Garantia do autenticador de nível 2 do NIST com o Microsoft Entra ID
O NIST (National Institute of Standards and Technology) desenvolve requisitos técnicos para agências federais dos EUA que implementam soluções de identidade. As organizações que trabalham com agências federais devem atender a esses requisitos.
Antes de iniciar o nível 2 de garantia do autenticador (AAL2), consulte os recursos a seguir:
- Visão geral do NIST: entender os níveis de AAL
- Noções básicas de autenticação: tipos de terminologia e autenticação
- Tipos de autenticador NIST: tipos de autenticador
- AALs do NIST: componentes do AAL e métodos de autenticação do Microsoft Entra
Tipos permitidos de autenticadores de AAL2
A tabela a seguir tem tipos de autenticador permitidos para AAL2:
| Método de autenticação do Microsoft Entra | Tipos de Autenticadores do NIST |
|---|---|
| Métodos recomendados | |
| Certificado do Software Multifator (Protegido por PIN) Windows Hello para Empresas com o TPM (Módulo de Plataforma de Confiança) do software |
Software de criptografia multifator |
| Certificado protegido por hardware (smartcard/chave de segurança/TPM) Chave de segurança FIDO 2 Windows Hello para Empresas com o hardware TPM |
Hardware de criptografia multifator |
| Aplicativo Microsoft Authenticator (sem senha) | Multifator fora de banda |
| Métodos adicionais | |
| Senha AND - Aplicativo Microsoft Authenticator (notificação por push) - OR - Microsoft Authenticator Lite (Notificação por push) - OU - Telefone (SMS) |
Segredo memorizado AND Fator único fora de banda |
| Senha AND - Tokens de hardware OATH (versão prévia) - OR - Aplicativo Microsoft Authenticator (OTP) - OU - Microsoft Authenticator Lite (OTP) - OU - Tokens de software OATH |
Segredo memorizado AND - OTP de fator único |
| Senha AND - Certificado de software de fator único - OR - Microsoft Entra ingressado no TPM de software - OR - Microsoft Entra ingressado de modo híbrido no TPM de software - OR - Dispositivo móvel em conformidade |
Segredo memorizado AND Software de criptografia de fator único |
| Senha AND - Microsoft Entra ingressado no TPM de hardware - OR - Microsoft Entra híbrido ingressado com hardware TPM |
Segredo memorizado AND Hardware de criptografia de fator único |
Observação
Hoje, o Microsoft Authenticator por si só não é resistente a phishing. Além disso, você precisa configurar a política de Acesso Condicional que exige que o dispositivo gerenciado obtenha proteção contra ameaças de phishing externas.
Recomendações do AAL2
Para o AAL2, use os autenticadores de hardware ou software de criptografia multifator. A autenticação sem senha elimina a maior superfície de ataque (a senha) e oferece aos usuários um método simplificado para autenticar.
Para obter orientações sobre como selecionar um método de autenticação sem senha, consulte Como planejar uma implantação de autenticação sem senha no Microsoft Entra ID. Consulte também, Guia de implantação do Windows Hello para Empresas
Validação do FIPS 140
Use as seções a seguir para saber mais sobre a validação do FIPS 140.
Requisitos do verificador
O Microsoft Entra ID usa o módulo criptográfico geral validado do Nível 1 do Windows FIPS 140 as suas operações criptográficas de autenticação. Portanto, é um verificador em conformidade com o FIPS 140 exigido pelas agências governamentais.
Requisitos do autenticador
Os autenticadores criptográficos de agências governamentais são validados para o Nível 1 do FIPS 140 de forma geral. Este requisito não é para agências não governamentais. Os seguintes autenticadores do Microsoft Entra ID atendem ao requisito quando executados no Windows em um modo aprovado pelo FIPS 140:
Senha
Microsoft Entra ingressado com TPM de hardware ou software
Microsoft Entra ingressado de forma híbrida com TPM de software ou de hardware
Windows Hello para Empresas com TPM de hardware ou software
Certificado armazenado em software ou hardware (smartcard/chave de segurança/TPM)
O aplicativo Microsoft Authenticator está em conformidade com FIPS 140 no iOS. A conformidade com o Android FIPS 140 está em andamento. Para obter mais informações sobre os módulos criptográficos validados pelo FIPS usados pelo Microsoft Authenticator, consulte Aplicativo Microsoft Authenticator
Para tokens de hardware OATH e cartões inteligentes, recomendamos que você consulte seu provedor para obter status de validação de FIPS atuais.
Os provedores de chave de segurança FIDO 2 estão em vários estágios de certificação FIPS. Recomendamos que você examine a lista de fornecedores de chaves FIDO 2 com suporte. Consulte seu provedor para obter o status de validação FIPS atual.
Reautenticação
Para AAL2, a exigência do NIST é a reautenticação a cada 12 horas, independentemente da atividade do usuário. A reautenticação é necessária após um período de inatividade de 30 minutos ou mais. Como o segredo da sessão é algo que você tem, é necessário apresentar algo que você sabe ou é necessário.
Para atender ao requisito de reautenticação, independentemente da atividade do usuário, a Microsoft recomenda configurar a frequência de entrada do usuário para 12 horas.
Com o NIST, use controles de compensação para confirmar a presença do assinante:
Defina o tempo limite de inatividade de sessão para 30 minutos: bloqueie o dispositivo no nível do sistema operacional com o Microsoft System Center Configuration Manager, os GPOs (objetos de política de grupo) ou o Intune. Para o assinante desbloqueá-lo, exija autenticação local.
Tempo limite, independentemente da atividade: execute uma tarefa agendada (Configuration Manager, GPO ou Intune) para bloquear o computador após 12 horas, independentemente da atividade.
Resistência a man-in-the-middle
As comunicações entre o requerente e o Microsoft Entra ID são realizadas por um canal autenticado e protegido. Essa configuração fornece resistência a ataques de MitM (man-in-the-middle) e atende aos requisitos de resistência do MitM para AAL1, AAL2 e AAL3.
Resistência à reprodução
Os métodos de autenticação do Microsoft Entra ID no AAL2 usam nonce ou desafios. Os métodos resistem a ataques de repetição porque o verificador detecta as transações de autenticação reproduzidas. Essas transações não contêm os dados de nonce ou de linha do tempo necessários.
Próximas etapas
Noções básicas de autenticação
Alcançar o NIST AAL1 com o Microsoft Entra ID
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de