Konfigurera IA-kontroller (CMMC Level 2 Identification and Authentication)
Microsoft Entra ID hjälper dig att uppfylla identitetsrelaterade övningskrav på varje CMMC-nivå (Cybersecurity Maturity Model Certification). För att slutföra andra konfigurationer eller processer för att vara kompatibla med CMMC V2.0 nivå 2-krav, är ansvaret för företag som utför arbete med, och på uppdrag av, US Dept. of Defense (DoD).
CMMC-nivå 2 har 13 domäner som har en eller flera metoder som rör identitet. Domänerna är:
- Åtkomstkontroll (AC)
- Granskning och ansvarsskyldighet (AU)
- Konfigurationshantering (CM)
- Identifiering och autentisering (IA)
- Incidenthantering (IR)
- Underhåll (MA)
- Media Protection (MP)
- Personalsäkerhet (PS)
- Fysiskt skydd (PE)
- Riskbedömning (RA)
- Säkerhetsbedömning (CA)
- System- och kommunikationsskydd (SC)
- System- och informationsintegritet (SI)
Resten av den här artikeln innehåller vägledning för IA-domänen (Identification and Authorization). Det finns en tabell med länkar till innehåll som ger stegvis vägledning för att utföra övningen.
Identifiering och autentisering
I följande tabell finns en lista över övningsinstruktioner och mål samt Vägledning och rekommendationer från Microsoft Entra som gör att du kan uppfylla dessa krav med Microsoft Entra-ID.
| CMMC-övningsinstruk ment och mål | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| IA. L2-3.5.3 Övningsuttryck: Använd multifaktorautentisering för lokal åtkomst och nätverksåtkomst till privilegierade konton och för nätverksåtkomst till icke-privilegierade konton. Mål: Kontrollera om: [a.] privilegierade konton identifieras. [b.] multifaktorautentisering implementeras för lokal åtkomst till privilegierade konton. [c.] multifaktorautentisering implementeras för nätverksåtkomst till privilegierade konton. Och [d.] multifaktorautentisering implementeras för nätverksåtkomst till icke-privilegierade konton. |
Följande objekt är definitioner för de termer som används för det här kontrollområdet: Att bryta ned det tidigare kravet innebär: Du ansvarar för att konfigurera villkorsstyrd åtkomst så att multifaktorautentisering krävs. Aktivera Microsoft Entra-autentiseringsmetoder som uppfyller AAL2 och senare. Bevilja kontroller i principen för villkorsstyrd åtkomst Uppnå NIST-autentiseringsnivåer med Microsoft Entra-ID Autentiseringsmetoder och funktioner |
| IA. L2-3.5.4 Övningsinstruktor: Använd återspelningsresistenta autentiseringsmekanismer för nätverksåtkomst till privilegierade och icke-privilegierade konton. Mål: Kontrollera om: [a.] replay-resistant authentication mechanisms implementeras för nätverkskontoåtkomst till privilegierade och icke-privilegierade konton. |
Alla Microsoft Entra-autentiseringsmetoder på AAL2 och senare är omspelsbeständiga. Uppnå NIST-autentiseringsnivåer med Microsoft Entra-ID |
| IA. L2-3.5.5 Övningsinstruktor: Förhindra återanvändning av identifierare under en definierad period. Mål: Kontrollera om: [a.] En period inom vilken identifierare inte kan återanvändas definieras. Och [b.] återanvändning av identifierare förhindras inom den definierade perioden. |
Alla användar-, grupp-, enhetsobjekt, globalt unika identifierare (GUID) garanteras unika och inte återanvändbara under Microsoft Entra-klientorganisationens livslängd. användarresurstyp – Microsoft Graph v1.0 gruppresurstyp – Microsoft Graph v1.0 enhetsresurstyp – Microsoft Graph v1.0 |
| IA. L2-3.5.6 Övningsinstruktor: Inaktivera identifierare efter en definierad period av inaktivitet. Mål: Kontrollera om: [a.] En period av inaktivitet varefter en identifierare har inaktiverats definieras. Och [b.] identifierare inaktiveras efter den definierade perioden av inaktivitet. |
Implementera kontohanteringsautomatisering med Microsoft Graph och Microsoft Graph PowerShell SDK. Använd Microsoft Graph för att övervaka inloggningsaktivitet och Microsoft Graph PowerShell SDK för att vidta åtgärder på konton inom den tidsram som krävs. Fastställa inaktivitet Hantera inaktiva användarkonton i Microsoft Entra-ID Hantera inaktuella enheter i Microsoft Entra-ID Ta bort eller inaktivera konton Arbeta med användare i Microsoft Graph Hämta en användare Uppdatera användare Ta bort en användare Arbeta med enheter i Microsoft Graph Hämta enhet Uppdatera enhet Ta bort enhet Använda Microsoft Graph PowerShell SDK Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
| IA. L2-3.5.7 Övningsuttryck: Mål: Framtvinga minsta lösenordskomplexitet och teckenändring när nya lösenord skapas. Kontrollera om: [a.] krav på lösenordskomplexitet definieras. [b.] lösenordsändring av teckenkrav definieras. [c.] Minimikrav på lösenordskomplexitet enligt definitionen tillämpas när nya lösenord skapas. Och [d.] minsta lösenordsändring av teckenkrav som definierats framtvingas när nya lösenord skapas. IA. L2-3.5.8 Övningsuttryck: Förhindra återanvändning av lösenord för ett angivet antal generationer. Mål: Kontrollera om: [a.] Antalet generationer under vilka ett lösenord inte kan återanvändas anges. Och [b.] återanvändning av lösenord är förbjudet under det angivna antalet generationer. |
Vi rekommenderar starkt lösenordslösa strategier. Den här kontrollen gäller endast för lösenordsautentisering, så om du tar bort lösenord som en tillgänglig autentisering blir kontrollen inte tillämplig. Per NIST SP 800-63 B Avsnitt 5.1.1: Underhålla en lista över vanliga, förväntade eller komprometterade lösenord. Med Microsoft Entra-lösenordsskydd tillämpas standardlistor med globala förbjudna lösenord automatiskt på alla användare i en Microsoft Entra-klientorganisation. För att stödja dina affärs- och säkerhetsbehov kan du definiera poster i en anpassad lista över förbjudna lösenord. När användarna ändrar eller återställer sina lösenord kontrolleras dessa listor över förbjudna lösenord för att framtvinga användningen av starka lösenord. För kunder som kräver strikt ändring av lösenordstecken använder krav på återanvändning av lösenord och komplexitet hybridkonton som konfigurerats med Password-Hash-Sync. Den här åtgärden säkerställer att lösenorden som synkroniseras med Microsoft Entra-ID:t ärver de begränsningar som konfigurerats i Active Directory-lösenordsprinciper. Skydda lokala lösenord ytterligare genom att konfigurera lokalt Microsoft Entra Password Protection för Active Directory-domän Services. NIST Special publikation 800-63 B NIST Special Publikation 800-53 Revision 5 (IA-5 - Kontrollförbättring (1) Eliminera felaktiga lösenord med Microsoft Entra-lösenordsskydd Vad är synkronisering av lösenordshash med Microsoft Entra ID? |
| IA. L2-3.5.9 Övningsuttryck: Tillåt tillfällig lösenordsanvändning för systeminloggning med en omedelbar ändring av ett permanent lösenord. Mål: Kontrollera om: [a.] en omedelbar ändring av ett permanent lösenord krävs när ett tillfälligt lösenord används för systeminloggning. |
Ett första lösenord för Microsoft Entra-användare är ett tillfälligt lösenord för enkel användning som när det har använts omedelbart måste ändras till ett permanent lösenord. Microsoft uppmuntrar starkt införandet av lösenordslösa autentiseringsmetoder. Användare kan bootstrap Lösenordslösa autentiseringsmetoder med hjälp av Temporary Access Pass (TAP). TAP är en tid och använder begränsat lösenord utfärdat av en administratör som uppfyller starka autentiseringskrav. Användning av lösenordslös autentisering tillsammans med tiden och användningen av begränsad TAP eliminerar helt användningen av lösenord (och återanvändning av dem). Lägga till eller ta bort användare Konfigurera ett tillfälligt åtkomstpass i Microsoft Entra-ID för att registrera autentiseringsmetoder utan lösenord Lösenordsfri autentisering |
| IA. L2-3.5.10 Övningsinstruktor: Lagra och överför endast kryptografiskt skyddade lösenord. Mål: Kontrollera om: [a.] lösenord skyddas kryptografiskt i lagringen. Och [b.] lösenord skyddas kryptografiskt under överföring. |
Hemlig kryptering i vila: Förutom kryptering på disknivå krypteras hemligheter som lagras i katalogen i vila med hjälp av DKM (Distributed Key Manager). Krypteringsnycklarna lagras i Microsoft Entra Core Store och krypteras i sin tur med en skalningsenhetsnyckel. Nyckeln lagras i en container som är skyddad med katalog-ACL:er, för användare med högst privilegier och specifika tjänster. Den symmetriska nyckeln roteras vanligtvis var sjätte månad. Åtkomsten till miljön skyddas ytterligare med driftkontroller och fysisk säkerhet. Kryptering under överföring: För att säkerställa datasäkerhet signeras och krypteras katalogdata i Microsoft Entra-ID under överföring mellan datacenter i en skalningsenhet. Data krypteras och okrypteras av Microsoft Entra Core Store-nivån, som finns i skyddade servervärdområden i associerade Microsoft-datacenter. Kundriktade webbtjänster skyddas med TLS-protokollet (Transport Layer Security). Mer information finns i Ladda nedDataskyddsöverväganden – Datasäkerhet. På sidan 15 finns mer information. Avystifiera synkronisering av lösenordshash (microsoft.com) Säkerhetsöverväganden för Microsoft Entra-data |
| IA. L2-3.5.11 Övningsuttryck: Obskyr feedback av autentiseringsinformation. Mål: Kontrollera om: [a.] autentiseringsinformationen döljs under autentiseringsprocessen. |
Som standard döljer Microsoft Entra-ID all autentiseringsfeedback. |