Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Használja a jelen cikkben található információkat a National Institute of Standards and Technology (NIST) authenticator assurance level 3 (AAL3) számára.
Az AAL2 beszerzése előtt tekintse át a következő erőforrásokat:
- NIST áttekintése: Az AAL-szintek ismertetése
- A hitelesítés alapjai: Terminológia és hitelesítési típusok
- NIST-hitelesítők típusai: Hitelesítő típusok
- NIST AALs: AAL-összetevők és Microsoft Entra hitelesítési módszerek
Engedélyezett hitelesítő típusok
A Szükséges NIST-hitelesítő típusok teljesítéséhez használja a Microsoft hitelesítési módszereit.
| Microsoft Entra hitelesítési módszerek | NIST-hitelesítő típusa |
|---|---|
| Ajánlott módszerek | |
| Többtényezős hardver által védett tanúsítvány FIDO 2 biztonsági kulcs Platform SSO macOS-hez (Secure Enclave) Vállalati Windows Hello hardveres TPM-lel Hozzáférési kulcs a Microsoft Authenticator1-ben |
Többtényezős titkosítási hardver |
| További módszerek | |
| Jelszó vagy QR-kód (PIN-kód) ÉS Egytényezős hardveres védelem alatt álló tanúsítvány |
Memorizált titkos kód ÉS Egytényezős titkosítási hardver |
1 A Microsoft Authenticator kulcskulcsa összességében részleges AAL3-nak minősül, és AAL3-nak minősülhet a FIPS 140 2. szintű általános (vagy magasabb) és a FIPS 140 3. szintű fizikai biztonsági (vagy magasabb) szintű platformokon. További információ a FiPS 140 Microsoft Authenticator (iOS/Android) megfelelőségéről: FIPS 140-kompatibilis a Microsoft Entra-hitelesítéshez
Ajánlások
Az AAL3-hoz javasoljuk, hogy használjon többtényezős titkosítási hardverhitelesítőt, amely jelszó nélküli hitelesítést biztosít, így kiküszöböli a legnagyobb támadási felületet, a jelszót.
Útmutatásért lásd : Jelszó nélküli hitelesítés központi telepítésének megtervezése a Microsoft Entra-azonosítóban. Lásd még Vállalati Windows Hello üzembe helyezési útmutatót.
FIPS 140-ellenőrzés
Hitelesítői követelmények
A Microsoft Entra ID a Windows FIPS 140 Level 1 általánosan érvényesített titkosítási modult használja a hitelesítési titkosítási műveletekhez, így a Microsoft Entra ID megfelelő hitelesítővé válik.
A hitelesítő követelményei
Egytényezős és többtényezős titkosítási hardverhitelesítő követelmények.
Egytényezős titkosítási hardver
A hitelesítőknek a következőknek kell lenniük:
FIPS 140 Level 1 Overall vagy újabb
FIPS 140 3. szintű fizikai biztonság vagy magasabb
A Windows-eszközhöz használt egytényezős hardveres védelemmel ellátott tanúsítvány akkor felel meg ennek a követelménynek, ha:
FiPS 140 1. szintű vagy magasabb szintű FIPS 140 3. szintű fizikai biztonsággal rendelkező gépen
A FIPS 140-hez való csatlakozásukról a mobileszköz-gyártótól tájékozódhat.
Többtényezős titkosítási hardver
A hitelesítőknek a következőknek kell lenniük:
FIPS 140 Level 2 Overall vagy újabb
FIPS 140 3. szintű fizikai biztonság vagy magasabb
A FIDO 2 biztonsági kulcsok, intelligens kártyák és Vállalati Windows Hello segíthetnek megfelelni ezeknek a követelményeknek.
Több FIDO2 biztonsági kulcsszolgáltató felel meg a FIPS követelményeinek. Javasoljuk, hogy tekintse át a támogatott FIDO2 kulcsszállítók listáját. Forduljon a szolgáltatójához az aktuális FIPS-ellenőrzési állapottal kapcsolatban.
Az intelligens kártyák egy bevált technológia. Több szállítói termék is megfelel a FIPS követelményeinek.
- További információ a kriptográfiai modul érvényesítési programról
Vállalati Windows Hello
A FIPS 140-nek ki kell értékelnie a titkosítási határt, beleértve a szoftvereket, a belső vezérlőprogramokat és a hardvereket. A Windows operációs rendszerek több ezer ilyen kombinációval párosíthatók. Ezért a Microsoft számára nem megvalósítható, hogy Vállalati Windows Hello a FIPS 140 2. biztonsági szintjén érvényesítse. A szövetségi ügyfeleknek kockázatfelméréseket kell végezniük, és a kockázatelfogadás részeként értékelniük kell az alábbi összetevők tanúsításait, mielőtt a szolgáltatást AAL3-ként fogadják el:
A Windows 10 és a Windows Server az EGYESÜLT Államok kormányának jóváhagyott védelmi profilját használja az általános célú operációs rendszerek 4.2.1-es verziójához a National Information Assurance Partnership (NIAP) részéről. Ez a szervezet felügyeli a nemzeti programot, hogy értékelje a kereskedelmi off-the-shelf (COTS) informatikai termékek összhangban a nemzetközi közös kritériumok.
A Windows titkosítási könyvtárfips 1. szintű, az NIST titkosítási modul érvényesítési programjában (CMVP) található, amely az NIST és a Kanadai Kiberbiztonsági Központ közös erőfeszítése. Ez a szervezet ellenőrzi a titkosítási modulokat a FIPS-szabványoknak megfelelően.
Válasszon egy megbízható platformmodult (TPM), amely a FIPS 140 2. szintű általános és a FIPS 140 3. szintű fizikai biztonság. A szervezet biztosítja, hogy a hardveres TPM megfeleljen a kívánt AAL-szintű követelményeknek.
Az aktuális szabványoknak megfelelő TPM-k meghatározásához lépjen az NIST Computer Security Resource Center titkosítási modul érvényesítési programjához. A Modul neve mezőben adja meg a megbízható platformmodult a szabványoknak megfelelő hardveres TPM-k listájához.
MacOS Platform SSO
Az Apple macOS 13 (és újabb) FIPS 140 Level 2 Overall, a legtöbb eszköz is FIPS 140 Level 3 Physical Security. Javasoljuk, hogy hivatkozz az Apple Platform tanúsítványaira.
Hozzáférési kulcs a Microsoft Authenticatorban
További információ a FiPS 140 Microsoft Authenticator (iOS/Android) megfelelőségéről: FIPS 140-kompatibilis a Microsoft Entra-hitelesítéshez
Újrahitelesítés
Az AAL3 esetében a NIST-követelmények 12 óránként újrahitelesítésre kerülnek, a felhasználói tevékenységtől függetlenül. Az újrahitelesítés 15 perc vagy hosszabb inaktivitás után javasolt. Mindkét tényező bemutatása kötelező.
Az újrahitelesítési követelmény teljesítéséhez a Microsoft a felhasználói tevékenységtől függetlenül 12 órára javasolja a felhasználói bejelentkezés gyakoriságának konfigurálását.
A NIST lehetővé teszi a kompenzáló vezérlők számára az előfizetői jelenlét megerősítését:
Állítsa be az időtúllépést tevékenységtől függetlenül, ha ütemezett feladatot futtat a Configuration Manager, a csoportházirend-objektum vagy az Intune használatával. A gép zárolása 12 óra után, tevékenységtől függetlenül.
Az ajánlott inaktivitási időtúllépéshez 15 percből állíthat be munkamenet-inaktivitási időt: Az eszköz zárolása operációs rendszer szintjén a Microsoft Configuration Manager, a Csoportházirend-objektum (GPO) vagy az Intune használatával. Ahhoz, hogy az előfizető feloldhassa a zárolást, helyi hitelesítésre van szükség.
Középen belüli ellenállás
A kérelmező és a Microsoft Entra-azonosító közötti kommunikáció egy hitelesített, védett csatornán keresztül történik, amely ellenáll a középen belüli (MitM-) támadásoknak. Ez a konfiguráció megfelel az AAL1, az AAL2 és az AAL3 MitM-ellenállási követelményeinek.
Hitelesítő megszemélyesítési ellenállás
Az AAL3-nak megfelelő Microsoft Entra hitelesítési módszerek olyan titkosítási hitelesítőket használnak, amelyek a hitelesítő kimenetet a hitelesített munkamenethez kötik. A metódusok az igénylő által ellenőrzött titkos kulcsot használják. A nyilvános kulcs ismert a hitelesítő számára. Ez a konfiguráció megfelel az AAL3 hitelesítő-megszemélyesítési ellenállási követelményeinek.
Hitelesítők biztonsági résének ellenállása
Az AAL3-nak megfelelő összes Microsoft Entra hitelesítési módszer:
- Használjon olyan titkosítási hitelesítőt, amely megköveteli, hogy a hitelesítő a hitelesítő által birtokolt titkos kulcsnak megfelelő nyilvános kulcsot tárolja
- A várt hitelesítő kimenet tárolása FIPS-140 ellenőrzött kivonatoló algoritmusok használatával
További információ: Microsoft Entra Data Security Considerations.
Visszajátszási ellenállás
Az AAL3-nak megfelelő Microsoft Entra hitelesítési módszerek nem vagy nem megfelelő megoldásokat használnak. Ezek a módszerek ellenállnak a visszajátszási támadásoknak, mert a hitelesítő képes észlelni az újrajátszott hitelesítési tranzakciókat. Az ilyen tranzakciók nem tartalmazzák a szükséges nem végleges vagy időszerű adatokat.
Hitelesítési szándék
A hitelesítési szándék megkövetelése megnehezíti a közvetlenül csatlakoztatott fizikai hitelesítők, például a többtényezős titkosítási hardverek használatát a tulajdonos tudta nélkül (például a végponton lévő kártevők által). Az AAL3-nak megfelelő Microsoft Entra-metódusokhoz pin-kód vagy biometrikus felhasználói bevitel szükséges, amely a hitelesítési szándékot szemlélteti.