Compartilhar via


Nível 3 de garantia do autenticador NIST usando o ID do Microsoft Entra

Use as informações neste artigo para o nível de garantia 3 (AAL3) do NIST (National Institute of Standards and Technology)

Antes de obter o AAL2, examine os seguintes recursos:

Tipos de autenticadores permitidos

Use os métodos de autenticação da Microsoft para atender aos tipos de autenticadores do NIST necessários.

Métodos de autenticação do Microsoft Entra Tipos de Autenticadores do NIST
Métodos recomendados
Certificado protegido por hardware (smartcard/chave de segurança/TPM)
Chave de segurança do FIDO 2
Windows Hello para Empresas com o TPM de hardware
Credenciais de plataforma para macOS
Hardware criptográfico multifator
Métodos adicionais
Senha
AND
- Microsoft Entra ingressado no TPM de hardware
- OR
- Microsoft Entra híbrido ingressado com hardware TPM
Segredo memorizado
AND
Hardware criptográfico de fator único
Senha
AND
Tokens de hardware OATH (versão prévia)
AND
- Certificado de software de fator único
- OR
- Microsoft Entra híbrido ingressado ou dispositivo compatível com software TPM
Segredo memorizado
AND
Hardware OTP de fator único
AND
Software criptográfico de fator único

Recomendações

Para a AAL3, é recomendável usar um autenticador de hardware criptográfico multifator que fornece autenticação sem senha eliminando a maior superfície de ataque, a senha.

Para obter orientação, consulte Planejar uma implantação de autenticação sem senha no ID do Microsoft Entra. Consulte também, Guia de implantação do Windows Hello para Empresas.

Validação do FIPS 140

Requisitos do verificador

O ID do Microsoft Entra usa o módulo criptográfico geral validado do Windows FIPS 140 Nível 1 para suas operações criptográficas de autenticação, tornando o ID do Microsoft Entra um verificador compatível.

Requisitos do autenticador

Requisitos do autenticador de hardware criptográfico de fator único e multifator.

Hardware criptográfico de fator único

Os autenticadores devem ser:

  • Nível 1 do FIPS 140 Geral ou superior

  • FIPS 140 Nível 3 de Segurança Física, ou superior

Os dispositivos ingressados no Microsoft Entra e os dispositivos híbridos ingressados no Microsoft Entra atendem a esse requisito quando:

Consulte o fornecedor do dispositivo móvel para saber mais sobre sua adesão ao FIPS 140.

Hardware criptográfico multifator

Os autenticadores devem ser:

  • FIPS 140 Nível 2 Geral ou superior

  • FIPS 140 Nível 3 de Segurança Física, ou superior

Chaves de segurança FIDO 2, cartões inteligentes e Windows Hello para Empresas podem ajudá-lo a atender a esses requisitos.

Windows Hello for Business

O FIPS 140 requer que o limite criptográfico, incluindo software, firmware e hardware, esteja no escopo da avaliação. Os sistemas operacionais Windows podem ser emparelhadas com milhares de combinações de hardware. Dessa forma, não é viável para a Microsoft ter o Windows Hello para Empresas validado no FIPS 140 Nível de Segurança 2. Os clientes federais devem realizar avaliações de risco e avaliar cada uma das seguintes certificações de componente como parte de sua aceitação de risco antes de aceitar esse serviço como AAL3:

Para determinar os TPMs que atendem aos padrões atuais, acesse o Programa de Validação do Módulo Criptográfico do Computer Security Resource Center do NIST. Na caixa Nome do Módulo, insira Trusted Platform Module para obter uma lista de TPMs de hardware que atendam aos padrões.

SSO de Plataforma MacOS

O FIPS 140 Nível de Segurança 2 é implementado para macOS 13 no mínimo, com a maioria dos novos dispositivos implementando o Nível 3. Recomendamos fazer referência às Certificações da Plataforma Apple. É importante que você esteja ciente do nível de segurança em seu dispositivo.

Reautenticação

Para AAL3, as exigências do NIST são a reautenticação a cada 12 horas, independentemente da atividade do usuário. A reautenticação é necessária após um período de inatividade de 15 minutos ou mais. É necessária apresentar ambos os fatores.

Para atender ao requisito de reautenticação, independentemente da atividade do usuário, a Microsoft recomenda configurar a frequência de entrada do usuário para 12 horas.

O NIST permite controles de compensação para confirmar a presença do assinante:

  • Defina um tempo de inatividade de sessão de 15 minutos: bloqueie o dispositivo no nível do sistema operacional usando o Microsoft Configuration Manager, o GPO (objeto Política de Grupo) ou o Intune. Para o assinante desbloqueá-lo, exija autenticação local.

  • Defina o tempo limite, independentemente da atividade, executando uma tarefa agendada usando Configuration Manager, GPO ou Intune. Bloqueie o computador após 12 horas, independentemente da atividade.

Resistência a man-in-the-middle

As comunicações entre o requerente e o ID do Microsoft Entra são feitas através de um canal autenticado e protegido para resistência a ataques man-in-the-middle (MitM). Essa configuração atende aos requisitos de resistência a MitM para AAL1, AAL2 e AAL3.

Resistência de representação do verificador

Os métodos de autenticação do Microsoft Entra que atendem ao AAL3 usam autenticadores criptográficos que vinculam a saída do autenticador à sessão que está sendo autenticada. Os métodos usam uma chave privada controlada pelo requerente. A chave pública é conhecida pelo verificador. Essa configuração satisfaz os requisitos de resistência de representação do verificador para AAL3.

Resistência ao comprometimento do verificador

Todos os métodos de autenticação do Microsoft Entra que atendem ao AAL3:

  • Usar um autenticador criptográfico que exija que o verificador armazene uma chave pública correspondente a uma chave privada mantida pelo autenticador
  • Armazenar a saída do autenticador esperado usando algoritmos de hash validados pelo FIPS-140

Para mais informações, consulte Considerações sobre segurança de dados do Microsoft Entra.

Resistência à reprodução

Os métodos de autenticação do Microsoft Entra que atendem ao AAL3 usam nonce ou desafios. Esses métodos são resistentes a ataques de repetição porque o verificador pode detectar as transações de autenticação repetidas. Essas transações não contêm os dados de nonce ou de linha do tempo necessários.

Tentativa de autenticação

Exigir a intenção de autenticação dificulta que autenticadores físicos conectados diretamente, como hardware criptográfico multifator, sejam usados sem o conhecimento do sujeito (por exemplo, por malware no ponto de extremidade). Os métodos do Microsoft Entra que atendem ao AAL3 exigem a entrada de pino ou biometria, demonstrando a intenção de autenticação.

Próximas etapas

Visão geral do NIST

Saiba mais sobre AALs

Noções básicas de autenticação

Tipos de autenticadores NIST

Obtendo o NIST AAL1 usando o ID do Microsoft Entra

Obtendo o NIST AAL2 usando o ID do Microsoft Entra