Mengonfigurasi kontrol Identifikasi dan Autentikasi (IA) CMMC Level 2
MICROSOFT Entra ID membantu Anda memenuhi persyaratan praktik terkait identitas di setiap tingkat Sertifikasi Model Kematangan Keamanan Cyber (CMMC). Untuk menyelesaikan konfigurasi atau proses lain agar sesuai dengan persyaratan CMMC V2.0 level 2, adalah tanggung jawab perusahaan yang melakukan pekerjaan dengan, dan atas nama, Departemen Pertahanan AS (DoD).
CMMC Tingkat 2 memiliki 13 domain yang memiliki satu atau beberapa praktik yang terkait dengan identitas. Domainnya adalah:
- Kontrol Akses (AC)
- Audit & Akuntabilitas (AU)
- Manajemen Konfigurasi (CM)
- Identifikasi & Autentikasi (IA)
- Respons Insiden (IR)
- Pemeliharaan (MA)
- Perlindungan Media (MP)
- Keamanan Personel (PS)
- Perlindungan Fisik (PE)
- Penilaian Risiko (RA)
- Penilaian Keamanan (CA)
- Perlindungan Sistem dan Komunikasi (SC)
- Integritas Sistem dan Informasi (SI)
Sisa artikel ini memberikan panduan untuk domain Identifikasi dan Otorisasi (IA). Ada tabel dengan tautan ke konten yang menyediakan panduan langkah demi langkah untuk menyelesaikan praktik.
Identifikasi & Autentikasi
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| IA. L2-3.5.3 Pernyataan praktik: Gunakan autentikasi multifaktor untuk akses lokal dan jaringan ke akun istimewa dan untuk akses jaringan ke akun yang tidak memiliki hak istimewa. Tujuan: Tentukan apakah: [a.] akun istimewa diidentifikasi; [b.] autentikasi multifaktor diimplementasikan untuk akses lokal ke akun istimewa; [c.] autentikasi multifaktor diimplementasikan untuk akses jaringan ke akun istimewa; dan [d.] autentikasi multifaktor diimplementasikan untuk akses jaringan ke akun non-istimewa. |
Item berikut adalah definisi untuk istilah yang digunakan untuk area kontrol ini: Memecah persyaratan sebelumnya berarti: Anda bertanggung jawab untuk mengonfigurasi Akses Bersyarat untuk memerlukan autentikasi multifaktor. Aktifkan metode autentikasi Microsoft Entra yang memenuhi AAL2 dan yang lebih tinggi. Memberikan kontrol dalam kebijakan Akses Bersyar Mencapai tingkat jaminan pengautentikasi NIST dengan ID Microsoft Entra Metode dan fitur autentikasi |
| IA. L2-3.5.4 Pernyataan praktik: Menggunakan mekanisme autentikasi tahan pemutaran ulang untuk akses jaringan ke akun istimewa dan tidak istimewa. Tujuan: Tentukan apakah: [a.] mekanisme autentikasi tahan pemutaran ulang diterapkan untuk akses akun jaringan ke akun istimewa dan tidak istimewa. |
Semua metode autentikasi Microsoft Entra di AAL2 ke atas tahan pemutaran ulang. Mencapai tingkat jaminan pengautentikasi NIST dengan ID Microsoft Entra |
| IA. L2-3.5.5 Pernyataan praktik: Mencegah penggunaan kembali pengidentifikasi untuk periode yang ditentukan. Tujuan: Tentukan apakah: [a.] periode di mana pengidentifikasi tidak dapat digunakan kembali didefinisikan; dan [b.] penggunaan kembali pengidentifikasi dicegah dalam periode yang ditentukan. |
Semua pengidentifikasi unik global (GUID) objek pengguna, grup, dan perangkat dijamin unik dan tidak dapat digunakan kembali selama masa pakai penyewa Microsoft Entra. jenis sumber daya pengguna - Microsoft Graph v1.0 jenis sumber daya grup - Microsoft Graph v1.0 jenis sumber daya perangkat - Microsoft Graph v1.0 |
| IA. L2-3.5.6 Pernyataan praktik: Nonaktifkan pengidentifikasi setelah periode tidak aktif yang ditentukan. Tujuan: Tentukan apakah: [a.] periode tidak aktif setelah pengidentifikasi dinonaktifkan didefinisikan; dan [b.] pengidentifikasi dinonaktifkan setelah periode tidak aktif yang ditentukan. |
Terapkan otomatisasi manajemen akun dengan Microsoft Graph dan Microsoft Graph PowerShell SDK. Gunakan Microsoft Graph untuk memantau aktivitas masuk dan Microsoft Graph PowerShell SDK untuk mengambil tindakan pada akun dalam jangka waktu yang diperlukan. Menentukan tidak aktif Mengelola akun pengguna yang tidak aktif di ID Microsoft Entra Mengelola perangkat kedaluarsa di ID Microsoft Entra Menghapus atau menonaktifkan akun Bekerja dengan pengguna di Microsoft Graph Mendapatkan pengguna Memperbarui pengguna Menghapus pengguna Bekerja dengan perangkat di Microsoft Graph Mendapatkan perangkat Memperbarui perangkat Menghapus perangkat Menggunakan Microsoft Graph PowerShell SDK Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
| IA. L2-3.5.7 Pernyataan praktik: Tujuan: Menerapkan kompleksitas kata sandi minimum dan perubahan karakter saat kata sandi baru dibuat. Tentukan apakah: [a.] persyaratan kompleksitas kata sandi ditentukan; [b.] perubahan kata sandi persyaratan karakter didefinisikan; [c.] persyaratan kompleksitas kata sandi minimum seperti yang didefinisikan diberlakukan ketika kata sandi baru dibuat; dan [d.] perubahan kata sandi minimum persyaratan karakter seperti yang ditentukan diberlakukan saat kata sandi baru dibuat. IA. L2-3.5.8 Pernyataan praktik: Melarang penggunaan kembali kata sandi untuk sejumlah generasi tertentu. Tujuan: Tentukan apakah: [a.] jumlah pembuatan di mana kata sandi tidak dapat digunakan kembali ditentukan; dan [b.] penggunaan kembali kata sandi dilarang selama jumlah generasi yang ditentukan. |
Kami sangat mendorong strategi tanpa kata sandi. Kontrol ini hanya berlaku untuk pengautentikasi sandi, sehingga menghapus sandi sebagai pengautentikasi yang tersedia dapat membuat kontrol ini tidak berlaku. Per NIST SP 800-63 B Bagian 5.1.1: Mempertahankan daftar kata sandi yang umum digunakan, diharapkan, atau disusupi. Dengan perlindungan kata sandi Microsoft Entra, daftar kata sandi terlarang global default secara otomatis diterapkan ke semua pengguna di penyewa Microsoft Entra. Untuk mendukung kebutuhan bisnis dan keamanan Anda, Anda dapat menentukan entri dalam daftar sandi terlarang secara kustom. Saat pengguna mengubah atau mereset kata sandi mereka, daftar kata sandi yang dilarang ini diperiksa untuk memberlakukan penggunaan kata sandi yang kuat. Untuk pelanggan yang memerlukan perubahan karakter kata sandi yang ketat, penggunaan kembali kata sandi dan persyaratan kompleksitas menggunakan akun hibrid yang dikonfigurasi dengan Password-Hash-Sync. Tindakan ini memastikan kata sandi yang disinkronkan ke ID Microsoft Entra mewarisi pembatasan yang dikonfigurasi dalam kebijakan kata sandi Direktori Aktif. Lindungi kata sandi lokal lebih lanjut dengan mengonfigurasi Perlindungan Kata Sandi Microsoft Entra lokal untuk Active Directory Domain Services. Publikasi Khusus NIST 800-63 B Publikasi Khusus NIST 800-53 Revisi 5 (IA-5 - Peningkatan kontrol (1) Menghilangkan kata sandi yang buruk menggunakan perlindungan kata sandi Microsoft Entra Apa yang dimaksud dengan sinkronisasi hash kata sandi dengan Microsoft Entra ID? |
| IA. L2-3.5.9 Pernyataan praktik: Izinkan penggunaan kata sandi sementara untuk masuk sistem dengan perubahan segera ke kata sandi permanen. Tujuan: Tentukan apakah: [a.] perubahan segera pada kata sandi permanen diperlukan ketika kata sandi sementara digunakan untuk masuk sistem. |
Kata sandi awal pengguna Microsoft Entra adalah kata sandi penggunaan tunggal sementara yang setelah berhasil digunakan segera diperlukan untuk diubah menjadi kata sandi permanen. Microsoft sangat mendorong adopsi metode autentikasi tanpa kata sandi. Pengguna dapat melakukan bootstrap metode autentikasi Tanpa Kata Sandi menggunakan Kode Akses Sementara (TAP). TAP adalah waktu dan menggunakan kode sandi terbatas yang dikeluarkan oleh admin yang memenuhi persyaratan autentikasi yang kuat. Penggunaan autentikasi tanpa kata sandi bersama dengan waktu dan menggunakan TAP terbatas sepenuhnya menghilangkan penggunaan kata sandi (dan penggunaannya kembali). Menambahkan atau menghapus pengguna Mengonfigurasi Kode Akses Sementara di ID Microsoft Entra untuk mendaftarkan metode autentikasi Tanpa Kata Sandi Autentikasi tanpa kata sandi |
| IA. L2-3.5.10 Pernyataan praktik: Simpan dan kirimkan hanya kata sandi yang dilindungi secara kriptografis. Tujuan: Tentukan apakah: [a.] kata sandi dilindungi secara kriptografis dalam penyimpanan; dan [b.] kata sandi dilindungi secara kriptografis saat transit. |
Enkripsi Rahasia saat Tidak Aktif: Selain enkripsi tingkat disk, saat tidak aktif, rahasia yang disimpan di direktori dienkripsi menggunakan Distributed Key Manager (DKM). Kunci enkripsi disimpan di penyimpanan inti Microsoft Entra dan pada gilirannya dienkripsi dengan kunci unit skala. Kunci disimpan dalam kontainer yang dilindungi dengan ACL direktori, untuk pengguna dengan hak istimewa tertinggi dan layanan tertentu. Kunci konten biasanya diputar setiap enam bulan. Akses ke lingkungan dilindungi lebih lanjut dengan kontrol operasional dan keamanan fisik. Enkripsi saat Transit: Untuk memastikan keamanan data, Data Direktori di ID Microsoft Entra ditandatangani dan dienkripsi saat transit antar pusat data dalam unit skala. Data dienkripsi dan tidak terenkripsi oleh tingkat penyimpanan inti Microsoft Entra, yang berada di dalam area hosting server aman dari pusat data Microsoft terkait. Layanan web yang menghadap pelanggan diamankan dengan protokol Keamanan Lapisan Transportasi (TLS). Untuk informasi selengkapnya, unduh Pertimbangan Perlindungan Data - Keamanan Data. Pada halaman 15, ada detail selengkapnya. Demystifying Password Hash Sync (microsoft.com) Pertimbangan Keamanan Data Microsoft Entra |
| IA. L2-3.5.11 Pernyataan praktik: Mengaburkan umpan balik informasi autentikasi. Tujuan: Tentukan apakah: [a.] informasi autentikasi dikaburkan selama proses autentikasi. |
Secara default, MICROSOFT Entra ID mengaburkan semua umpan balik pengautentikasi. |
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk