NIST authenticator assurance level 2 met Microsoft Entra ID

Artikel
03/26/2024

Het National Institute of Standards and Technology (NIST) ontwikkelt technische vereisten voor amerikaanse federale instanties die identiteitsoplossingen implementeren. Organisaties die met federale agentschappen werken, moeten aan deze vereisten voldoen.

Voordat u begint met authenticatorcontroleniveau 2 (AAL2), ziet u de volgende resources:

Overzicht van NIST: Inzicht in AAL-niveaus
Basisbeginselen van verificatie: Terminologie en verificatietypen
NIST-verificatortypen: Verificatortypen
NIST AALs: AAL-onderdelen en Verificatiemethoden van Microsoft Entra

Toegestane AAL2-verificatortypen

In de volgende tabel zijn verificatortypen toegestaan voor AAL2:

Microsoft Entra-verificatiemethode	Type NIST-verificator
Aanbevolen methoden
Multi-Factor Software Certificate (met pincode beveiligd) Windows Hello voor Bedrijven met TPM (Software Trusted Platform Module)	Multi-Factor Crypto Software
Met hardware beveiligd certificaat (smartcard/beveiligingssleutel/TPM) FIDO 2-beveiligingssleutel Windows Hello voor Bedrijven met hardware-TPM	Multi-Factor Crypto hardware
Microsoft Authenticator-app (zonder wachtwoord)	Multi-factor out-of-band
Aanvullende methoden
Wachtwoord EN - Microsoft Authenticator-app (pushmelding) - OF - Microsoft Authenticator Lite (pushmelding) - OF - Telefoon (SMS)	Memorized geheim EN Single-factor out-of-band
Wachtwoord EN - OATH-hardwaretokens (preview) - OF - Microsoft Authenticator-app (OTP) - OF - Microsoft Authenticator Lite (OTP) - OF - OATH-softwaretokens	Memorized geheim EN Otp met één factor
Wachtwoord EN - Single-Factor Software Certificate - OF - Microsoft Entra toegevoegd aan software-TPM - OF - Microsoft Entra hybride gekoppeld aan software-TPM - OF - Compatibel mobiel apparaat	Memorized geheim EN Cryptosoftware met één factor
Wachtwoord EN - Microsoft Entra gekoppeld aan hardware TPM - OF - Microsoft Entra hybride gekoppeld met hardware TPM	Memorized geheim EN Hardware met één factor crypto

Notitie

Tegenwoordig is Microsoft Authenticator zelf niet phishingbestendig. Als u bescherming wilt krijgen tegen externe phishingbedreigingen wanneer u Microsoft Authenticator gebruikt, moet u ook beleid voor voorwaardelijke toegang configureren waarvoor een beheerd apparaat is vereist.

AAL2-aanbevelingen

Gebruik voor AAL2 multi-factor cryptografische hardware of software authenticators. Verificatie zonder wachtwoord elimineert de grootste kwetsbaarheid voor aanvallen (het wachtwoord) en biedt gebruikers een gestroomlijnde methode voor verificatie.

Zie Een implementatie van verificatie zonder wachtwoord plannen in Microsoft Entra-id voor hulp bij het selecteren van een verificatiemethode zonder wachtwoord. Zie ook Windows Hello voor Bedrijven implementatiehandleiding

FIPS 140-validatie

Gebruik de volgende secties voor meer informatie over FIPS 140-validatie.

Vereisten voor verificator

Microsoft Entra ID maakt gebruik van de algemene gevalideerde cryptografische module van Windows FIPS 140 Niveau 1 voor cryptografische verificatiebewerkingen. Het is daarom een FIPS 140-compatibele verificator die is vereist door overheidsinstanties.

Verificatorvereisten

Cryptografische verificators van overheidsinstanties worden in het algemeen gevalideerd voor FIPS 140 Niveau 1. Deze vereiste is niet voor niet-gouvernementele instanties. De volgende Microsoft Entra authenticators voldoen aan de vereiste bij het uitvoeren op Windows in een door FIPS 140 goedgekeurde modus:

Wachtwoord
Microsoft Entra toegevoegd aan software of met hardware TPM
Microsoft Entra hybride gekoppeld aan software of met hardware TPM
Windows Hello voor Bedrijven met software of met hardware-TPM
Certificaat opgeslagen in software of hardware (smartcard/beveiligingssleutel/TPM)

De Microsoft Authenticator-app is compatibel met FIPS 140 op iOS. Naleving van Android FIPS 140 wordt uitgevoerd. Zie de Microsoft Authenticator-app voor meer informatie over de met FIPS gevalideerde cryptografische modules die worden gebruikt door Microsoft Authenticator

Voor OATH-hardwaretokens en smartcards raden we u aan contact op te stellen met uw provider voor de huidige FIPS-validatiestatus.

FIDO 2-beveiligingssleutelproviders bevinden zich in verschillende fasen van FIPS-certificering. We raden u aan de lijst met ondersteunde FIDO 2-belangrijke leveranciers te bekijken. Neem contact op met uw provider voor de huidige FIPS-validatiestatus.

Verificatie opnieuw

Voor AAL2 wordt de NIST-vereiste elke 12 uur opnieuw geverifieerd, ongeacht de gebruikersactiviteit. Herauthenticatie is vereist na een periode van inactiviteit van 30 minuten of langer. Omdat het sessiegeheim iets is dat u hebt, iets presenteert wat u weet of iets bent, is vereist.

Om te voldoen aan de vereiste voor opnieuw verificatie, ongeacht de gebruikersactiviteit, raadt Microsoft aan om de aanmeldingsfrequentie van gebruikers te configureren tot 12 uur.

Met NIST kunt u compenserende besturingselementen gebruiken om de aanwezigheid van abonnees te bevestigen:

Time-out voor sessie-inactiviteit instellen op 30 minuten: Vergrendel het apparaat op besturingssysteemniveau met Microsoft System Center Configuration Manager, groepsbeleidsobjecten (GPO's) of Intune. Voor de abonnee om deze te ontgrendelen, is lokale verificatie vereist.
Time-out ongeacht de activiteit: Voer een geplande taak (Configuration Manager, GPO of Intune) uit om de machine na 12 uur te vergrendelen, ongeacht de activiteit.

Man-in-the-middle weerstand

Communicatie tussen de eiser en Microsoft Entra-id is via een geverifieerd, beveiligd kanaal. Deze configuratie biedt weerstand tegen man-in-the-middle -aanvallen (MitM) en voldoet aan de MitM-weerstandsvereisten voor AAL1, AAL2 en AAL3.

Herhalingsweerstand

Microsoft Entra-verificatiemethoden bij AAL2 maken gebruik van nonce of uitdagingen. De methoden weerstaan replay-aanvallen omdat de verifier opnieuw afgespeelde verificatietransacties detecteert. Dergelijke transacties bevatten geen niet-benodigde gegevens of tijdigheidsgegevens.