NIST authenticator assurance level 2 met Microsoft Entra ID
Het National Institute of Standards and Technology (NIST) ontwikkelt technische vereisten voor amerikaanse federale instanties die identiteitsoplossingen implementeren. Organisaties die met federale agentschappen werken, moeten aan deze vereisten voldoen.
Voordat u begint met authenticatorcontroleniveau 2 (AAL2), ziet u de volgende resources:
- Overzicht van NIST: Inzicht in AAL-niveaus
- Basisbeginselen van verificatie: Terminologie en verificatietypen
- NIST-verificatortypen: Verificatortypen
- NIST AALs: AAL-onderdelen en Verificatiemethoden van Microsoft Entra
Toegestane AAL2-verificatortypen
In de volgende tabel zijn verificatortypen toegestaan voor AAL2:
Microsoft Entra-verificatiemethode | Type NIST-verificator |
---|---|
Aanbevolen methoden | |
Multi-Factor Software Certificate (met pincode beveiligd) Windows Hello voor Bedrijven met TPM (Software Trusted Platform Module) |
Multi-Factor Crypto Software |
Met hardware beveiligd certificaat (smartcard/beveiligingssleutel/TPM) FIDO 2-beveiligingssleutel Windows Hello voor Bedrijven met hardware-TPM |
Multi-Factor Crypto hardware |
Microsoft Authenticator-app (zonder wachtwoord) | Multi-factor out-of-band |
Aanvullende methoden | |
Wachtwoord EN - Microsoft Authenticator-app (pushmelding) - OF - Microsoft Authenticator Lite (pushmelding) - OF - Telefoon (sms) |
Memorized geheim EN Single-factor out-of-band |
Wachtwoord EN - OATH-hardwaretokens (preview) - OF - Microsoft Authenticator-app (OTP) - OF - Microsoft Authenticator Lite (OTP) - OF - OATH-softwaretokens |
Memorized geheim EN Otp met één factor |
Wachtwoord EN - Single-Factor Software Certificate - OF - Microsoft Entra toegevoegd aan software-TPM - OF - Microsoft Entra hybride gekoppeld aan software-TPM - OF - Compatibel mobiel apparaat |
Memorized geheim EN Cryptosoftware met één factor |
Wachtwoord EN - Microsoft Entra gekoppeld aan hardware TPM - OF - Microsoft Entra hybride gekoppeld met hardware TPM |
Memorized geheim EN Hardware met één factor crypto |
Notitie
Tegenwoordig is Microsoft Authenticator zelf niet phishingbestendig. Als u bescherming wilt krijgen tegen externe phishingbedreigingen wanneer u Microsoft Authenticator gebruikt, moet u ook beleid voor voorwaardelijke toegang configureren waarvoor een beheerd apparaat is vereist.
AAL2-aanbevelingen
Gebruik voor AAL2 multi-factor cryptografische hardware of software authenticators. Verificatie zonder wachtwoord elimineert de grootste kwetsbaarheid voor aanvallen (het wachtwoord) en biedt gebruikers een gestroomlijnde methode voor verificatie.
Zie Een implementatie van verificatie zonder wachtwoord plannen in Microsoft Entra-id voor hulp bij het selecteren van een verificatiemethode zonder wachtwoord. Zie ook Windows Hello voor Bedrijven implementatiehandleiding
FIPS 140-validatie
Gebruik de volgende secties voor meer informatie over FIPS 140-validatie.
Vereisten voor verificator
Microsoft Entra ID maakt gebruik van de algemene gevalideerde cryptografische module van Windows FIPS 140 Niveau 1 voor cryptografische verificatiebewerkingen. Het is daarom een FIPS 140-compatibele verificator die is vereist door overheidsinstanties.
Verificatorvereisten
Cryptografische verificators van overheidsinstanties worden in het algemeen gevalideerd voor FIPS 140 Niveau 1. Deze vereiste is niet voor niet-gouvernementele instanties. De volgende Microsoft Entra authenticators voldoen aan de vereiste bij het uitvoeren op Windows in een door FIPS 140 goedgekeurde modus:
Wachtwoord
Microsoft Entra toegevoegd aan software of met hardware TPM
Microsoft Entra hybride gekoppeld aan software of met hardware TPM
Windows Hello voor Bedrijven met software of met hardware-TPM
Certificaat opgeslagen in software of hardware (smartcard/beveiligingssleutel/TPM)
De Microsoft Authenticator-app is compatibel met FIPS 140 op iOS en Android. Voor meer informatie over de door FIPS gevalideerde cryptografische modules die worden gebruikt door Microsoft Authenticator. Microsoft Authenticator-app bekijken
Voor OATH-hardwaretokens en smartcards raden we u aan contact op te stellen met uw provider voor de huidige FIPS-validatiestatus.
FIDO 2-beveiligingssleutelproviders bevinden zich in verschillende fasen van FIPS-certificering. We raden u aan de lijst met ondersteunde FIDO 2-belangrijke leveranciers te bekijken. Neem contact op met uw provider voor de huidige FIPS-validatiestatus.
Verificatie opnieuw
Voor AAL2 wordt de NIST-vereiste elke 12 uur opnieuw geverifieerd, ongeacht de gebruikersactiviteit. Herauthenticatie is vereist na een periode van inactiviteit van 30 minuten of langer. Omdat het sessiegeheim iets is dat u hebt, iets presenteert wat u weet of iets bent, is vereist.
Om te voldoen aan de vereiste voor opnieuw verificatie, ongeacht de gebruikersactiviteit, raadt Microsoft aan om de aanmeldingsfrequentie van gebruikers te configureren tot 12 uur.
Met NIST kunt u compenserende besturingselementen gebruiken om de aanwezigheid van abonnees te bevestigen:
Time-out voor sessie-inactiviteit instellen op 30 minuten: Vergrendel het apparaat op besturingssysteemniveau met Microsoft System Center Configuration Manager, groepsbeleidsobjecten (GPO's) of Intune. Voor de abonnee om deze te ontgrendelen, is lokale verificatie vereist.
Time-out ongeacht de activiteit: Voer een geplande taak (Configuration Manager, GPO of Intune) uit om de machine na 12 uur te vergrendelen, ongeacht de activiteit.
Man-in-the-middle weerstand
Communicatie tussen de eiser en Microsoft Entra-id is via een geverifieerd, beveiligd kanaal. Deze configuratie biedt weerstand tegen man-in-the-middle -aanvallen (MitM) en voldoet aan de MitM-weerstandsvereisten voor AAL1, AAL2 en AAL3.
Herhalingsweerstand
Microsoft Entra-verificatiemethoden bij AAL2 maken gebruik van nonce of uitdagingen. De methoden weerstaan replay-aanvallen omdat de verifier opnieuw afgespeelde verificatietransacties detecteert. Dergelijke transacties bevatten geen niet-benodigde gegevens of tijdigheidsgegevens.
Volgende stappen
Basisbeginselen van verificatie
NIST AAL1 bereiken met Microsoft Entra-id