Livello di garanzia dell'autenticatore NIST 3 tramite Microsoft Entra ID
Usare le informazioni contenute in questo articolo per il livello di garanzia dell'autenticatore NIST (National Institute of Standards and Technology) 3 (AAL3).
Prima di ottenere AAL2, è possibile esaminare le risorse seguenti:
- Panoramica di NIST: Informazioni sui livelli AAL
- Nozioni di base per l'autenticazione: terminologia e tipi di autenticazione
- Tipi di autenticatore NIST: tipi authenticator
- AALs NIST: componenti AAL e metodi di autenticazione di Microsoft Entra
Tipi di autenticatori consentiti
Usare i metodi di autenticazione Microsoft per soddisfare i tipi di autenticatori NIST necessari.
| Metodi di autenticazione di Microsoft Entra | Tipo di autenticatore NIST |
|---|---|
| Metodi consigliati | |
| Certificato protetto dall'hardware (smart card/chiave di sicurezza/TPM) Chiave di sicurezza FIDO 2 Windows Hello for Business con TPM hardware |
Hardware crittografico a più fattori |
| Metodi aggiuntivi | |
| Password AND - Microsoft Entra è stato aggiunto con il TPM hardware - OPPURE - Microsoft Entra ibrido aggiunto a TPM hardware |
Segreto memorizzato AND Hardware crittografico a singolo fattore |
| Password AND Token hardware OATH (anteprima) AND - Certificato software a fattore singolo - OPPURE - Dispositivo aggiunto o conforme a Microsoft Entra ibrido con TPM software |
Segreto memorizzato AND Hardware OTP a fattore singolo AND Software crittografico a singolo fattore |
Consigli
Per AAL3, è consigliabile usare un autenticatore hardware crittografico a più fattori che fornisce l'autenticazione senza password eliminando la superficie di attacco più grande, la password.
Per indicazioni, vedere Pianificare una distribuzione di autenticazione senza password in Microsoft Entra ID. Vedi anche Guida alla distribuzione di Windows Hello for Business.
Convalida FIPS 140
Requisiti di verifica
Microsoft Entra ID usa il modulo di crittografia convalidato generale di Windows FIPS 140 Livello 1 per le operazioni di crittografia di autenticazione, rendendo Microsoft Entra ID un verificatore conforme.
Requisiti dell'autenticatore
Requisiti dell'autenticatore hardware crittografico a fattore singolo e a più fattori.
Hardware crittografico a singolo fattore
Gli autenticatori devono essere:
FIPS 140 Livello 1 Generale o superiore
FIPS 140 Livello 3 Sicurezza fisica o superiore
I dispositivi aggiunti a Microsoft Entra e Microsoft Entra ibridi soddisfano questo requisito quando:
In un computer con un TPM con fips 140 livello 1 generale o superiore, con sicurezza fisica FIPS 140 livello 3
- Trovare TPM conformi: cercare Trusted Platform Module e TPM nel programma di convalida del modulo di crittografia.
Consultare il fornitore di dispositivi mobili per ottenere informazioni sulla loro conformità con FIPS 140.
Hardware crittografico a più fattori
Gli autenticatori devono essere:
FIPS 140 Livello 2 Generale o superiore
FIPS 140 Livello 3 Sicurezza fisica o superiore
Le chiavi di sicurezza FIDO 2, le smart card e Windows Hello for Business consentono di soddisfare questi requisiti.
I provider di chiavi FIDO2 sono nella certificazione FIPS. È consigliabile esaminare l'elenco dei fornitori di chiavi FIDO2 supportati. Consultare il provider per ottenere lo stato di convalida FIPS corrente.
Le smart card sono una tecnologia collaudata. Più prodotti fornitore soddisfano i requisiti FIPS.
- Altre informazioni sul programma di convalida del modulo di crittografia
Windows Hello for Business (Configurare Windows Hello for Business)
FIPS 140 richiede che il limite crittografico, incluso software, firmware e hardware, sia incluso nell'ambito per la valutazione. I sistemi operativi Windows possono essere associati a migliaia di queste combinazioni. Di conseguenza, non è possibile che Microsoft disponga di Windows Hello for Business convalidato al livello di sicurezza FIPS 140 2. I clienti federali devono eseguire valutazioni dei rischi e valutare ognuna delle certificazioni componenti seguenti come parte dell'accettazione dei rischi prima di accettare questo servizio come AAL3:
Windows 10 e Windows Server usano il profilo di protezione approvato dal governo degli Stati Uniti per i sistemi operativi per utilizzo generico versione 4.2.1 della National Information Assurance Partnership (NIAP). Questa organizzazione supervisiona un programma nazionale per valutare i prodotti commerciali di tecnologia informatica OFF-the-shelf per la conformità con i criteri comuni internazionali.
La libreriadi crittografia Di Windows ha il livello 1 FIPS Complessivamente nel programma CMVP (Cryptographic Module Validation Program ) NIST, uno sforzo congiunto tra NIST e il Centro canadese per la sicurezza informatica. Questa organizzazione convalida i moduli crittografici rispetto agli standard FIPS.
Scegliere un modulo TPM (Trusted Platform Module) che sia FIPS 140 Level 2 Overall e FIPS 140 Level 3 Physical Security.Choose a Trusted Platform Module (TPM) that's FIPS 140 Level 2 Overall, and FIPS 140 Level 3 Physical Security. L'organizzazione garantisce che il TPM hardware soddisfi i requisiti a livello di AAL desiderati.
Per determinare i TPM che soddisfano gli standard correnti, passare a NIST Computer Security Resource Center Cryptographic Module Validation Program.To determine the TPMs that meet current standards, go to NIST Computer Security Resource Center Cryptographic Module Validation Program. Nella casella Nome modulo immettere Trusted Platform Module per un elenco di TPM hardware che soddisfano gli standard.
Riautenticazione
Per AAL3, i requisiti NIST vengono riautenticati ogni 12 ore, indipendentemente dall'attività dell'utente. La riautenticazione è necessaria dopo un periodo di inattività di 15 minuti o più. La presentazione di entrambi i fattori è obbligatoria.
Per soddisfare i requisiti di riautenticazione, indipendentemente dall'attività dell'utente, Microsoft consiglia di configurare la frequenza di accesso utente a 12 ore.
NIST consente di compensare i controlli per confermare la presenza del sottoscrittore:
Impostare un timeout di inattività della sessione di 15 minuti: bloccare il dispositivo a livello di sistema operativo usando Microsoft Configuration Manager, l'oggetto Criteri di gruppo o Intune. Affinché il sottoscrittore lo sblocchi, richiedere l'autenticazione locale.
Impostare il timeout, indipendentemente dall'attività, eseguendo un'attività pianificata usando Configuration Manager, Oggetto Criteri di gruppo o Intune. Bloccare la macchina dopo 12 ore, indipendentemente dall'attività.
Resistenza man-in-the-middle
Le comunicazioni tra il richiedente e l'ID Microsoft Entra si trovano su un canale autenticato e protetto per la resistenza agli attacchi man-in-the-middle (MitM). Questa configurazione soddisfa i requisiti di resistenza MitM per AAL1, AAL2 e AAL3.
Resistenza alla rappresentazione del verificatore
I metodi di autenticazione di Microsoft Entra che soddisfano AAL3 usano autenticatori crittografici che associano l'output dell'autenticatore alla sessione in fase di autenticazione. I metodi usano una chiave privata controllata dall'attestazione. La chiave pubblica è nota al verificatore. Questa configurazione soddisfa i requisiti di resistenza alla rappresentazione del verificatore per AAL3.
Resistenza alla compromissione del verificatore
Tutti i metodi di autenticazione di Microsoft Entra che soddisfano AAL3:
- Usare un autenticatore crittografico che richiede l'archiviazione di una chiave pubblica corrispondente a una chiave privata mantenuta dall'autenticatore
- Archiviare l'output dell'autenticatore previsto usando algoritmi hash convalidati FIPS-140
Per altre informazioni, vedere Considerazioni sulla sicurezza dei dati di Microsoft Entra.
Resistenza alla riproduzione
I metodi di autenticazione di Microsoft Entra che soddisfano AAL3 usano problemi o nonce. Questi metodi sono resistenti agli attacchi di riproduzione perché il verificatore può rilevare le transazioni di autenticazione riprodotte. Tali transazioni non conterranno i dati di nonce o di tempestività necessari.
Finalità di autenticazione
La richiesta della finalità di autenticazione rende più difficile per gli autenticatori fisici connessi direttamente, ad esempio hardware crittografico a più fattori, da usare senza la conoscenza del soggetto (ad esempio, da malware nell'endpoint). I metodi di Microsoft Entra che soddisfano AAL3 richiedono l'immissione dell'utente di pin o biometrici, dimostrando la finalità di autenticazione.
Passaggi successivi
Nozioni di base sull'autenticazione