NIST authenticator assurance level 3 met behulp van Microsoft Entra ID
Gebruik de informatie in dit artikel voor National Institute of Standards and Technology (NIST) authenticator assurance level 3 (AAL3).
Voordat u AAL2 verkrijgt, kunt u de volgende resources bekijken:
- Overzicht van NIST: Inzicht in AAL-niveaus
- Basisbeginselen van verificatie: Terminologie en verificatietypen
- NIST-verificatortypen: Verificatortypen
- NIST AALs: AAL-onderdelen en Verificatiemethoden van Microsoft Entra
Toegestane verificatortypen
Gebruik Microsoft-verificatiemethoden om te voldoen aan de vereiste typen NIST-verificator.
| Verificatiemethoden Microsoft Entra. | Type NIST-verificator |
|---|---|
| Aanbevolen methoden | |
| Met hardware beveiligd certificaat (smartcard/beveiligingssleutel/TPM) FIDO 2-beveiligingssleutel Windows Hello voor Bedrijven met hardware-TPM Platformreferenties voor macOS |
Cryptografische hardware met meerdere factoren |
| Aanvullende methoden | |
| Wachtwoord EN - Microsoft Entra gekoppeld aan hardware TPM - OF - Microsoft Entra hybride gekoppeld met hardware TPM |
Memorized geheim EN Cryptografische hardware met één factor |
| Wachtwoord EN OATH-hardwaretokens (preview) EN - Single-Factor Software Certificate - OF - Aan Microsoft Entra toegevoegd of compatibel apparaat met SOFTWARE TPM |
Memorized geheim EN Hardware met één factor OTP EN Cryptografische software met één factor |
Aanbevelingen
Voor AAL3 raden we u aan om een cryptografische hardwareverificator met meerdere factoren te gebruiken die verificatie zonder wachtwoord biedt, waardoor het grootste aanvalsoppervlak, het wachtwoord, wordt geëlimineerd.
Zie Een implementatie van verificatie zonder wachtwoord plannen in Microsoft Entra-id voor hulp. Zie ook Windows Hello voor Bedrijven implementatiehandleiding.
FIPS 140-validatie
Vereisten voor verificator
Microsoft Entra ID maakt gebruik van de algemene gevalideerde cryptografische module van Windows FIPS 140 Niveau 1 voor de cryptografische verificatiebewerkingen, waardoor Microsoft Entra ID een compatibele verifier is.
Verificatorvereisten
Vereisten voor cryptografische hardwareverificator met één factor en meervoudige verificatie.
Cryptografische hardware met één factor
Verificators moeten het volgende zijn:
FIPS 140 Level 1 Overall of hoger
Fysieke beveiliging van FIPS 140 Niveau 3 of hoger
Aan Microsoft Entra gekoppelde en hybride apparaten van Microsoft Entra voldoen aan deze vereiste wanneer:
U voert Windows uit in een door FIPS-140 goedgekeurde modus
Op een computer met een TPM met FIPS 140 Niveau 1 Over het algemeen of hoger, met fysieke FIPS 140 Niveau 3-beveiliging
- Zoek compatibele TPM's: zoek naar Trusted Platform Module en TPM in het cryptografische modulevalidatieprogramma.
Raadpleeg de leverancier van uw mobiele apparaat voor meer informatie over de naleving van FIPS 140.
Cryptografische hardware met meerdere factoren
Verificators moeten het volgende zijn:
FIPS 140 Niveau 2 Algemeen of hoger
Fysieke beveiliging van FIPS 140 Niveau 3 of hoger
FIDO 2-beveiligingssleutels, smartcards en Windows Hello voor Bedrijven kunnen u helpen aan deze vereisten te voldoen.
FIDO2-sleutelproviders bevinden zich in FIPS-certificering. We raden u aan de lijst met ondersteunde FIDO2-sleutelleveranciers te bekijken. Neem contact op met uw provider voor de huidige FIPS-validatiestatus.
Smartcards zijn een bewezen technologie. Meerdere leveranciersproducten voldoen aan FIPS-vereisten.
- Meer informatie over het cryptografische modulevalidatieprogramma
Windows Hello voor Bedrijven
FIPS 140 vereist dat de cryptografische grens, inclusief software, firmware en hardware, binnen het bereik van evaluatie valt. Windows-besturingssystemen kunnen worden gekoppeld aan duizenden van deze combinaties. Daarom is het niet haalbaar dat Microsoft Windows Hello voor Bedrijven gevalideerd op FIPS 140-beveiligingsniveau 2. Federale klanten moeten risicoanalyses uitvoeren en elk van de volgende onderdeelcertificeringen evalueren als onderdeel van hun risicoacceptatie voordat ze deze service als AAL3 accepteren:
Windows 10 en Windows Server gebruiken het door de Amerikaanse overheid goedgekeurde beveiligingsprofiel voor besturingssystemen voor algemeen gebruik versie 4.2.1 van de National Information Assurance Partnership (NIAP). Deze organisatie houdt toezicht op een nationaal programma om commerciële off-the-shelf (COTS) informatietechnologieproducten te evalueren voor overeenstemming met de internationale gemeenschappelijke criteria.
Windows Cryptographic Libraryheeft FIPS Level 1 Overall in het NIST Cryptographic Module Validation Program (CMVP), een gezamenlijke inspanning tussen NIST en het Canadese Centrum voor Cyber Security. Deze organisatie valideert cryptografische modules op basis van FIPS-standaarden.
Kies een TRUSTED Platform Module (TPM) met FIPS 140 Level 2 Overall en FIPS 140 Level 3 Physical Security. Uw organisatie zorgt ervoor dat hardware-TPM voldoet aan de gewenste vereisten op AAL-niveau.
Als u de TPM's wilt bepalen die voldoen aan de huidige standaarden, gaat u naar het NIST Computer Security Resource Center Cryptographic Module Validation Program. Voer in het vak Modulenaam Trusted Platform Module in voor een lijst met hardware-TPM's die voldoen aan standaarden.
Eenmalige aanmelding voor MacOS Platform
FIPS 140 Security Level 2 wordt minimaal geïmplementeerd voor macOS 13, waarbij de meeste nieuwe apparaten niveau 3 implementeren. We raden u aan om te verwijzen naar de Apple Platform-certificeringen. Het is belangrijk dat u op de hoogte bent van het beveiligingsniveau op uw apparaat.
Verificatie opnieuw
Voor AAL3 worden NIST-vereisten elke 12 uur opnieuw geverifieerd, ongeacht de gebruikersactiviteit. Verificatie is vereist na een periode van inactiviteit van 15 minuten of langer. Beide factoren presenteren is vereist.
Om te voldoen aan de vereiste voor opnieuw verificatie, ongeacht de gebruikersactiviteit, raadt Microsoft aan om de aanmeldingsfrequentie van gebruikers te configureren tot 12 uur.
Met NIST kunnen compenserende besturingselementen de aanwezigheid van abonnees bevestigen:
Stel een time-out van 15 minuten in voor sessieinactiviteit: vergrendel het apparaat op besturingssysteemniveau met behulp van Microsoft Configuration Manager, Groepsbeleidsobject (GPO) of Intune. Voor de abonnee om deze te ontgrendelen, is lokale verificatie vereist.
Stel een time-out in, ongeacht de activiteit, door een geplande taak uit te voeren met Configuration Manager, GPO of Intune. Vergrendel de machine na 12 uur, ongeacht activiteit.
Man-in-the-middle weerstand
Communicatie tussen de eiser en Microsoft Entra-id is via een geverifieerd, beschermd kanaal voor weerstand tegen man-in-the-middle-aanvallen (MitM). Deze configuratie voldoet aan de MitM-weerstandsvereisten voor AAL1, AAL2 en AAL3.
Verifier-imitatieweerstand
Microsoft Entra-verificatiemethoden die voldoen aan AAL3 maken gebruik van cryptografische verificators die de verificatoruitvoer binden aan de sessie die wordt geverifieerd. De methoden gebruiken een persoonlijke sleutel die door de aanvrager wordt beheerd. De openbare sleutel is bekend bij de verifier. Deze configuratie voldoet aan de vereisten voor verifier-imitatieweerstand voor AAL3.
Verifier compromisweerstand
Alle Microsoft Entra-verificatiemethoden die voldoen aan AAL3:
- Een cryptografische verificator gebruiken waarvoor de verificator een openbare sleutel moet opslaan die overeenkomt met een persoonlijke sleutel die door de verificator wordt bewaard
- De verwachte verificatoruitvoer opslaan met behulp van fips-140 gevalideerde hash-algoritmen
Zie Microsoft Entra Data Security Considerations voor meer informatie.
Herhalingsweerstand
Microsoft Entra-verificatiemethoden die voldoen aan AAL3 maken gebruik van nonce of uitdagingen. Deze methoden zijn bestand tegen het opnieuw afspelen van aanvallen omdat de verifier opnieuw afgespeelde verificatietransacties kan detecteren. Dergelijke transacties bevatten niet de benodigde niet- of tijdigheidsgegevens.
Verificatieintentie
Het vereisen van verificatie-intenties maakt het moeilijker voor rechtstreeks verbonden fysieke verificators, zoals cryptografische hardware met meerdere factoren, om te worden gebruikt zonder dat het onderwerp op de hoogte is (bijvoorbeeld door malware op het eindpunt). Microsoft Entra-methoden die voldoen aan AAL3 vereisen gebruikersinvoer van pincode of biometrische gegevens, waarmee de verificatieintentie wordt gedemonstreerd.
Volgende stappen
De basisbeginselen van verificatie
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor