Configurar controles de Identificação e Autenticação (IA) CMMC Nível 2
O Microsoft Entra ID ajuda você a atender aos requisitos de prática relacionados à identidade em cada nível de Certificação de Modelo de Maturidade em Cibersegurança (CMMC). Concluir outras configurações ou processos para estar em conformidade com os requisitos de nível 2 do CMMC V2.0, é responsabilidade das empresas que realizam trabalho com, e em nome de, o Departamento de Defesa dos EUA (DoD).
O CMMC Nível 2 tem 13 domínios que têm uma ou mais práticas relacionadas à identidade. Os domínios são:
- Controlo de Acessos (AC)
- Auditoria e Prestação de Contas (AU)
- Gerenciamento de configuração (CM)
- Identificação e autenticação (IA)
- Resposta a incidentes (RI)
- Manutenção (MA)
- Proteção dos meios de comunicação social (MP)
- Segurança Pessoal (PS)
- Proteção física (EP)
- Avaliação de Riscos (RA)
- Avaliação de Segurança (AC)
- Proteção de Sistemas e Comunicações (SC)
- Integridade do Sistema e da Informação (SI)
O restante deste artigo fornece orientação para o domínio de Identificação e Autorização (IA). Há uma tabela com links para o conteúdo que fornece orientação passo a passo para realizar a prática.
Identificação e autenticação
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração de prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| IA. L2-3.5.3 Declaração prática: Use a autenticação multifator para acesso local e de rede a contas privilegiadas e para acesso de rede a contas não privilegiadas. Objetivos: Determine se: [a.] são identificadas contas privilegiadas; [b.] A autenticação multifator é implementada para acesso local a contas privilegiadas; [c.] A autenticação multifator é implementada para acesso à rede a contas privilegiadas; e ainda [d.] A autenticação multifator é implementada para acesso à rede a contas sem privilégios. |
Os seguintes itens são definições para os termos usados para esta área de controle: A discriminação do requisito anterior significa: Você é responsável por configurar o Acesso Condicional para exigir autenticação multifator. Habilite os métodos de autenticação do Microsoft Entra que atendam ao AAL2 e superior. Conceder controlos na política de Acesso Condicional Alcance os níveis de garantia do autenticador NIST com o Microsoft Entra ID Métodos e recursos de autenticação |
| IA. L2-3.5.4 Declaração prática: Empregar mecanismos de autenticação resistentes a repetição para acesso à rede a contas privilegiadas e não privilegiadas. Objetivos: Determine se: [a.] Mecanismos de autenticação resistentes a repetição são implementados para acesso de conta de rede a contas privilegiadas e não privilegiadas. |
Todos os métodos de autenticação do Microsoft Entra no AAL2 e acima são resistentes à repetição. Alcance os níveis de garantia do autenticador NIST com o Microsoft Entra ID |
| IA. L2-3.5.5 Declaração prática: Impedir a reutilização de identificadores por um período definido. Objetivos: Determine se: [a.] é definido um período durante o qual os identificadores não podem ser reutilizados; e ainda [b.] a reutilização dos identificadores é impedida dentro do prazo definido. |
Todos os GUIDs (identificadores globalmente exclusivos) de usuário, grupo e objeto de dispositivo são garantidos exclusivos e não reutilizáveis durante o tempo de vida do locatário do Microsoft Entra. tipo de recurso do usuário - Microsoft Graph v1.0 tipo de recurso de grupo - Microsoft Graph v1.0 tipo de recurso de dispositivo - Microsoft Graph v1.0 |
| IA. L2-3.5.6 Declaração prática: Desative os identificadores após um período definido de inatividade. Objetivos: Determine se: [a.] é definido um período de inatividade após o qual um identificador é desativado; e ainda [b.] Os identificadores são desativados após o período definido de inatividade. |
Implemente a automação do gerenciamento de contas com o Microsoft Graph e o SDK do Microsoft Graph PowerShell. Use o Microsoft Graph para monitorar a atividade de entrada e o SDK do Microsoft Graph PowerShell para executar ações em contas dentro do período de tempo necessário. Determinar inatividade Gerenciar contas de usuário inativas no Microsoft Entra ID Gerenciar dispositivos obsoletos no Microsoft Entra ID Remover ou desativar contas Trabalhando com usuários no Microsoft Graph Obter um utilizador Atualizar usuário Eliminar um utilizador Trabalhar com dispositivos no Microsoft Graph Obter dispositivo Atualizar dispositivo Excluir dispositivo Usar o SDK do Microsoft Graph PowerShell Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
| IA. L2-3.5.7 Declaração prática: Objetivos: Impor uma complexidade mínima de senha e mudança de caracteres quando novas senhas são criadas. Determine se: [a.] são definidos requisitos de complexidade de senha; [b.] mudança de senha de requisitos de caracteres são definidos; [c.] os requisitos mínimos de complexidade de senha, conforme definidos, são aplicados quando novas senhas são criadas; e ainda [d.] Os requisitos mínimos de alteração de senha de caracteres, conforme definido, são aplicados quando novas senhas são criadas. IA. L2-3.5.8 Declaração prática: Proibir a reutilização de palavras-passe para um número especificado de gerações. Objetivos: Determine se: [a.] é especificado o número de gerações durante as quais uma palavra-passe não pode ser reutilizada; e ainda [b.] A reutilização de senhas é proibida durante o número especificado de gerações. |
Encorajamos vivamente estratégias sem palavra-passe. Esse controle só é aplicável a autenticadores de senha, portanto, remover senhas como um autenticador disponível torna esse controle não aplicável. Por NIST SP 800-63 B Seção 5.1.1: Mantenha uma lista de senhas comumente usadas, esperadas ou comprometidas. Com a proteção por senha do Microsoft Entra, as listas de senhas globais proibidas padrão são aplicadas automaticamente a todos os usuários em um locatário do Microsoft Entra. Para dar suporte às suas necessidades comerciais e de segurança, você pode definir entradas em uma lista personalizada de senhas proibidas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas proibidas são verificadas para impor o uso de senhas fortes. Para clientes que exigem alteração rigorosa de caracteres de senha, reutilização de senha e requisitos de complexidade, use contas híbridas configuradas com Password-Hash-Sync. Essa ação garante que as senhas sincronizadas com o Microsoft Entra ID herdem as restrições configuradas nas diretivas de senha do Ative Directory. Proteja ainda mais as senhas locais configurando a Proteção por Senha do Microsoft Entra local para Serviços de Domínio Ative Directory. Publicação Especial NIST 800-63 B Publicação Especial NIST 800-53 Revisão 5 (IA-5 - Melhoria do controlo (1) Elimine senhas incorretas usando a proteção por senha do Microsoft Entra O que é a sincronização de hash de palavra-passe com o Microsoft Entra ID? |
| IA. L2-3.5.9 Declaração de prática: Permitir o uso temporário de senha para logons do sistema com uma alteração imediata para uma senha permanente. Objetivos: Determine se: [a.] Uma alteração imediata para uma senha permanente é necessária quando uma senha temporária é usada para logon no sistema. |
Uma senha inicial de usuário do Microsoft Entra é uma senha de uso único temporária que, uma vez usada com êxito, é imediatamente necessária para ser alterada para uma senha permanente. A Microsoft recomenda vivamente a adoção de métodos de autenticação sem palavra-passe. Os usuários podem inicializar métodos de autenticação sem senha usando o Temporary Access Pass (TAP). A TAP é uma senha limitada de tempo e uso emitida por um administrador que satisfaz os requisitos de autenticação forte. O uso de autenticação sem senha, juntamente com o tempo e uso limitados, a TAP elimina completamente o uso de senhas (e sua reutilização). Adicionar ou excluir usuários Configurar um Passe de Acesso Temporário na ID do Microsoft Entra para registrar métodos de autenticação sem senha Autenticação sem senha |
| IA. L2-3.5.10 Declaração prática: armazene e transmita apenas senhas protegidas criptograficamente. Objetivos: Determine se: [a.] as senhas são protegidas criptograficamente no armazenamento; e ainda [b.] As senhas são protegidas criptograficamente em trânsito. |
Criptografia secreta em repouso: Além da criptografia no nível do disco, quando em repouso, os segredos armazenados no diretório são criptografados usando o Gerenciador de Chaves Distribuídas (DKM). As chaves de criptografia são armazenadas no armazenamento principal do Microsoft Entra e, por sua vez, são criptografadas com uma chave de unidade de escala. A chave é armazenada em um contêiner protegido com ACLs de diretório, para usuários com privilégios mais altos e serviços específicos. A chave simétrica é normalmente girada a cada seis meses. O acesso ao ambiente é ainda mais protegido com controlos operacionais e segurança física. Criptografia em trânsito: Para garantir a segurança dos dados, os Dados de Diretório no Microsoft Entra ID são assinados e criptografados enquanto estão em trânsito entre data centers dentro de uma unidade de escala. Os dados são criptografados e não criptografados pela camada de armazenamento principal do Microsoft Entra, que reside dentro de áreas de hospedagem de servidor seguro dos data centers associados da Microsoft. Os serviços Web voltados para o cliente são protegidos com o protocolo TLS (Transport Layer Security). Para obter mais informações, baixe Considerações sobreproteção de dados - Segurança de dados. Na página 15, há mais detalhes. Desmistificando a sincronização de hash de senha (microsoft.com) Considerações sobre segurança de dados do Microsoft Entra |
| IA. L2-3.5.11 Declaração de prática: feedback obscuro das informações de autenticação. Objetivos: Determine se: [a.] As informações de autenticação são obscurecidas durante o processo de autenticação. |
Por padrão, o Microsoft Entra ID obscurece todos os comentários do autenticador. |