Megosztás a következőn keresztül:

CMMC 2. szintű azonosítási és hitelesítési (IA) vezérlők konfigurálása

  • Cikk

A Microsoft Entra ID segít megfelelni az identitással kapcsolatos gyakorlatra vonatkozó követelményeknek minden kiberbiztonsági érettségi modell tanúsítási (CMMC) szintjén. A CMMC V2.0 2. szintű követelményeinek megfelelő egyéb konfigurációk vagy folyamatok elvégzése azoknak a vállalatoknak a feladata, amelyek az EGYESÜLT Államok Védelmi Osztályával (DoD) dolgoznak együtt és annak nevében.

A CMMC 2. szintje 13 olyan tartománnyal rendelkezik, amelyek egy vagy több identitással kapcsolatos gyakorlattal rendelkeznek. A tartományok a következők:

  • Hozzáférés-vezérlés (AC)
  • Naplózás & elszámoltathatóság (AU)
  • Konfigurációkezelés (CM)
  • Azonosítás & hitelesítés (IA)
  • Incidenskezelés (IR)
  • Karbantartás (MA)
  • Media Protection (MP)
  • Személyzeti biztonság (PS)
  • Fizikai védelem (PE)
  • Kockázatértékelés (RA)
  • Security Assessment (CA)
  • System and Communications Protection (SC)
  • Rendszer- és információintegritás (SI)

A cikk további része útmutatást nyújt az Azonosítás és engedélyezés (IA) tartományhoz. Van egy táblázat, amely hivatkozásokat tartalmaz a tartalomra, amely részletes útmutatást nyújt a gyakorlat elvégzéséhez.

Azonosítás > Hitelesítés

Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.

A CMMC gyakorlatának nyilatkozata és célkitűzései A Microsoft Entra útmutatásai és javaslatai
IA. L2-3.5.3

Gyakorlatutasítás: Többtényezős hitelesítés használata a kiemelt fiókokhoz való helyi és hálózati hozzáféréshez, valamint a nem kiemelt fiókokhoz való hálózati hozzáféréshez.

Célkitűzések:
Állapítsa meg, hogy:
[a.] a rendszer a kiemelt fiókokat azonosítja;
[b.] a többtényezős hitelesítés a kiemelt fiókokhoz való helyi hozzáféréshez van implementálva;
[c.] a többtényezős hitelesítés a kiemelt fiókokhoz való hálózati hozzáféréshez van implementálva; és
[d.] A többtényezős hitelesítés a nem emelt jogosultságú fiókokhoz való hálózati hozzáféréshez van implementálva.		 A következő elemek a vezérlőterülethez használt kifejezések definíciói:
  • Helyi hozzáférés – Hozzáférés a szervezeti információs rendszerhez egy felhasználó (vagy egy felhasználó nevében eljáró folyamat) által, közvetlen kapcsolaton keresztül, hálózat használata nélkül.
  • Hálózati hozzáférés – Hozzáférés egy információs rendszerhez egy felhasználó (vagy egy felhasználó nevében eljáró folyamat) által, egy hálózaton keresztül kommunikálva (például helyi hálózat, széles körű hálózat, internet).
  • Privileged User – Olyan felhasználó, aki jogosult (és ezért megbízható) olyan biztonsági funkciók végrehajtására, amelyekre a hétköznapi felhasználók nem jogosultak.

    Az előző követelmény lebontása a következőt jelenti:
  • Minden felhasználónak MFA-ra van szüksége a hálózati/távoli hozzáféréshez.
  • A helyi hozzáféréshez csak a kiemelt felhasználókra van szükség. Ha a normál felhasználói fiókok csak a számítógépükön rendelkeznek rendszergazdai jogosultságokkal, akkor nem "kiemelt fiók", és nem igényelnek MFA-t a helyi hozzáféréshez.

    Ön a felelős a feltételes hozzáférés többtényezős hitelesítés megkövetelése érdekében történő konfigurálásáért. Engedélyezze az AAL2 és újabb verzióknak megfelelő Microsoft Entra hitelesítési módszereket.
    Vezérlőelemek megadása a feltételes hozzáférési szabályzatban
    NIST hitelesítői megbízhatósági szintek elérése a Microsoft Entra ID-val
    Hitelesítési módszerek és funkciók
    		•
    IA. L2-3.5.4

    Gyakorlatutasítás: Replay-rezisztens hitelesítési mechanizmusokat alkalmazhat a kiemelt és nem emelt szintű fiókokhoz való hálózati hozzáféréshez.

    Célkitűzések:
    Állapítsa meg, hogy:
    [a.] A visszajátszás-rezisztens hitelesítési mechanizmusok a hálózati fiókok kiemelt és nem emelt jogosultságú fiókokhoz való hozzáféréséhez vannak implementálva.    		 Az AAL2 és újabb Microsoft Entra-hitelesítési módszerek mindegyike replay-rezisztens.
    NIST hitelesítői megbízhatósági szintek elérése a Microsoft Entra ID-val
    IA. L2-3.5.5

    Gyakorlatutasítás: Az azonosítók meghatározott időszakra történő újbóli felhasználásának megakadályozása.

    Célkitűzések:
    Állapítsa meg, hogy:
    [a.] meghatároz egy időtartamot, amelyen belül az azonosítók nem használhatók fel újra; és
    [b.] az azonosítók újrafelhasználása a meghatározott időszakon belül meg van tiltva.    		 Minden felhasználó, csoport, eszközobjektum globálisan egyedi azonosítója (GUID) garantáltan egyedi és nem újrafelhasználható a Microsoft Entra-bérlő teljes élettartama alatt.
    felhasználói erőforrás típusa – Microsoft Graph 1.0-s verzió
    csoport erőforrástípusa – Microsoft Graph 1.0-s verzió
    eszköz erőforrástípusa – Microsoft Graph 1.0-s verzió
    IA. L2-3.5.6

    Gyakorlatutasítás: Az azonosítók letiltása meghatározott inaktivitási időszak után.

    Célkitűzések:
    Állapítsa meg, hogy:
    [a.] egy inaktivitási időszak, amely után egy azonosító le van tiltva; és
    [b.] az azonosítók a megadott inaktivitási időszak után le vannak tiltva.    		 Fiókkezelési automatizálás implementálása a Microsoft Graph és a Microsoft Graph PowerShell SDK használatával. A Microsoft Graph használatával figyelheti a bejelentkezési tevékenységet, a Microsoft Graph PowerShell SDK pedig a szükséges időkereten belül hajthat végre műveletet a fiókokon.

    Inaktivitás meghatározása
    Inaktív felhasználói fiókok kezelése a Microsoft Entra-azonosítóban
    Elavult eszközök kezelése a Microsoft Entra-azonosítóban

    Fiókok eltávolítása vagy letiltása
    Felhasználók használata a Microsoft Graphban
    Felhasználó lekérése
    Felhasználó frissítése
    Felhasználó törlése

    Eszközök használata a Microsoft Graphban
    Eszköz lekérése
    Eszköz frissítése
    Eszköz törlése

    A Microsoft Graph PowerShell SDK használata
    Get-MgUser
    Update-MgUser
    Get-MgDevice
    Update-MgDevice
    IA. L2-3.5.7

    Gyakorlatutasítás:

    Célkitűzések: A jelszó minimális összetettségének és a karakterek módosításának megkövetelése új jelszavak létrehozásakor.
    Állapítsa meg, hogy:
    [a.] a jelszó összetettségi követelményei definiálva vannak;
    [b.] a karakterkövetelmények jelszóváltoztatását definiálják;
    [c.] az új jelszavak létrehozásakor a megadott minimális jelszó-összetettségi követelmények érvénybe lépnek; és
    [d.] az új jelszavak létrehozásakor a megadott minimális jelszómódosítási követelmények érvénybe lépnek.

    IA. L2-3.5.8

    Gyakorlatutasítás: Jelszó újrafelhasználásának tiltása adott számú generáció esetében.

    Célkitűzések:
    Állapítsa meg, hogy:
    [a.] azon generációk száma, amelyek során a jelszó nem használható újra; és
    [b.] a jelszavak ismételt használata a megadott számú generáció alatt tilos.    		 Határozottan ösztönözzük a jelszó nélküli stratégiákat. Ez a vezérlő csak a jelszóhitelesítőkre vonatkozik, ezért a jelszavak rendelkezésre álló hitelesítőként való eltávolítása miatt ez a vezérlő nem alkalmazható.

    NIST SP 800-63 B szakasz 5.1.1: A gyakran használt, várt vagy feltört jelszavak listájának karbantartása.

    A Microsoft Entra jelszóvédelemmel a rendszer automatikusan alkalmazza az alapértelmezett globális tiltott jelszólistákat a Microsoft Entra-bérlő összes felhasználója számára. Az üzleti és biztonsági igények támogatásához egyéni tiltott jelszólistában definiálhat bejegyzéseket. Amikor a felhasználók módosítják vagy visszaállítják a jelszavaikat, a tiltott jelszólistákat ellenőrzik, hogy kényszerítsék az erős jelszavak használatát.
    A szigorú jelszókaraktúra-módosítást igénylő ügyfelek számára a jelszó újrafelhasználása és összetettségi követelményei a Password-Hash-Sync használatával konfigurált hibrid fiókokat használják. Ez a művelet biztosítja, hogy a Microsoft Entra-azonosítóval szinkronizált jelszavak öröklik az Active Directory jelszószabályzataiban konfigurált korlátozásokat. A helyszíni Jelszavak további védelme a helyszíni Microsoft Entra Password Protection Active Directory tartományi szolgáltatások konfigurálásával.
    NIST Speciális Kiadvány 800-63 B
    NIST Special Publication 800-53 Revision 5 (IA-5 - Control enhancement (1)
    A hibás jelszavak kiküszöbölése a Microsoft Entra jelszóvédelemmel
    Mi az a jelszóhash szinkronizálás a Microsoft Entra ID-vel?.
    IA. L2-3.5.9

    Gyakorlatutasítás: Ideiglenes jelszóhasználat engedélyezése a rendszerbe történő bejelentkezésekhez, ha az állandó jelszó azonnal megváltozik.

    Célkitűzések:
    Állapítsa meg, hogy:
    [a.] a rendszer bejelentkezéséhez ideiglenes jelszó használata esetén azonnal meg kell változtatni az állandó jelszót.    		 A Microsoft Entra felhasználói kezdeti jelszava egy ideiglenes egyszer használatos jelszó, amelyet a sikeres használat után azonnal állandó jelszóra kell módosítani. A Microsoft határozottan ösztönzi a jelszó nélküli hitelesítési módszerek bevezetését. A felhasználók jelszó nélküli hitelesítési módszereket indíthatnak el az ideiglenes hozzáférési bérlet (TAP) használatával. A TAP egy idő, és korlátozott jelszót használ, amelyet egy rendszergazda állít ki, amely megfelel az erős hitelesítési követelményeknek. A jelszó nélküli hitelesítés és az idő és a korlátozott TAP használata teljesen megszünteti a jelszavak használatát (és azok újrafelhasználását).
    Felhasználók hozzáadása vagy törlése
    Ideiglenes hozzáférési igazolvány konfigurálása a Microsoft Entra-azonosítóban jelszó nélküli hitelesítési módszerek regisztrálásához
    Jelszó nélküli hitelesítés
    IA. L2-3.5.10

    Gyakorlatutasítás: Csak kriptográfiailag védett jelszavak tárolása és továbbítása.

    Célkitűzések:
    Állapítsa meg, hogy:
    [a.] a jelszavak kriptográfiai védelem alatt állnak a tárolóban; és
    [b.] a jelszavak titkosítási védelem alatt állnak az átvitel során.    		 Titkos titkosítás inaktív állapotban:
    A lemezszintű titkosítás mellett inaktív állapotban a címtárban tárolt titkos kulcsok titkosítása az Elosztott kulcskezelővel (DKM) történik. A titkosítási kulcsok a Microsoft Entra core store-ban vannak tárolva, és egy skálázási egység kulccsal vannak titkosítva. A kulcs egy címtár ACL-ekkel védett tárolóban van tárolva a legmagasabb jogosultsági szintű felhasználók és adott szolgáltatások számára. A szimmetrikus kulcs általában hathavonta forog. A környezethez való hozzáférés további védelmet élvez a működési vezérlőkkel és a fizikai biztonsággal.

    Titkosítás átvitel közben:
    Az adatbiztonság biztosítása érdekében a Címtáradatok a Microsoft Entra-azonosítóban aláírva és titkosítva lesznek a méretezési egységen belüli adatközpontok közötti átvitel során. Az adatokat a Microsoft Entra alapvető tárolási szintje titkosítja és titkosítja, amely a társított Microsoft-adatközpontok biztonságos kiszolgáló-üzemeltetési területein található.

    Az ügyféloldali webszolgáltatások a Transport Layer Security (TLS) protokollal vannak védve.
    További információkért töltse le az adatvédelmi szempontokat – Adatbiztonság. A 15. oldalon további részletek találhatók.
    Jelszókivonat szinkronizálásának megszüntetése (microsoft.com)
    A Microsoft Entra adatbiztonsági szempontjai
    IA. L2-3.5.11

    Gyakorlatutasítás: A hitelesítési információk homályos visszajelzése.

    Célkitűzések:
    Állapítsa meg, hogy:
    [a.] A hitelesítési folyamat során a hitelesítési adatok elhomályosulnak.    		 Alapértelmezés szerint a Microsoft Entra ID elhomályosítja az összes hitelesítő visszajelzését.

    Következő lépések