NIST authenticator assurance level 2 with Microsoft Entra ID

  • Artykuł

National Institute of Standards and Technology (NIST) rozwija wymagania techniczne dla amerykańskich agencji federalnych wdrażających rozwiązania tożsamości. Organizacje współpracujące z agencjami federalnymi muszą spełniać te wymagania.

Przed rozpoczęciem uwierzytelniania assurance level 2 (AAL2) można zobaczyć następujące zasoby:

  • Omówienie aplikacji NIST: Omówienie poziomów AAL
  • Podstawy uwierzytelniania: Terminologia i typy uwierzytelniania
  • Typy wystawców uwierzytelnianych NIST: typy wystawców uwierzytelnianych
  • Listy AALS NIST: składniki AAL i metody uwierzytelniania entra firmy Microsoft

Dozwolone typy wystawców uwierzytelnianych AAL2

W poniższej tabeli są dozwolone typy wystawców uwierzytelnianych dla usługi AAL2:

Metoda uwierzytelniania Firmy Microsoft Entra Typ wystawcy uwierzytelniającego NIST
Zalecane metody
Certyfikat oprogramowania wieloskładnikowego (chroniony numerEM PIN)
Windows Hello dla firm z oprogramowaniem Trusted Platform Module (TPM)		 Oprogramowanie kryptograficzne wieloskładnikowe
Certyfikat chroniony sprzętem (smartcard/klucz zabezpieczeń/moduł TPM)
Klucz zabezpieczeń FIDO 2
Windows Hello dla firm ze sprzętowymi modułami TPM		 Sprzęt kryptograficzny wieloskładnikowy
Aplikacja Microsoft Authenticator (bez hasła) Wieloskładnikowe poza pasmem
Dodatkowe metody
Hasło
I
— Aplikacja Microsoft Authenticator (powiadomienie wypychane)
- OR
— Microsoft Authenticator Lite (powiadomienie wypychane)
- OR
- Telefon (SMS)		 Zapamiętany wpis tajny
I
Poza pasmem pojedynczego czynnika
Hasło
I
— Tokeny sprzętowe OATH (wersja zapoznawcza)
- OR
— Aplikacja Microsoft Authenticator (OTP)
- OR
- Microsoft Authenticator Lite (OTP)
- OR
- Tokeny oprogramowania OATH		 Zapamiętany wpis tajny
I
OTP jednoskładnikowe
Hasło
I
- Certyfikat oprogramowania jednoskładnikowego
- OR
— Firma Microsoft Entra dołączyła do programowego modułu TPM
- OR
- Microsoft Entra hybrid joined with software TPM (Dołączone hybrydowo do firmy Microsoft z oprogramowaniem TPM)
- OR
— Zgodne urządzenie przenośne		 Zapamiętany wpis tajny
I
Oprogramowanie kryptograficzne jednoskładnikowe
Hasło
I
— Firma Microsoft Entra dołączyła do sprzętowego modułu TPM
- OR
— Dołączone hybrydowo do firmy Microsoft z sprzętowym modułem TPM		 Zapamiętany wpis tajny
I
Sprzęt kryptograficzny jednoskładnikowy

Uwaga

Obecnie aplikacja Microsoft Authenticator sama nie jest odporna na wyłudzanie informacji. Aby uzyskać ochronę przed zewnętrznymi zagrożeniami wyłudzającymi informacje podczas korzystania z aplikacji Microsoft Authenticator, należy dodatkowo skonfigurować zasady dostępu warunkowego wymagające urządzenia zarządzanego.

Zalecenia dotyczące usługi AAL2

W przypadku usługi AAL2 należy użyć sprzętu kryptograficznego wieloskładnikowego lub wystawców uwierzytelnień oprogramowania. Uwierzytelnianie bez hasła eliminuje największą powierzchnię ataków (hasło) i oferuje użytkownikom uproszczoną metodę uwierzytelniania.

Aby uzyskać wskazówki dotyczące wybierania metody uwierzytelniania bez hasła, zobacz Planowanie wdrożenia uwierzytelniania bez hasła w usłudze Microsoft Entra ID. Zobacz również przewodnik wdrażania Windows Hello dla firm

Walidacja standardu FIPS 140

Skorzystaj z poniższych sekcji, aby dowiedzieć się więcej o weryfikacji standardu FIPS 140.

Wymagania weryfikatora

Microsoft Entra ID używa ogólnego modułu kryptograficznego zweryfikowanych w systemie Windows FIPS 140 poziom 1 na potrzeby operacji kryptograficznych uwierzytelniania. W związku z tym jest to weryfikator zgodny ze standardem FIPS 140 wymagany przez agencje rządowe.

Wymagania dotyczące wystawcy uwierzytelniającego

Uwierzytelnianie kryptograficzne agencji rządowej jest weryfikowane dla fiPS 140 level 1 ogólnie. To wymaganie nie dotyczy agencji pozarządowych. Następujące wystawcy uwierzytelnień firmy Microsoft spełniają wymagania podczas uruchamiania w systemie Windows w trybie zatwierdzonym przez standard FIPS 140:

  • Hasło

  • Firma Microsoft Entra dołączyła do oprogramowania lub sprzętowego modułu TPM

  • Rozwiązanie hybrydowe firmy Microsoft Entra dołączone do oprogramowania lub sprzętowego modułu TPM

  • Windows Hello dla firm z oprogramowaniem lub sprzętowym modułem TPM

  • Certyfikat przechowywany w oprogramowaniu lub sprzęcie (karta inteligentna/klucz zabezpieczeń/moduł TPM)

Aplikacja Microsoft Authenticator jest zgodna ze standardem FIPS 140 w systemie iOS. Zgodność ze standardem FIPS 140 systemu Android jest w toku. Aby uzyskać więcej informacji na temat zweryfikowanych modułów kryptograficznych FIPS używanych przez aplikację Microsoft Authenticator, zobacz Aplikacja Microsoft Authenticator

W przypadku tokenów sprzętowych i kart inteligentnych OATH zalecamy skontaktowanie się z dostawcą w celu uzyskania bieżącego stanu weryfikacji standardu FIPS.

Dostawcy kluczy zabezpieczeń FIDO 2 znajdują się w różnych etapach certyfikacji FIPS. Zalecamy przejrzenie listy obsługiwanych dostawców kluczy FIDO 2. Skontaktuj się z dostawcą, aby uzyskać bieżący stan weryfikacji standardu FIPS.

Ponowne uwierzytelnianie

W przypadku usługi AAL2 wymaganie NIST jest ponownie uwierzytelniane co 12 godzin, niezależnie od aktywności użytkownika. Ponowne uwierzytelnianie jest wymagane po upływie 30 minut lub dłużej. Ponieważ wpis tajny sesji jest czymś, co masz, prezentowanie czegoś, co wiesz lub które są, jest wymagane.

Aby spełnić wymagania dotyczące ponownego uwierzytelniania, niezależnie od aktywności użytkownika, firma Microsoft zaleca skonfigurowanie częstotliwości logowania użytkownika do 12 godzin.

Za pomocą narzędzia NIST możesz użyć kontrolek wyrównujących, aby potwierdzić obecność subskrybenta:

  • Ustaw limit czasu braku aktywności sesji na 30 minut: Zablokuj urządzenie na poziomie systemu operacyjnego przy użyciu programu Microsoft System Center Configuration Manager, obiektów zasad grupy (GPO) lub usługi Intune. Aby subskrybent go odblokował, wymagaj uwierzytelniania lokalnego.

  • Limit czasu niezależnie od działania: Uruchom zaplanowane zadanie (program Configuration Manager, obiekt zasad grupy lub usługę Intune), aby zablokować maszynę po 12 godzinach, niezależnie od działania.

Opór man-in-the-middle

Komunikacja między oświadczeniem a identyfikatorem Entra firmy Microsoft odbywa się za pośrednictwem uwierzytelnionego, chronionego kanału. Ta konfiguracja zapewnia odporność na ataki typu man-in-the-middle (MitM) i spełnia wymagania dotyczące odporności MitM dla AAL1, AAL2 i AAL3.

Odporność odtwarzania

Metody uwierzytelniania entra firmy Microsoft w usłudze AAL2 używają rozwiązań innych niż lub wyzwań. Metody opierają się atakom powtarzania, ponieważ weryfikator wykrywa odtwarzane transakcje uwierzytelniania. Takie transakcje nie będą zawierać potrzebnych danych innych niż ani osi czasu.

Następne kroki

Omówienie NIST

Dowiedz się więcej o listach AALS

Informacje podstawowe o uwierzytelnianiu

Typy wystawców uwierzytelnianych NIST

Uzyskiwanie identyfikatora NIST AAL1 za pomocą identyfikatora Entra firmy Microsoft

Uzyskiwanie identyfikatora NIST AAL2 za pomocą identyfikatora Entra firmy Microsoft

Uzyskiwanie identyfikatora NIST AAL3 za pomocą identyfikatora Entra firmy Microsoft