Nível 3 de garantia do autenticador NIST usando o ID do Microsoft Entra
Use as informações neste artigo para o nível de garantia 3 (AAL3) do NIST (National Institute of Standards and Technology)
Antes de obter o AAL2, examine os seguintes recursos:
- Visão geral do NIST: entender os níveis de AAL
- Noções básicas de autenticação: tipos de terminologia e autenticação
- Tipos de autenticador NIST: tipos de autenticador
- AALs do NIST: componentes do AAL e métodos de autenticação do Microsoft Entra
Tipos de autenticadores permitidos
Use os métodos de autenticação da Microsoft para atender aos tipos de autenticadores do NIST necessários.
| Métodos de autenticação do Microsoft Entra | Tipos de Autenticadores do NIST |
|---|---|
| Métodos recomendados | |
| Certificado protegido por hardware (smartcard/chave de segurança/TPM) Chave de segurança do FIDO 2 Windows Hello para Empresas com o TPM de hardware Credenciais de plataforma para macOS |
Hardware criptográfico multifator |
| Métodos adicionais | |
| Senha AND - Microsoft Entra ingressado no TPM de hardware - OR - Microsoft Entra híbrido ingressado com hardware TPM |
Segredo memorizado AND Hardware criptográfico de fator único |
| Senha AND Tokens de hardware OATH (versão prévia) AND - Certificado de software de fator único - OR - Microsoft Entra híbrido ingressado ou dispositivo compatível com software TPM |
Segredo memorizado AND Hardware OTP de fator único AND Software criptográfico de fator único |
Recomendações
Para a AAL3, é recomendável usar um autenticador de hardware criptográfico multifator que fornece autenticação sem senha eliminando a maior superfície de ataque, a senha.
Para obter orientação, consulte Planejar uma implantação de autenticação sem senha no ID do Microsoft Entra. Consulte também, Guia de implantação do Windows Hello para Empresas.
Validação do FIPS 140
Requisitos do verificador
O ID do Microsoft Entra usa o módulo criptográfico geral validado do Windows FIPS 140 Nível 1 para suas operações criptográficas de autenticação, tornando o ID do Microsoft Entra um verificador compatível.
Requisitos do autenticador
Requisitos do autenticador de hardware criptográfico de fator único e multifator.
Hardware criptográfico de fator único
Os autenticadores devem ser:
Nível 1 do FIPS 140 Geral ou superior
FIPS 140 Nível 3 de Segurança Física, ou superior
Os dispositivos ingressados no Microsoft Entra e os dispositivos híbridos ingressados no Microsoft Entra atendem a esse requisito quando:
Você executa o Windows em um modo aprovado pelo FIPS-140
Em um computador com um TPM que tenha o Nível 1 FIPS 140 Geral ou superior, com o Nível 3 do FIPS 140 de Segurança Física
- Encontre TPMs em conformidade: pesquise por Trusted Platform Module e TPM no Programa de Validação de Módulo Criptográfico.
Consulte o fornecedor do dispositivo móvel para saber mais sobre sua adesão ao FIPS 140.
Hardware criptográfico multifator
Os autenticadores devem ser:
FIPS 140 Nível 2 Geral ou superior
FIPS 140 Nível 3 de Segurança Física, ou superior
Chaves de segurança FIDO 2, cartões inteligentes e Windows Hello para Empresas podem ajudá-lo a atender a esses requisitos.
Os provedores de chaves FIDO2 estão na certificação FIPS. Recomendamos que você examine a lista de fornecedores de chaves FIDO2 com suporte. Consulte seu provedor para obter o status de validação FIPS atual.
Cartões inteligentes são uma tecnologia comprovada. Vários produtos de fornecedores atendem aos requisitos de FIPS.
- Saiba mais no Programa de Validação de Módulo Criptográfico
Windows Hello for Business
O FIPS 140 requer que o limite criptográfico, incluindo software, firmware e hardware, esteja no escopo da avaliação. Os sistemas operacionais Windows podem ser emparelhadas com milhares de combinações de hardware. Dessa forma, não é viável para a Microsoft ter o Windows Hello para Empresas validado no FIPS 140 Nível de Segurança 2. Os clientes federais devem realizar avaliações de risco e avaliar cada uma das seguintes certificações de componente como parte de sua aceitação de risco antes de aceitar esse serviço como AAL3:
O Windows 10 e o Windows Server usam o Perfil de Proteção Aprovado pelo Governo dos EUA para Sistemas Operacionais de Uso Geral Operating versão 4.2.1 da National Information Assurance Partnership (NIAP). Esta organização supervisiona um programa nacional para avaliar produtos de tecnologia da informação COTS (commercial off-the-shelf) para conformidade com os Critérios Comuns internacionais.
A Biblioteca Criptográfica do Windows tem o Nível 1 do FIPS Geral no Programa de Validação de Módulo Criptográfico do NIST (CMVP), um esforço conjunto entre o NIST e o Centro Canadense de Segurança Cibernética. Essa organização valida módulos criptográficos em relação aos padrões FIPS.
Escolha um TPM (Trusted Platform Module) que seja FIPS 140 Nível 2 Geral e FIPS 140 Nível 3 Segurança Física. Sua organização garante que o TPM de hardware atenda aos requisitos de nível de AAL desejados.
Para determinar os TPMs que atendem aos padrões atuais, acesse o Programa de Validação do Módulo Criptográfico do Computer Security Resource Center do NIST. Na caixa Nome do Módulo, insira Trusted Platform Module para obter uma lista de TPMs de hardware que atendam aos padrões.
SSO de Plataforma MacOS
O FIPS 140 Nível de Segurança 2 é implementado para macOS 13 no mínimo, com a maioria dos novos dispositivos implementando o Nível 3. Recomendamos fazer referência às Certificações da Plataforma Apple. É importante que você esteja ciente do nível de segurança em seu dispositivo.
Reautenticação
Para AAL3, as exigências do NIST são a reautenticação a cada 12 horas, independentemente da atividade do usuário. A reautenticação é necessária após um período de inatividade de 15 minutos ou mais. É necessária apresentar ambos os fatores.
Para atender ao requisito de reautenticação, independentemente da atividade do usuário, a Microsoft recomenda configurar a frequência de entrada do usuário para 12 horas.
O NIST permite controles de compensação para confirmar a presença do assinante:
Defina um tempo de inatividade de sessão de 15 minutos: bloqueie o dispositivo no nível do sistema operacional usando o Microsoft Configuration Manager, o GPO (objeto Política de Grupo) ou o Intune. Para o assinante desbloqueá-lo, exija autenticação local.
Defina o tempo limite, independentemente da atividade, executando uma tarefa agendada usando Configuration Manager, GPO ou Intune. Bloqueie o computador após 12 horas, independentemente da atividade.
Resistência a man-in-the-middle
As comunicações entre o requerente e o ID do Microsoft Entra são feitas através de um canal autenticado e protegido para resistência a ataques man-in-the-middle (MitM). Essa configuração atende aos requisitos de resistência a MitM para AAL1, AAL2 e AAL3.
Resistência de representação do verificador
Os métodos de autenticação do Microsoft Entra que atendem ao AAL3 usam autenticadores criptográficos que vinculam a saída do autenticador à sessão que está sendo autenticada. Os métodos usam uma chave privada controlada pelo requerente. A chave pública é conhecida pelo verificador. Essa configuração satisfaz os requisitos de resistência de representação do verificador para AAL3.
Resistência ao comprometimento do verificador
Todos os métodos de autenticação do Microsoft Entra que atendem ao AAL3:
- Usar um autenticador criptográfico que exija que o verificador armazene uma chave pública correspondente a uma chave privada mantida pelo autenticador
- Armazenar a saída do autenticador esperado usando algoritmos de hash validados pelo FIPS-140
Para mais informações, consulte Considerações sobre segurança de dados do Microsoft Entra.
Resistência à reprodução
Os métodos de autenticação do Microsoft Entra que atendem ao AAL3 usam nonce ou desafios. Esses métodos são resistentes a ataques de repetição porque o verificador pode detectar as transações de autenticação repetidas. Essas transações não contêm os dados de nonce ou de linha do tempo necessários.
Tentativa de autenticação
Exigir a intenção de autenticação dificulta que autenticadores físicos conectados diretamente, como hardware criptográfico multifator, sejam usados sem o conhecimento do sujeito (por exemplo, por malware no ponto de extremidade). Os métodos do Microsoft Entra que atendem ao AAL3 exigem a entrada de pino ou biometria, demonstrando a intenção de autenticação.
Próximas etapas
Noções básicas de autenticação