Поделиться через


Уровень проверки подлинности NIST 3 с помощью идентификатора Microsoft Entra

Используйте сведения в этой статье для Национального института стандартов и технологий (NIST) уровень проверки подлинности 3 (AAL3).

Перед получением AAL2 можно просмотреть следующие ресурсы:

Разрешенные типы проверки подлинности

Используйте методы проверки подлинности Майкрософт для удовлетворения необходимых типов проверки подлинности NIST.

Способы проверки подлинности Microsoft Entra. Тип структуры проверки подлинности NIST
Рекомендуемые методы
Защищенный оборудованием сертификат (смарт-карта, ключ безопасности/TPM)
Ключ безопасности FIDO 2
Windows Hello для бизнеса с аппаратным TPM
Учетные данные платформы для macOS
Многофакторное криптографическое оборудование
Дополнительные методы
Пароль
AND
— Microsoft Entra, присоединенная к аппаратному доверенному платформенный модуль
- ИЛИ
— гибридное присоединение Microsoft Entra к аппаратному доверенному платформенного модуля
Замеченный секрет
AND
оборудование для однофакторной проверки подлинности с шифрованием
Пароль
AND
Токены оборудования OATH (предварительная версия)
AND
— однофакторный сертификат программного обеспечения
- ИЛИ
— Гибридное присоединение или соответствие устройству Microsoft Entra с программным TPM
Запоминаемый секрет
AND
Однофакторное оборудование OTP
AND
ПО для однофакторной проверки подлинности с шифрованием

Рекомендации

Для AAL3 рекомендуется использовать многофакторный криптографический аппаратный аутентификатор, обеспечивающий проверку подлинности без пароля, устраняющую большую область атаки, пароль.

Инструкции см. в разделе Планирование развертывания без пароля проверки подлинности в идентификаторе Microsoft Entra. См. также руководство по развертыванию Windows Hello для бизнеса.

Проверка на соответствие стандарту FIPS 140

Требования к средству проверки

Идентификатор Microsoft Entra использует общий проверенный модуль шифрования windows FIPS 140 уровня 1 для криптографических операций проверки подлинности, что делает идентификатор Microsoft Entra ID соответствующим проверяющим.

Требования к структуре проверки подлинности

Требования к однофакторной и многофакторной криптографической проверке подлинности оборудования.

оборудование для однофакторной проверки подлинности с шифрованием

Для проверки подлинности необходимо:

  • FIPS 140 уровень 1 в целом или выше

  • FIPS 140 уровня 3 физической безопасности или выше

Присоединенные к Microsoft Entra и гибридные устройства Microsoft Entra соответствуют этому требованию, когда:

  • Запуск Windows в утвержденном режиме FIPS-140

  • На компьютере с TPM, который имеет FIPS 140 уровня 1 в целом или выше, с FIPS 140 уровня 3 физической безопасности

    • Поиск соответствующих TPM: поиск доверенного платформенного модуля и доверенного платформенного модуля в программе проверки криптографических модулей.

Обратитесь к поставщику мобильных устройств, чтобы узнать о соответствии с FIPS 140.

Многофакторное криптографическое оборудование

Для проверки подлинности необходимо:

  • FIPS 140 уровень 2 в целом или выше

  • FIPS 140 уровня 3 физической безопасности или выше

Ключи безопасности FIDO 2, смарт-карты и Windows Hello для бизнеса помогут вам удовлетворить эти требования.

  • Поставщики ключей FIDO2 находятся в сертификации FIPS. Рекомендуется просмотреть список поддерживаемых поставщиков ключей FIDO2. Обратитесь к поставщику с текущим состоянием проверки FIPS.

  • Смарт-карты — это проверенная технология. Несколько продуктов поставщиков соответствуют требованиям FIPS.

Windows Hello для бизнеса

FIPS 140 требует криптографической границы, включая программное обеспечение, встроенное ПО и оборудование, для оценки. Операционные системы Windows можно связать с тысячами этих сочетаний. Таким образом, корпорация Майкрософт не может проверить Windows Hello для бизнеса на уровне безопасности FIPS 140. Федеральные клиенты должны проводить оценки рисков и оценивать каждый из следующих сертификатов компонентов как часть их принятия рисков перед принятием этой службы в качестве AAL3:

Чтобы определить TPM, которые соответствуют текущим стандартам, перейдите в программу проверки криптографического модуля Центра безопасности компьютеров NIST. В поле "Имя модуля" введите доверенный модуль платформы для списка аппаратных TPM, которые соответствуют стандартам.

Единый вход платформы MacOS

FIPS 140 Уровень безопасности 2 реализован для macOS 13 как минимум, с большинством новых устройств, реализующих уровень 3. Мы рекомендуем ссылаться на сертификаты Платформы Apple. Важно учитывать уровень безопасности на устройстве.

Повторная проверка подлинности

Для AAL3 требования NIST повторно выполняют проверку подлинности каждые 12 часов независимо от активности пользователя. Повторная авторизация требуется после периода бездействия в течение 15 минут или дольше. Для представления обоих факторов требуется.

Чтобы обеспечить соответствие требованиям повторной проверки подлинности независимо от действия пользователя, корпорация Майкрософт рекомендует настроить частоту входа пользователя в 12 часов.

NIST позволяет компенсировать элементы управления для подтверждения присутствия подписчика:

  • Установите время бездействия сеанса в течение 15 минут: блокировка устройства на уровне ОС с помощью Microsoft Configuration Manager, объекта групповой политики (GPO) или Intune. Для разблокировки подписчика требуется локальная проверка подлинности.

  • Задайте время ожидания независимо от действия, выполнив запланированную задачу с помощью Configuration Manager, групповой политики или Intune. Блокировка компьютера через 12 часов независимо от действия.

Защита от атак "злоумышленник в середине"

Обмен данными между заявителем и идентификатором Microsoft Entra проходит проверку подлинности, защищенный канал для сопротивления атакам в середине (MitM). Эта конфигурация соответствует требованиям защиты от MitM для уровней AAL1, AAL2 и AAL3.

Защита средства проверки от олицетворения

Методы проверки подлинности Microsoft Entra, соответствующие AAL3, используют криптографические аутентификаторы, которые привязывают выходные данные аутентификатора к сеансу, прошедшему проверку подлинности. Методы используют закрытый ключ, контролируемый заявителем. Открытый ключ известен проверяющего. Данная конфигурация удовлетворяет требованиям к защите от олицетворения для уровня AAL3.

Противостояние атакам с компрометацией средства проверки

Все методы проверки подлинности Microsoft Entra, соответствующие AAL3:

  • Использование криптографического аутентификатора, требующего хранения открытого ключа проверяющего ключа, соответствующего закрытому ключу, удерживаемого аутентификатором.
  • Хранение ожидаемых выходных данных аутентификатора с помощью проверенных алгоритмов хэша FIPS-140

Дополнительные сведения см. в разделе "Вопросы безопасности данных Microsoft Entra".

Защита от атак с повторением

Методы проверки подлинности Microsoft Entra, которые соответствуют AAL3, используют неисключаемые или сложные задачи. Эти методы устойчивы к атакам воспроизведения, так как проверяющий может обнаруживать повторяемые транзакции проверки подлинности. Такие транзакции не будут содержать необходимые данные о нецелевом или своевременном времени.

Цель проверки подлинности

Требование намерения проверки подлинности затрудняет использование непосредственно подключенных физических аутентификаторов, таких как многофакторное криптографическое оборудование, без знаний субъекта (например, вредоносных программ в конечной точке). Методы Microsoft Entra, соответствующие AAL3, требуют ввода пин-кода или биометрических данных, демонстрируя намерение проверки подлинности.

Следующие шаги

Общие сведения о NIST

Сведения об уровнях AAL

Основные сведения об аутентификации

Типы проверки подлинности NIST

Достижение NIST AAL1 с помощью идентификатора Microsoft Entra

Достижение NIST AAL2 с помощью идентификатора Microsoft Entra