Udostępnij za pośrednictwem

NIST authenticator assurance level 3 by using Microsoft Entra ID

  • Artykuł

Skorzystaj z informacji podanych w tym artykule dla narodowego Instytutu Standardów i Technologii (NIST) na poziomie uwierzytelniania 3 (AAL3).

Przed uzyskaniem usługi AAL2 możesz przejrzeć następujące zasoby:

  • Omówienie aplikacji NIST: Omówienie poziomów AAL
  • Podstawy uwierzytelniania: Terminologia i typy uwierzytelniania
  • Typy wystawców uwierzytelnianych NIST: typy wystawców uwierzytelnianych
  • Listy AALS NIST: składniki AAL i metody uwierzytelniania entra firmy Microsoft

Dozwolone typy wystawców uwierzytelnionych

Użyj metod uwierzytelniania firmy Microsoft, aby spełnić wymagane typy wystawców uwierzytelnienia NIST.

Metody uwierzytelniania Microsoft Entra Typ wystawcy uwierzytelniającego NIST
Zalecane metody
Certyfikat chroniony sprzętem (smartcard/klucz zabezpieczeń/moduł TPM)
Klucz zabezpieczeń FIDO 2
Windows Hello dla firm ze sprzętowymi modułami TPM
Poświadczenia platformy dla systemu macOS		 Sprzęt kryptograficzny wieloskładnikowy
Dodatkowe metody
Hasło
I
— Firma Microsoft Entra dołączyła do sprzętowego modułu TPM
- OR
— Dołączone hybrydowo do firmy Microsoft z sprzętowym modułem TPM		 Zapamiętany wpis tajny
I
Sprzęt kryptograficzny jednoskładnikowy
Hasło
I
Tokeny sprzętowe OATH (wersja zapoznawcza)
I
- Certyfikat oprogramowania jednoskładnikowego
- OR
— Dołączone hybrydowo lub zgodne urządzenie firmy Microsoft z oprogramowaniem TPM		 Zapamiętany wpis tajny
I
Sprzęt OTP jednoskładnikowy
I
Oprogramowanie kryptograficzne jednoskładnikowe

Zalecenia

W przypadku usługi AAL3 zalecamy użycie sprzętu kryptograficznego wieloskładnikowego, który zapewnia uwierzytelnianie bez hasła eliminujące największą powierzchnię ataków, hasło.

Aby uzyskać wskazówki, zobacz Planowanie wdrożenia uwierzytelniania bez hasła w usłudze Microsoft Entra ID. Zobacz również Windows Hello dla firm przewodnik wdrażania.

Walidacja standardu FIPS 140

Wymagania weryfikatora

Microsoft Entra ID używa ogólnego modułu kryptograficznego zweryfikowanego na poziomie 1 fiPS 1 w systemie Windows FIPS 1 na potrzeby operacji kryptograficznych uwierzytelniania, dzięki czemu microsoft Entra ID jest zgodnym weryfikatorem.

Wymagania dotyczące wystawcy uwierzytelniającego

Wymagania dotyczące uwierzytelniania sprzętowego sprzętu jednoskładnikowego i wieloskładnikowego.

Sprzęt kryptograficzny jednoskładnikowy

Wystawcy uwierzytelnień muszą być następujące:

  • FiPS 140 Poziom 1 — ogólny lub wyższy

  • Zabezpieczenia fizyczne fiPS 140 poziom 3 lub wyższy

Urządzenia dołączone do firmy Microsoft Entra i dołączone hybrydowe urządzenia firmy Microsoft Entra spełniają następujące wymagania, gdy:

  • System Windows jest uruchamiany w trybie zatwierdzonym przez standard FIPS-140

  • Na maszynie z modułem TPM, który jest ogólnie na poziomie 140 FIPS 140 lub nowszym z zabezpieczeniami fizycznymi fiPS 140 poziom 3

    • Znajdź zgodne moduły TPM: wyszukaj moduł TPM i moduł TPM w programie weryfikacji modułu kryptograficznego.

Skontaktuj się z dostawcą urządzeń przenośnych, aby dowiedzieć się więcej o zgodności z standardem FIPS 140.

Sprzęt kryptograficzny wieloskładnikowy

Wystawcy uwierzytelnień muszą być następujące:

  • FiPS 140 Poziom 2 — ogólny lub wyższy

  • Zabezpieczenia fizyczne fiPS 140 poziom 3 lub wyższy

Klucze zabezpieczeń FIDO 2, karty inteligentne i Windows Hello dla firm mogą pomóc spełnić te wymagania.

  • Dostawcy kluczy FIDO2 znajdują się w certyfikacie FIPS. Zalecamy przejrzenie listy obsługiwanych dostawców kluczy FIDO2. Skontaktuj się z dostawcą, aby uzyskać bieżący stan weryfikacji standardu FIPS.

  • Karty inteligentne to sprawdzona technologia. Wiele produktów dostawcy spełnia wymagania FIPS.

Windows Hello for Business

Standard FIPS 140 wymaga, aby granica kryptograficzna, w tym oprogramowanie, oprogramowanie układowe i sprzęt, znajdowały się w zakresie oceny. Systemy operacyjne Windows mogą być sparowane z tysiącami tych kombinacji. W związku z tym nie jest możliwe, aby firma Microsoft mogła zweryfikować Windows Hello dla firm na poziomie zabezpieczeń 140 FIPS 2. Klienci federalni powinni przeprowadzać oceny ryzyka i oceniać każdy z następujących certyfikatów składników w ramach akceptacji ryzyka przed zaakceptowaniem tej usługi jako AAL3:

  • Systemy Windows 10 i Windows Server korzystają z profilu ochrony zatwierdzonej przez rząd USA dla systemów operacyjnych ogólnego przeznaczenia w wersji 4.2.1 z krajowego partnerstwa w zakresie zapewniania informacji (NIAP). Ta organizacja nadzoruje krajowy program oceny komercyjnych produktów technologii informacyjnych off-the-shelf (COTS) pod kątem zgodności z międzynarodowymi wspólnymi kryteriami.

  • Biblioteka kryptograficzna systemu Windows ma standard FIPS Level 1 Ogólne w programie weryfikacjimodułów kryptograficznych NIST (CMVP), wspólne wysiłki między NIST i Canadian Center for Cyber Security. Ta organizacja weryfikuje moduły kryptograficzne zgodnie ze standardami FIPS.

  • Wybierz moduł TPM (Trusted Platform Module), który jest ogólnie dostępny w standardach FIPS 140 Level 2 i FIPS 140 Level 3 Physical Security. Twoja organizacja zapewnia, że sprzętowy moduł TPM spełnia wymagane wymagania dotyczące poziomu AAL.

Aby określić moduły TPM spełniające bieżące standardy, przejdź do strony Program weryfikacji modułu kryptograficznego centrum zabezpieczeń komputerów NIST. W polu Nazwa modułu wprowadź ciąg Trusted Platform Module (Moduł zaufanej platformy), aby uzyskać listę sprzętowych modułów TPM spełniających standardy.

Logowanie jednokrotne platformy systemu MacOS

Standard FIPS 140 Security Level 2 jest implementowany dla systemu macOS 13 co najmniej, a większość nowych urządzeń implementuje poziom 3. Zalecamy odwołanie się do certyfikatów platformy firmy Apple. Ważne jest, aby pamiętać o poziomie zabezpieczeń na urządzeniu.

Ponowne uwierzytelnianie

W przypadku usługi AAL3 wymagania NIST są ponownie uwierzytelniane co 12 godzin, niezależnie od aktywności użytkownika. Ponowne uwierzytelnianie jest wymagane po upływie 15 minut lub dłużej okresu braku aktywności. Prezentowanie obu czynników jest wymagane.

Aby spełnić wymagania dotyczące ponownego uwierzytelniania, niezależnie od aktywności użytkownika, firma Microsoft zaleca skonfigurowanie częstotliwości logowania użytkownika do 12 godzin.

Usługa NIST umożliwia kontrolę wyrównujących w celu potwierdzenia obecności subskrybenta:

  • Ustaw czas braku aktywności sesji na poziomie 15 minut: Zablokuj urządzenie na poziomie systemu operacyjnego przy użyciu programu Microsoft Configuration Manager, obiektu zasad grupy (GPO) lub usługi Intune. Aby subskrybent go odblokował, wymagaj uwierzytelniania lokalnego.

  • Ustaw limit czasu, niezależnie od działania, uruchamiając zaplanowane zadanie przy użyciu programu Configuration Manager, obiektu zasad grupy lub usługi Intune. Zablokuj maszynę po 12 godzinach, niezależnie od aktywności.

Opór man-in-the-middle

Komunikacja między oświadczeniem a identyfikatorem Entra firmy Microsoft odbywa się za pośrednictwem uwierzytelnionego, chronionego kanału odpornego na ataki typu man-in-the-middle (MitM). Ta konfiguracja spełnia wymagania odporności mitM dla AAL1, AAL2 i AAL3.

Opór personifikacji weryfikatora

Metody uwierzytelniania entra firmy Microsoft, które spełniają usługę AAL3, używają kryptograficznych wystawców uwierzytelnienia, które wiążą dane wyjściowe wystawcy uwierzytelnienia z uwierzytelnionymi sesjami. Metody używają klucza prywatnego kontrolowanego przez oświadczenia. Klucz publiczny jest znany weryfikatorowi. Ta konfiguracja spełnia wymagania odporności personifikatora weryfikatora dla usługi AAL3.

Odporność na naruszenia zabezpieczeń weryfikatora

Wszystkie metody uwierzytelniania entra firmy Microsoft spełniające wymagania AAL3:

  • Użyj wystawcy uwierzytelniania kryptograficznego, który wymaga, aby weryfikator przechowywał klucz publiczny odpowiadający kluczowi prywatnemu przechowywanemu przez wystawcę uwierzytelniającego
  • Przechowywanie oczekiwanych danych wyjściowych wystawcy uwierzytelnienia przy użyciu zweryfikowanych algorytmów skrótu FIPS-140

Aby uzyskać więcej informacji, zobacz Microsoft Entra Data Security Considerations (Zagadnienia dotyczące zabezpieczeń danych firmy Microsoft).

Odporność odtwarzania

Metody uwierzytelniania entra firmy Microsoft, które spełniają usługę AAL3, używają rozwiązań innych niż lub wyzwań. Te metody są odporne na ataki replay, ponieważ weryfikator może wykrywać ponownie odtwarzane transakcje uwierzytelniania. Takie transakcje nie będą zawierać wymaganych danych innych niż ani osi czasu.

Intencja uwierzytelniania

Wymaganie intencji uwierzytelniania utrudnia korzystanie bezpośrednio z fizycznych wystawców uwierzytelnienia, takich jak sprzęt kryptograficzny wieloskładnikowy, bez wiedzy podmiotu (na przykład przez złośliwe oprogramowanie w punkcie końcowym). Metody firmy Microsoft Entra, które spełniają usługę AAL3, wymagają wprowadzania numeru PIN lub biometrii przez użytkownika demonstrujących intencję uwierzytelniania.

Następne kroki

Omówienie NIST

Dowiedz się więcej o listach AALS

Informacje podstawowe o uwierzytelnianiu

Typy wystawców uwierzytelnianych NIST

Uzyskiwanie identyfikatora NIST AAL1 przy użyciu identyfikatora Entra firmy Microsoft

Osiągnięcie NIST AAL2 przy użyciu identyfikatora Entra firmy Microsoft