Delen via

IA-besturingselementen (CMMC Level 2 Identification and Authentication) configureren

  • Artikel

Microsoft Entra ID helpt u te voldoen aan identiteitsgerelateerde praktijkvereisten op CMMC-niveau (Cybersecurity Maturity Model Certification). Als u andere configuraties of processen wilt voltooien die voldoen aan de vereisten van CMMC V2.0 niveau 2, is dit de verantwoordelijkheid van bedrijven die werken met en namens de Us Dept. of Defense (DoD).

CMMC Level 2 heeft 13 domeinen met een of meer procedures met betrekking tot identiteit. De domeinen zijn:

  • Toegangsbeheer (AC)
  • Audit & Accountability (AU)
  • Configuratiebeheer (CM)
  • Identificatie en verificatie (IA)
  • Reactie op incidenten (IR)
  • Onderhoud (MA)
  • Media Protection (MP)
  • Personeelsbeveiliging (PS)
  • Fysieke beveiliging (PE)
  • Risico-evaluatie (RA)
  • Beveiligingsevaluatie (CA)
  • System and Communications Protection (SC)
  • Systeem- en informatie-integriteit (SI)

De rest van dit artikel bevat richtlijnen voor het IA-domein (Identification and Authorization). Er is een tabel met koppelingen naar inhoud die stapsgewijze instructies biedt om de oefening uit te voeren.

Identificatie en verificatie

De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.

Instructie en doelstellingen van CMMC-praktijk Richtlijnen en aanbevelingen voor Microsoft Entra
IA. L2-3.5.3

Oefenverklaring: Meervoudige verificatie gebruiken voor lokale en netwerktoegang tot bevoegde accounts en voor netwerktoegang tot niet-bevoegde accounts.

Doelstellingen:
Bepalen of:
[a.] bevoegde accounts worden geïdentificeerd;
[b.] meervoudige verificatie wordt geïmplementeerd voor lokale toegang tot bevoegde accounts;
[c.] meervoudige verificatie wordt geïmplementeerd voor netwerktoegang tot bevoegde accounts; En
[d.] meervoudige verificatie wordt geïmplementeerd voor netwerktoegang tot niet-bevoegde accounts.		 De volgende items zijn definities voor de termen die worden gebruikt voor dit besturingsgebied:
  • Lokale toegang : toegang tot een organisatie-informatiesysteem door een gebruiker (of proces dat namens een gebruiker handelt) die communiceert via een directe verbinding zonder het gebruik van een netwerk.
  • Netwerktoegang : toegang tot een informatiesysteem door een gebruiker (of een proces dat namens een gebruiker handelt) die communiceert via een netwerk (bijvoorbeeld local area network, wide area network, internet).
  • Bevoegde gebruiker : een gebruiker die is geautoriseerd (en daarom vertrouwd) om beveiligingsgerelateerde functies uit te voeren die gewone gebruikers niet mogen uitvoeren.

    Het opsplitsen van de vorige vereiste betekent:
  • Alle gebruikers zijn MFA vereist voor netwerk-/externe toegang.
  • Alleen bevoegde gebruikers zijn MFA vereist voor lokale toegang. Als gewone gebruikersaccounts alleen beheerdersrechten hebben op hun computers, zijn ze geen 'bevoegd account' en hebben ze geen MFA nodig voor lokale toegang.

    U bent verantwoordelijk voor het configureren van voorwaardelijke toegang om meervoudige verificatie te vereisen. Schakel Microsoft Entra-verificatiemethoden in die voldoen aan AAL2 en hoger.
    Besturingselementen verlenen in beleid voor voorwaardelijke toegang
    Controleniveaus voor NIST-verificator bereiken met Microsoft Entra-id
    Verificatiemethoden en -functies
    		•
    IA. L2-3.5.4

    Practice statement: Gebruik replay-bestendige verificatiemechanismen voor netwerktoegang tot bevoegde en niet-bevoegde accounts.

    Doelstellingen:
    Bepalen of:
    [a.] Replay-bestendige verificatiemechanismen worden geïmplementeerd voor netwerkaccounttoegang tot bevoegde en niet-bevoegde accounts.    		 Alle Microsoft Entra-verificatiemethoden bij AAL2 en hoger zijn bestand tegen opnieuw afspelen.
    Controleniveaus voor NIST-verificator bereiken met Microsoft Entra-id
    IA. L2-3.5.5

    Praktijkinstructie: Hergebruik van id's voor een gedefinieerde periode voorkomen.

    Doelstellingen:
    Bepalen of:
    [a.] een periode waarin id's niet opnieuw kunnen worden gebruikt, wordt gedefinieerd; En
    [b.] hergebruik van id's wordt voorkomen binnen de gedefinieerde periode.    		 Alle gebruikers, groepen, apparaatobjecten globally unique identifiers (GUID's) zijn gegarandeerd uniek en niet herbruikbaar voor de levensduur van de Microsoft Entra-tenant.
    gebruikersresourcetype - Microsoft Graph v1.0
    groepsresourcetype - Microsoft Graph v1.0
    resourcetype apparaat - Microsoft Graph v1.0
    IA. L2-3.5.6

    Oefeninstructie: Id's uitschakelen na een gedefinieerde periode van inactiviteit.

    Doelstellingen:
    Bepalen of:
    [a.] een periode van inactiviteit waarna een id is uitgeschakeld; En
    [b.] id's worden uitgeschakeld na de gedefinieerde periode van inactiviteit.    		 Implementeer automatisering van accountbeheer met Microsoft Graph en Microsoft Graph PowerShell SDK. Gebruik Microsoft Graph om aanmeldingsactiviteiten en Microsoft Graph PowerShell SDK te controleren om binnen de vereiste periode actie te ondernemen op accounts.

    Inactiviteit bepalen
    Inactieve gebruikersaccounts beheren in Microsoft Entra-id
    Verlopen apparaten beheren in Microsoft Entra-id

    Accounts verwijderen of uitschakelen
    Werken met gebruikers in Microsoft Graph
    Een gebruiker ophalen
    Gebruiker bijwerken
    Een gebruiker verwijderen

    Werken met apparaten in Microsoft Graph
    Apparaat ophalen
    Apparaat bijwerken
    Apparaat verwijderen

    De Microsoft Graph PowerShell SDK gebruiken
    Get-MgUser
    Update-MgUser
    Get-MgDevice
    Update-MgDevice
    IA. L2-3.5.7

    Oefeninstructie:

    Doelstellingen: dwing een minimale wachtwoordcomplexiteit en wijziging van tekens af wanneer er nieuwe wachtwoorden worden gemaakt.
    Bepalen of:
    [a.] vereisten voor wachtwoordcomplexiteit worden gedefinieerd;
    [b.] wachtwoordwijziging van tekenvereisten wordt gedefinieerd;
    [c.] minimale vereisten voor wachtwoordcomplexiteit zoals gedefinieerd worden afgedwongen wanneer nieuwe wachtwoorden worden gemaakt; En
    [d.] minimale wachtwoordwijziging van tekenvereisten zoals gedefinieerd, worden afgedwongen wanneer nieuwe wachtwoorden worden gemaakt.

    IA. L2-3.5.8

    Praktijkverklaring: Wachtwoorden voor een opgegeven aantal generaties verbieden.

    Doelstellingen:
    Bepalen of:
    [a.] het aantal generaties waarin een wachtwoord niet opnieuw kan worden gebruikt, wordt opgegeven; En
    [b.] het opnieuw gebruiken van wachtwoorden is verboden tijdens het opgegeven aantal generaties.    		 We raden strategieën zonder wachtwoord sterk aan . Dit besturingselement is alleen van toepassing op wachtwoordverificators, dus als u wachtwoorden verwijdert als een beschikbare verificator, wordt dit besturingselement niet van toepassing.

    Per NIST SP 800-63 B Sectie 5.1.1: Onderhoud een lijst met veelgebruikte, verwachte of gecompromitteerde wachtwoorden.

    Met Microsoft Entra-wachtwoordbeveiliging worden standaard algemene lijsten met verboden wachtwoorden automatisch toegepast op alle gebruikers in een Microsoft Entra-tenant. Ter ondersteuning van uw bedrijfs- en beveiligingsbehoeften kunt u vermeldingen definiëren in een aangepaste lijst met verboden wachtwoorden. Wanneer gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze lijsten met verboden wachtwoorden gecontroleerd om het gebruik van sterke wachtwoorden af te dwingen.
    Voor klanten die strikte wijziging van wachtwoordtekens vereisen, gebruiken wachtwoordhergebruik en complexiteitsvereisten hybride accounts die zijn geconfigureerd met Password-Hash-Sync. Deze actie zorgt ervoor dat de wachtwoorden die zijn gesynchroniseerd met Microsoft Entra ID, de beperkingen overnemen die zijn geconfigureerd in het Active Directory-wachtwoordbeleid. Beveilig on-premises wachtwoorden verder door on-premises Microsoft Entra-wachtwoordbeveiliging te configureren voor Active Directory-domein Services.
    NIST Special Publicatie 800-63 B
    NIST Special Publicatie 800-53 Revisie 5 (IA-5 - Verbetering van besturingselementen (1)
    Ongeldige wachtwoorden elimineren met Microsoft Entra-wachtwoordbeveiliging
    Wat is wachtwoord-hashsynchronisatie met Microsoft Entra-id?
    IA. L2-3.5.9

    Oefeninstructie: sta tijdelijk wachtwoordgebruik toe voor systeemaanmeldingen met een onmiddellijke wijziging in een permanent wachtwoord.

    Doelstellingen:
    Bepalen of:
    [a.] een onmiddellijke wijziging van een permanent wachtwoord is vereist wanneer een tijdelijk wachtwoord wordt gebruikt voor systeemaanmelding.    		 Een initiële wachtwoord van een Microsoft Entra-gebruiker is een tijdelijk wachtwoord voor eenmalig gebruik dat onmiddellijk moet worden gewijzigd in een permanent wachtwoord. Microsoft moedigt de acceptatie van verificatiemethoden zonder wachtwoord sterk aan. Gebruikers kunnen verificatiemethoden zonder wachtwoord opstarten met behulp van tijdelijke toegangspas (TAP). TAP is een tijd en gebruik een beperkte wachtwoordcode die is uitgegeven door een beheerder die voldoet aan sterke verificatievereisten. Het gebruik van verificatie zonder wachtwoord, samen met de tijd en het gebruik van beperkte TAP, elimineert het gebruik van wachtwoorden (en het hergebruik ervan).
    Gebruikers toevoegen of verwijderen
    Een tijdelijke toegangspas in Microsoft Entra-id configureren om verificatiemethoden zonder wachtwoord te registreren
    Verificatie zonder wachtwoord
    IA. L2-3.5.10

    Oefeninstructie: Alleen cryptografisch beveiligde wachtwoorden opslaan en verzenden.

    Doelstellingen:
    Bepalen of:
    [a.] wachtwoorden worden cryptografisch beveiligd in de opslag; En
    [b.] wachtwoorden worden cryptografisch beveiligd tijdens overdracht.    		 Geheime versleuteling at rest:
    Naast versleuteling op schijfniveau worden geheimen die zijn opgeslagen in de map versleuteld met DKM (Distributed Key Manager). De versleutelingssleutels worden opgeslagen in het Microsoft Entra-kernarchief en worden op zijn beurt versleuteld met een schaaleenheidsleutel. De sleutel wordt opgeslagen in een container die is beveiligd met map-ACL's, voor gebruikers met de hoogste bevoegdheden en specifieke services. De symmetrische sleutel wordt doorgaans om de zes maanden geroteerd. Toegang tot de omgeving wordt verder beveiligd met operationele besturingselementen en fysieke beveiliging.

    Versleuteling in transit:
    Om gegevensbeveiliging te garanderen, worden Directory-gegevens in Microsoft Entra ID ondertekend en versleuteld tijdens de overdracht tussen datacenters binnen een schaaleenheid. De gegevens worden versleuteld en niet versleuteld door de Microsoft Entra Core Store-laag, die zich in beveiligde serverhostinggebieden van de bijbehorende Microsoft-datacenters bevindt.

    Klantgerichte webservices worden beveiligd met het TLS-protocol (Transport Layer Security).
    Downloadoverwegingen voor gegevensbescherming - Gegevensbeveiliging voor meer informatie. Op pagina 15 zijn er meer details.
    Wachtwoordhashsynchronisatie ongedaan maken (microsoft.com)
    Beveiligingsoverwegingen voor Microsoft Entra-gegevens
    IA. L2-3.5.11

    Oefenverklaring: Verdoezel feedback van verificatiegegevens.

    Doelstellingen:
    Bepalen of:
    [a.] verificatiegegevens worden verborgen tijdens het verificatieproces.    		 Microsoft Entra ID verhult standaard alle feedback van authenticatoren.

    Volgende stappen