Garantia do autenticador NIST nível 3 usando o Microsoft Entra ID
Use as informações neste artigo para o nível 3 de garantia do autenticador do National Institute of Standards and Technology (NIST) (AAL3).
Antes de obter o AAL2, você pode revisar os seguintes recursos:
- Visão geral do NIST: Compreender os níveis de AAL
- Noções básicas de autenticação: terminologia e tipos de autenticação
- Tipos de autenticador NIST: Tipos de autenticador
- AALs NIST: componentes AAL e métodos de autenticação Microsoft Entra
Tipos de autenticador permitidos
Use os métodos de autenticação da Microsoft para atender aos tipos de autenticador NIST necessários.
| Métodos de autenticação do Microsoft Entra | Tipo de autenticador NIST |
|---|---|
| Métodos recomendados | |
| Certificado protegido por hardware (cartão inteligente/chave de segurança/TPM) Chave de segurança FIDO 2 Windows Hello para Empresas com TPM de hardware Credenciais da plataforma para macOS |
Hardware criptográfico multifator |
| Métodos adicionais | |
| Palavra-passe E AINDA - Microsoft Entra juntou-se com hardware TPM - OU - Microsoft Entra híbrido unido com hardware TPM |
Segredo memorizado E AINDA Hardware criptográfico de fator único |
| Palavra-passe E AINDA Tokens de hardware OATH (Pré-visualização) E AINDA - Certificado de software de fator único - OU - Microsoft Entra dispositivo híbrido unido ou compatível com software TPM |
Segredo memorizado E AINDA Hardware OTP de fator único E AINDA Software criptográfico de fator único |
Recomendações
Para AAL3, recomendamos o uso de um autenticador de hardware criptográfico multifator que fornece autenticação sem senha eliminando a maior superfície de ataque, a senha.
Para obter orientação, consulte Planejar uma implantação de autenticação sem senha no Microsoft Entra ID. Consulte também o guia de implantação do Windows Hello for Business.
Validação FIPS 140
Requisitos do verificador
O Microsoft Entra ID usa o módulo criptográfico validado geral do Windows FIPS 140 Nível 1 para suas operações criptográficas de autenticação, tornando o Microsoft Entra ID um verificador compatível.
Requisitos do autenticador
Requisitos do autenticador de hardware criptográfico de fator único e multifator.
Hardware criptográfico de fator único
Os autenticadores devem ser:
FIPS 140 Nível 1 Geral ou superior
FIPS 140 Nível 3 Segurança Física, ou superior
Os dispositivos associados ao Microsoft Entra e híbridos do Microsoft Entra atendem a esse requisito quando:
Executar o Windows em um modo aprovado FIPS-140
Em uma máquina com um TPM FIPS 140 Nível 1 Geral ou superior, com FIPS 140 Nível 3 Segurança Física
- Encontre TPMs compatíveis: procure por Trusted Platform Module e TPM no Cryptographic Module Validation Program.
Consulte o fornecedor do seu dispositivo móvel para saber mais sobre a sua adesão ao FIPS 140.
Hardware criptográfico multifator
Os autenticadores devem ser:
FIPS 140 Nível 2 Geral ou superior
FIPS 140 Nível 3 Segurança Física, ou superior
As chaves de segurança FIDO 2, os cartões inteligentes e o Windows Hello for Business podem ajudá-lo a atender a esses requisitos.
Os principais fornecedores FIDO2 estão na certificação FIPS. Recomendamos que você revise a lista de fornecedores de chaves FIDO2 suportados. Consulte seu provedor para obter o status atual da validação FIPS.
Os cartões inteligentes são uma tecnologia comprovada. Vários produtos de fornecedores atendem aos requisitos FIPS.
- Saiba mais sobre o Programa de Validação de Módulos Criptográficos
Windows Hello para empresas
O FIPS 140 exige que o limite criptográfico, incluindo software, firmware e hardware, esteja no escopo para avaliação. Os sistemas operacionais Windows podem ser emparelhados com milhares dessas combinações. Como tal, não é viável para a Microsoft ter o Windows Hello for Business validado no FIPS 140 Security Level 2. Os clientes federais devem realizar avaliações de risco e avaliar cada uma das seguintes certificações de componentes como parte de sua aceitação de risco antes de aceitar este serviço como AAL3:
O Windows 10 e o Windows Server usam o Perfil de Proteção Aprovado pelo Governo dos EUA para Sistemas Operacionais de Uso Geral Versão 4.2.1 da National Information Assurance Partnership (NIAP). Esta organização supervisiona um programa nacional para avaliar produtos comerciais de tecnologia da informação prontos para uso (COTS) para conformidade com os Critérios Comuns internacionais.
A BibliotecaCriptográfica do Windows tem FIPS Nível 1 Geral no NIST Cryptographic Module Validation Program (CMVP), um esforço conjunto entre o NIST e o Canadian Center for Cyber Security. Esta organização valida módulos criptográficos em relação aos padrões FIPS.
Escolha um TPM (Trusted Platform Module) que seja FIPS 140 Nível 2 Geral e FIPS 140 Nível 3 Segurança Física. Sua organização garante que o TPM de hardware atenda aos requisitos de nível AAL desejados.
Para determinar os TPMs que atendem aos padrões atuais, vá para NIST Computer Security Resource Center Cryptographic Module Validation Program. Na caixa Nome do módulo, insira Trusted Platform Module para obter uma lista de TPMs de hardware que atendem aos padrões.
SSO da plataforma MacOS
O FIPS 140 Security Level 2 é implementado para macOS 13 no mínimo, com a maioria dos novos dispositivos implementando o Nível 3. Recomendamos que consulte as Certificações da plataforma Apple. É importante que esteja ciente do nível de segurança no seu dispositivo.
Reautenticação
Para AAL3, os requisitos do NIST são reautenticação a cada 12 horas, independentemente da atividade do usuário. A reautenticação é necessária após um período de inatividade de 15 minutos ou mais. É necessário apresentar ambos os fatores.
Para atender ao requisito de reautenticação, independentemente da atividade do usuário, a Microsoft recomenda configurar a frequência de entrada do usuário para 12 horas.
O NIST permite controlos de compensação para confirmar a presença do subscritor:
Defina um tempo de inatividade da sessão de 15 minutos: bloqueie o dispositivo no nível do sistema operacional usando o Microsoft Configuration Manager, o GPO (Objeto de Política de Grupo) ou o Intune. Para que o assinante o desbloqueie, exija autenticação local.
Defina o tempo limite, independentemente da atividade, executando uma tarefa agendada usando o Configuration Manager, GPO ou Intune. Bloqueie a máquina após 12 horas, independentemente da atividade.
Resistência homem-no-meio
As comunicações entre o requerente e o Microsoft Entra ID são feitas através de um canal autenticado e protegido para resistência a ataques man-in-the-middle (MitM). Esta configuração satisfaz os requisitos de resistência MitM para AAL1, AAL2 e AAL3.
Resistência à representação do verificador
Os métodos de autenticação do Microsoft Entra que atendem ao AAL3 usam autenticadores criptográficos que vinculam a saída do autenticador à sessão que está sendo autenticada. Os métodos utilizam uma chave privada controlada pelo requerente. A chave pública é conhecida pelo verificador. Essa configuração satisfaz os requisitos de resistência de representação do verificador para AAL3.
Resistência ao compromisso do verificador
Todos os métodos de autenticação do Microsoft Entra que atendem AAL3:
- Use um autenticador criptográfico que exija que o verificador armazene uma chave pública correspondente a uma chave privada mantida pelo autenticador
- Armazene a saída esperada do autenticador usando algoritmos de hash validados pelo FIPS-140
Para obter mais informações, consulte Considerações sobre segurança de dados do Microsoft Entra.
Resistência à repetição
Os métodos de autenticação do Microsoft Entra que atendem ao AAL3 usam nonce ou desafios. Esses métodos são resistentes a ataques de repetição porque o verificador pode detetar transações de autenticação repetidas. Essas transações não conterão os dados necessários de nonce ou pontualidade.
Intenção de autenticação
Exigir a intenção de autenticação torna mais difícil para autenticadores físicos conectados diretamente, como hardware criptográfico multifator, serem usados sem o conhecimento do sujeito (por exemplo, por malware no ponto de extremidade). Os métodos Microsoft Entra que atendem ao AAL3 exigem a entrada do usuário de pino ou biometria, demonstrando a intenção de autenticação.
Próximos passos
Noções básicas de autenticação