célkitűzések: Állapítsa meg, hogy: [a.] egy inaktivitási időszak, amely után egy azonosító le van tiltva; és [b.] az azonosítók a megadott inaktivitási időszak után le vannak tiltva. |
Fiókkezelési automatizálás implementálása a Microsoft Graph és a Microsoft Graph PowerShell SDK használatával. A Microsoft Graph használatával figyelheti a bejelentkezési tevékenységet, a Microsoft Graph PowerShell SDK pedig a szükséges időkereten belül hajthat végre műveletet a fiókokon. Inaktivitás meghatározása Inaktív felhasználói fiókok kezelése a Microsoft Entra-azonosítóban Elavult eszközök kezelése a Microsoft Entra-azonosítóban Fiókok eltávolítása vagy letiltása Felhasználók használata a Microsoft Graphban Felhasználó lekérése Felhasználó frissítése Felhasználó törlése Eszközök használata a Microsoft Graphban Eszköz lekérése Eszköz frissítése Eszköz törlése A Microsoft Graph PowerShell SDK használata Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
IA. L2-3.5.7 Gyakorlatutasítás: Célkitűzések: A jelszó minimális összetettségének és a karakterek módosításának megkövetelése új jelszavak létrehozásakor. Állapítsa meg, hogy: [a.] a jelszó összetettségi követelményei definiálva vannak; [b.] a karakterkövetelmények jelszóváltoztatását definiálják; [c.] az új jelszavak létrehozásakor a megadott minimális jelszó-összetettségi követelmények érvénybe lépnek; és [d.] az új jelszavak létrehozásakor a megadott minimális jelszómódosítási követelmények érvénybe lépnek. IA. L2-3.5.8 Gyakorlatutasítás: Jelszó újrafelhasználásának tiltása adott számú generáció esetében. Célkitűzések: Állapítsa meg, hogy: [a.] azon generációk száma, amelyek során a jelszó nem használható újra; és [b.] a jelszavak ismételt használata a megadott számú generáció alatt tilos. |
Határozottan ösztönözzük a jelszó nélküli stratégiákat. Ez a vezérlő csak a jelszóhitelesítőkre vonatkozik, ezért a jelszavak rendelkezésre álló hitelesítőként való eltávolítása miatt ez a vezérlő nem alkalmazható. NIST SP 800-63 B szakasz 5.1.1: A gyakran használt, várt vagy feltört jelszavak listájának karbantartása. A Microsoft Entra jelszóvédelemmel a rendszer automatikusan alkalmazza az alapértelmezett globális tiltott jelszólistákat a Microsoft Entra-bérlő összes felhasználója számára. Az üzleti és biztonsági igények támogatásához egyéni tiltott jelszólistában definiálhat bejegyzéseket. Amikor a felhasználók módosítják vagy visszaállítják a jelszavaikat, a tiltott jelszólistákat ellenőrzik, hogy kényszerítsék az erős jelszavak használatát. A szigorú jelszókaraktúra-módosítást igénylő ügyfelek számára a jelszó újrafelhasználása és összetettségi követelményei a Password-Hash-Sync használatával konfigurált hibrid fiókokat használják. Ez a művelet biztosítja, hogy a Microsoft Entra-azonosítóval szinkronizált jelszavak öröklik az Active Directory jelszószabályzataiban konfigurált korlátozásokat. A helyszíni Jelszavak további védelme a helyszíni Microsoft Entra Password Protection Active Directory tartományi szolgáltatások konfigurálásával. NIST Speciális Kiadvány 800-63 B NIST Special Publication 800-53 Revision 5 (IA-5 - Control enhancement (1) A hibás jelszavak kiküszöbölése a Microsoft Entra jelszóvédelemmel Mi az a jelszóhash szinkronizálás a Microsoft Entra ID-vel?. |
IA. L2-3.5.9 Gyakorlatutasítás: Ideiglenes jelszóhasználat engedélyezése a rendszerbe történő bejelentkezésekhez, ha az állandó jelszó azonnal megváltozik. Célkitűzések: Állapítsa meg, hogy: [a.] a rendszer bejelentkezéséhez ideiglenes jelszó használata esetén azonnal meg kell változtatni az állandó jelszót. |
A Microsoft Entra felhasználói kezdeti jelszava egy ideiglenes egyszer használatos jelszó, amelyet a sikeres használat után azonnal állandó jelszóra kell módosítani. A Microsoft határozottan ösztönzi a jelszó nélküli hitelesítési módszerek bevezetését. A felhasználók jelszó nélküli hitelesítési módszereket indíthatnak el az ideiglenes hozzáférési bérlet (TAP) használatával. A TAP egy idő, és korlátozott jelszót használ, amelyet egy rendszergazda állít ki, amely megfelel az erős hitelesítési követelményeknek. A jelszó nélküli hitelesítés és az idő és a korlátozott TAP használata teljesen megszünteti a jelszavak használatát (és azok újrafelhasználását). Felhasználók hozzáadása vagy törlése Ideiglenes hozzáférési igazolvány konfigurálása a Microsoft Entra-azonosítóban jelszó nélküli hitelesítési módszerek regisztrálásához Jelszó nélküli hitelesítés |
IA. L2-3.5.10 Gyakorlatutasítás: Csak kriptográfiailag védett jelszavak tárolása és továbbítása. Célkitűzések: Állapítsa meg, hogy: [a.] a jelszavak kriptográfiai védelem alatt állnak a tárolóban; és [b.] a jelszavak titkosítási védelem alatt állnak az átvitel során. |
Titkos titkosítás inaktív állapotban: A lemezszintű titkosítás mellett inaktív állapotban a címtárban tárolt titkos kulcsok titkosítása az Elosztott kulcskezelővel (DKM) történik. A titkosítási kulcsok a Microsoft Entra core store-ban vannak tárolva, és egy skálázási egység kulccsal vannak titkosítva. A kulcs egy címtár ACL-ekkel védett tárolóban van tárolva a legmagasabb jogosultsági szintű felhasználók és adott szolgáltatások számára. A szimmetrikus kulcs általában hathavonta forog. A környezethez való hozzáférés további védelmet élvez a működési vezérlőkkel és a fizikai biztonsággal. Titkosítás átvitel közben: Az adatbiztonság biztosítása érdekében a Címtáradatok a Microsoft Entra-azonosítóban aláírva és titkosítva lesznek a méretezési egységen belüli adatközpontok közötti átvitel során. Az adatokat a Microsoft Entra alapvető tárolási szintje titkosítja és titkosítja, amely a társított Microsoft-adatközpontok biztonságos kiszolgáló-üzemeltetési területein található. Az ügyféloldali webszolgáltatások a Transport Layer Security (TLS) protokollal vannak védve. További információkért töltse le az adatvédelmi szempontokat – Adatbiztonság. A 15. oldalon további részletek találhatók. Jelszókivonat szinkronizálásának megszüntetése (microsoft.com) A Microsoft Entra adatbiztonsági szempontjai |
IA. L2-3.5.11 Gyakorlatutasítás: A hitelesítési információk homályos visszajelzése. Célkitűzések: Állapítsa meg, hogy: [a.] A hitelesítési folyamat során a hitelesítési adatok elhomályosulnak. |
Alapértelmezés szerint a Microsoft Entra ID elhomályosítja az összes hitelesítő visszajelzését. |
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: