Уровень проверки подлинности NIST 2 с идентификатором Microsoft Entra

Мақала
10/01/2024

Национальный институт стандартов и технологий (NIST) разрабатывает технические требования для федеральных учреждений США, реализующих решения идентификации. Организации, работающие с федеральными агентствами, должны соответствовать этим требованиям.

Перед началом проверки подлинности уровня 2 (AAL2) можно просмотреть следующие ресурсы:

Обзор NIST. Общие сведения об уровнях AAL
Основы проверки подлинности: терминология и типы проверки подлинности
Типы NIST Authenticator: типы Authenticator
NIST AALs: компоненты AAL и методы проверки подлинности Microsoft Entra

Разрешенные типы проверки подлинности AAL2

В следующей таблице разрешены типы аутентификатора для AAL2:

Метод проверки подлинности Microsoft Entra	Тип аутентификатора NIST
Рекомендуемые методы
Многофакторный сертификат программного обеспечения (защищенный ПИН-код) Windows Hello для бизнеса с модулем доверенной платформы программного обеспечения (TPM)	Многофакторное программное обеспечение для шифрования
Защищенный оборудованием сертификат (смарт-карта, ключ безопасности/TPM) Ключ безопасности FIDO 2 Windows Hello для бизнеса с аппаратным TPM	Многофакторное оборудование шифрования
Приложение Microsoft Authenticator (без пароля)	Мультифактор вне полосы
Дополнительные методы
Пароль И — приложение Microsoft Authenticator (push-уведомление) - ИЛИ — Microsoft Authenticator Lite (push-уведомление) - ИЛИ - Телефон (SMS)	Замеченный секрет И Однофакторная внеполосная
Пароль И — токены оборудования OATH (предварительная версия) - ИЛИ — приложение Microsoft Authenticator (OTP) - ИЛИ — Microsoft Authenticator Lite (OTP) - ИЛИ — токены программного обеспечения OATH	Замеченный секрет И Однофакторный OTP
Пароль И — однофакторный сертификат программного обеспечения - ИЛИ — Microsoft Entra, присоединенная к программному TPM - ИЛИ — гибридное присоединение Microsoft Entra к программному доверенному платформенного модуля - ИЛИ — Совместимое мобильное устройство	Замеченный секрет И Однофакторное программное обеспечение для шифрования
Пароль И — Microsoft Entra, присоединенная к аппаратному доверенному платформенный модуль - ИЛИ — гибридное присоединение Microsoft Entra к аппаратному доверенному платформенного модуля	Замеченный секрет И Однофакторное оборудование шифрования

Заметка

Сегодня Microsoft Authenticator само по себе не является фишинговым. Чтобы получить защиту от внешних фишинговых угроз при использовании Microsoft Authenticator, необходимо дополнительно настроить политику условного доступа, требующую управляемого устройства.

Проверка FIPS 140

Используйте следующие разделы, чтобы узнать о проверке FIPS 140.

Требования проверяющего средства

Идентификатор Microsoft Entra использует общий проверенный модуль шифрования Windows FIPS 140 уровня 1 для криптографических операций проверки подлинности. Поэтому это проверяющий средство, соответствующее FIPS 140, требуемое государственными учреждениями.

Требования к аутентификатору

Криптографические аутентификаторы государственного агентства проверяются для FIPS 140 уровня 1 в целом. Это требование не касается неправительственных учреждений. Следующие средства проверки подлинности Microsoft Entra соответствуют требованиям при запуске в Windows в утвержденном режиме FIPS 140:

Пароль
Microsoft Entra, присоединенная к программному обеспечению или аппаратному доверенному платформенного модуля
Гибридная среда Microsoft Entra, присоединенная к программному обеспечению или с аппаратным TPM
Windows Hello для бизнеса программного обеспечения или аппаратного доверенного платформенного модуля
Сертификат, хранящийся в программном обеспечении или оборудовании (ключ смарт-карты, ключ безопасности/TPM)

Приложение Microsoft Authenticator совместимо с FIPS 140 для iOS и Android. Дополнительные сведения о проверенных модулях шифрования FIPS, используемых Microsoft Authenticator. См. приложение Microsoft Authenticator

Для токенов оборудования и смарт-карт OATH рекомендуется обратиться к поставщику для текущего состояния проверки FIPS.

Поставщики ключей безопасности FIDO 2 находятся на различных этапах сертификации FIPS. Мы рекомендуем просмотреть список поддерживаемых поставщиков ключей FIDO 2. Обратитесь к поставщику с текущим состоянием проверки FIPS.

Повторная авторизация

Для AAL2 требование NIST повторно выполняется каждые 12 часов независимо от активности пользователя. Повторная авторизация требуется после периода бездействия в течение 30 минут или дольше. Так как секрет сеанса — это то, что у вас есть, показывая то, что вы знаете или является обязательным.

Чтобы обеспечить соответствие требованиям повторной проверки подлинности независимо от действия пользователя, корпорация Майкрософт рекомендует настроить частоту входа пользователя в 12 часов.

С помощью NIST можно использовать компенсирующие элементы управления для подтверждения присутствия подписчика:

Установите время ожидания бездействия сеанса до 30 минут: блокировка устройства на уровне операционной системы с помощью Microsoft System Center Configuration Manager, объектов групповой политики (GPU) или Intune. Для разблокировки подписчика требуется локальная проверка подлинности.
Время ожидания независимо от действия: выполнение запланированной задачи (Configuration Manager, групповой политики или Intune) для блокировки компьютера через 12 часов независимо от действия.

Сопротивление "человек в середине"

Обмен данными между заявителем и идентификатором Microsoft Entra проходит проверку подлинности, защищенный канал. Эта конфигурация обеспечивает сопротивление атакам в середине (MitM) и удовлетворяет требованиям к сопротивлением MitM для AAL1, AAL2 и AAL3.

Сопротивление воспроизведения

Методы проверки подлинности Microsoft Entra в AAL2 используют неце или проблемы. Методы сопротивляются атакам воспроизведения, так как проверяющий обнаруживает повторяемые транзакции проверки подлинности. Такие транзакции не будут содержать необходимые данные, не относящиеся к времени или сроку.