NIST authenticator assurance level 3 by using Microsoft Entra ID
Használja a jelen cikkben található információkat a National Institute of Standards and Technology (NIST) authenticator assurance level 3 (AAL3) számára.
Az AAL2 beszerzése előtt tekintse át a következő erőforrásokat:
- NIST áttekintése: Az AAL-szintek ismertetése
- A hitelesítés alapjai: Terminológia és hitelesítési típusok
- NIST-hitelesítők típusai: Hitelesítő típusok
- NIST AALs: AAL-összetevők és Microsoft Entra hitelesítési módszerek
Engedélyezett hitelesítő típusok
A Szükséges NIST-hitelesítő típusok teljesítéséhez használja a Microsoft hitelesítési módszereit.
| Microsoft Entra hitelesítési módszerek | NIST-hitelesítő típusa |
|---|---|
| Ajánlott módszerek | |
| Hardver által védett tanúsítvány (smartcard/security key/TPM) FIDO 2 biztonsági kulcs Vállalati Windows Hello hardveres TPM-lel Platform hitelesítő adatai macOS-hez |
Többtényezős titkosítási hardver |
| További módszerek | |
| Jelszó ÉS - A Microsoft Entra csatlakozik a hardveres TPM-hez - VAGY - Microsoft Entra hibrid csatlakoztatása hardveres TPM-hez |
Memorizált titkos kód ÉS Egytényezős titkosítási hardver |
| Jelszó ÉS OATH hardverjogkivonatok (előzetes verzió) ÉS - Egytényezős szoftvertanúsítvány - VAGY - Microsoft Entra hibrid csatlakoztatott vagy kompatibilis eszköz szoftveres TPM-lel |
Memorizált titkos kód ÉS Egytényezős OTP-hardver ÉS Egytényezős titkosítási szoftver |
Ajánlások
Az AAL3-hoz javasoljuk, hogy használjon többtényezős titkosítási hardverhitelesítőt, amely jelszó nélküli hitelesítést biztosít, így kiküszöböli a legnagyobb támadási felületet, a jelszót.
Útmutatásért lásd : Jelszó nélküli hitelesítés központi telepítésének megtervezése a Microsoft Entra-azonosítóban. Lásd még Vállalati Windows Hello üzembe helyezési útmutatót.
FIPS 140-ellenőrzés
Hitelesítői követelmények
A Microsoft Entra ID a Windows FIPS 140 Level 1 általánosan érvényesített titkosítási modult használja a hitelesítési titkosítási műveletekhez, így a Microsoft Entra ID megfelelő hitelesítővé válik.
A hitelesítő követelményei
Egytényezős és többtényezős titkosítási hardverhitelesítő követelmények.
Egytényezős titkosítási hardver
A hitelesítőknek a következőknek kell lenniük:
FIPS 140 Level 1 Overall vagy újabb
FIPS 140 3. szintű fizikai biztonság vagy magasabb
A Microsoft Entra csatlakoztatott és a Microsoft Entra hibrid csatlakoztatott eszközök akkor teljesítik ezt a követelményt, ha:
FiPS 140 1. szintű vagy magasabb szintű FIPS 140 3. szintű fizikai biztonsággal rendelkező gépen
A FIPS 140-hez való csatlakozásukról a mobileszköz-gyártótól tájékozódhat.
Többtényezős titkosítási hardver
A hitelesítőknek a következőknek kell lenniük:
FIPS 140 Level 2 Overall vagy újabb
FIPS 140 3. szintű fizikai biztonság vagy magasabb
A FIDO 2 biztonsági kulcsok, intelligens kártyák és Vállalati Windows Hello segíthetnek megfelelni ezeknek a követelményeknek.
A FIDO2 kulcsszolgáltatók FIPS-tanúsítványban találhatók. Javasoljuk, hogy tekintse át a támogatott FIDO2 kulcsszállítók listáját. Forduljon a szolgáltatójához az aktuális FIPS-ellenőrzési állapottal kapcsolatban.
Az intelligens kártyák egy bevált technológia. Több szállítói termék is megfelel a FIPS követelményeinek.
- További információ a kriptográfiai modul érvényesítési programról
Vállalati Windows Hello
A FIPS 140-nek ki kell értékelnie a titkosítási határt, beleértve a szoftvereket, a belső vezérlőprogramokat és a hardvereket. A Windows operációs rendszerek több ezer ilyen kombinációval párosíthatók. Ezért a Microsoft számára nem megvalósítható, hogy Vállalati Windows Hello a FIPS 140 2. biztonsági szintjén érvényesítse. A szövetségi ügyfeleknek kockázatfelméréseket kell végezniük, és a kockázatelfogadás részeként értékelniük kell az alábbi összetevők tanúsításait, mielőtt a szolgáltatást AAL3-ként fogadják el:
A Windows 10 és a Windows Server az EGYESÜLT Államok kormányának jóváhagyott védelmi profilját használja az általános célú operációs rendszerek 4.2.1-es verziójához a National Information Assurance Partnership (NIAP) részéről. Ez a szervezet felügyeli a nemzeti programot, hogy értékelje a kereskedelmi off-the-shelf (COTS) informatikai termékek összhangban a nemzetközi közös kritériumok.
A Windows titkosítási könyvtár fips 1. szintű, az NIST titkosítási modul érvényesítési programjában (CMVP) található, amely az NIST és a Kanadai Kiberbiztonsági Központ közös erőfeszítése. Ez a szervezet ellenőrzi a titkosítási modulokat a FIPS-szabványoknak megfelelően.
Válasszon egy megbízható platformmodult (TPM), amely a FIPS 140 2. szintű általános és a FIPS 140 3. szintű fizikai biztonság. A szervezet biztosítja, hogy a hardveres TPM megfeleljen a kívánt AAL-szintű követelményeknek.
Az aktuális szabványoknak megfelelő TPM-k meghatározásához lépjen az NIST Computer Security Resource Center titkosítási modul érvényesítési programjához. A Modul neve mezőben adja meg a megbízható platformmodult a szabványoknak megfelelő hardveres TPM-k listájához.
MacOS Platform SSO
A FIPS 140 Security Level 2 minimálisan macOS 13 rendszerhez van implementálva, a legtöbb új eszköz pedig a 3. szintet implementálja. Javasoljuk, hogy hivatkozz az Apple Platform tanúsítványaira. Fontos, hogy tisztában legyen az eszközön található biztonsági szinttel.
Újrahitelesítés
Az AAL3 esetében a NIST-követelmények 12 óránként újrahitelesítésre kerülnek, a felhasználói tevékenységtől függetlenül. Az újrahitelesítésre 15 perc vagy hosszabb inaktivitási időszak után van szükség. Mindkét tényező bemutatása kötelező.
Az újrahitelesítési követelmény teljesítéséhez a Microsoft a felhasználói tevékenységtől függetlenül 12 órára javasolja a felhasználói bejelentkezés gyakoriságának konfigurálását.
A NIST lehetővé teszi a kompenzáló vezérlők számára az előfizetői jelenlét megerősítését:
Munkamenet-inaktivitási idő beállítása 15 percből: Az eszköz zárolása operációs rendszer szintjén a Microsoft Configuration Manager, a Csoportházirend-objektum (GPO) vagy az Intune használatával. Ahhoz, hogy az előfizető feloldhassa a zárolást, helyi hitelesítésre van szükség.
Állítsa be az időtúllépést tevékenységtől függetlenül, ha ütemezett feladatot futtat a Configuration Manager, a csoportházirend-objektum vagy az Intune használatával. A gép zárolása 12 óra után, tevékenységtől függetlenül.
Középen belüli ellenállás
A kérelmező és a Microsoft Entra-azonosító közötti kommunikáció egy hitelesített, védett csatornán keresztül történik, amely ellenáll a középen belüli (MitM-) támadásoknak. Ez a konfiguráció megfelel az AAL1, az AAL2 és az AAL3 MitM-ellenállási követelményeinek.
Hitelesítő megszemélyesítési ellenállás
Az AAL3-nak megfelelő Microsoft Entra hitelesítési módszerek olyan titkosítási hitelesítőket használnak, amelyek a hitelesítő kimenetet a hitelesített munkamenethez kötik. A metódusok az igénylő által ellenőrzött titkos kulcsot használják. A nyilvános kulcs ismert a hitelesítő számára. Ez a konfiguráció megfelel az AAL3 hitelesítő-megszemélyesítési ellenállási követelményeinek.
Hitelesítők biztonsági résének ellenállása
Az AAL3-nak megfelelő összes Microsoft Entra hitelesítési módszer:
- Használjon olyan titkosítási hitelesítőt, amely megköveteli, hogy a hitelesítő a hitelesítő által birtokolt titkos kulcsnak megfelelő nyilvános kulcsot tárolja
- A várt hitelesítő kimenet tárolása FIPS-140 ellenőrzött kivonatoló algoritmusok használatával
További információ: Microsoft Entra Data Security Considerations.
Visszajátszási ellenállás
Az AAL3-nak megfelelő Microsoft Entra hitelesítési módszerek nem vagy nem megfelelő megoldásokat használnak. Ezek a módszerek ellenállnak a visszajátszási támadásoknak, mert a hitelesítő képes észlelni az újrajátszott hitelesítési tranzakciókat. Az ilyen tranzakciók nem tartalmazzák a szükséges nem végleges vagy időszerű adatokat.
Hitelesítési szándék
A hitelesítési szándék megkövetelése megnehezíti a közvetlenül csatlakoztatott fizikai hitelesítők, például a többtényezős titkosítási hardverek használatát a tulajdonos tudta nélkül (például a végponton lévő kártevők által). Az AAL3-nak megfelelő Microsoft Entra-metódusokhoz pin-kód vagy biometrikus felhasználói bevitel szükséges, amely a hitelesítési szándékot szemlélteti.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: