NIST-autentiseringsnivå 3 med hjälp av Microsoft Entra-ID

Använd informationen i den här artikeln för NATIONAL Institute of Standards and Technology (NIST) authenticator assurance level 3 (AAL3).

Innan du hämtar AAL2 kan du granska följande resurser:

• NIST-översikt: Förstå AAL-nivåer
• Grundläggande autentisering: Terminologi- och autentiseringstyper
• NIST-autentiseringstyper: Autentiseringstyper
• NIST AALs: AAL-komponenter och Microsoft Entra-autentiseringsmetoder

Tillåtna autentiseringstyper

Använd Microsofts autentiseringsmetoder för att uppfylla nödvändiga NIST-autentiseringstyper.

Microsoft Entra-autentiseringsmetoder	NIST-autentiseringstyp
Rekommenderade metoder
Maskinvaruskyddat certifikat (smartkort/säkerhetsnyckel/TPM) SÄKERHETSNYCKEL FÖR FIDO 2 Windows Hello för företag med maskinvaru-TPM Plattformsautentiseringsuppgifter för macOS	Krypteringsmaskinvara med flera faktorer
Ytterligare metoder
Lösenord OCH – Microsoft Entra har anslutits till TPM för maskinvara - OR – Microsoft Entra-hybrid ansluten med maskinvaru-TPM	Memorerad hemlighet OCH Krypteringsmaskinvara med en faktor
Lösenord OCH OATH-maskinvarutoken (förhandsversion) OCH – Certifikat för enfaktorsprogramvara - OR – Microsoft Entra-hybridanslutning eller kompatibel enhet med TPM-programvara	Memorerad hemlighet OCH Engångslösenordsmaskinvara OCH Krypteringsprogramvara med en faktor

Rekommendationer

För AAL3 rekommenderar vi att du använder en multifaktorkryptografisk maskinvaruautentisering som ger lösenordslös autentisering som eliminerar den största attackytan, lösenordet.

Vägledning finns i Planera en distribution av lösenordsfri autentisering i Microsoft Entra-ID. Se även Windows Hello för företag distributionsguide.

FIPS 140-validering

Kontrollantkrav

Microsoft Entra ID använder den övergripande verifierade kryptografiska modulen för Windows FIPS 140 Level 1 för sina kryptografiska autentiseringsåtgärder, vilket gör Microsoft Entra ID till en kompatibel kontrollant.

Autentiserarkrav

Krav för enfaktors- och multifaktorkryptografisk maskinvaruautentisering.

Krypteringsmaskinvara med en faktor

Autentiserare måste vara:

• FIPS 140 Nivå 1 Totalt eller högre

• FIPS 140 Nivå 3 Fysisk säkerhet eller högre

Microsoft Entra-anslutna och Microsoft Entra Hybrid-anslutna enheter uppfyller detta krav när:

• Du kör Windows i ett FIPS-140-godkänt läge

• På en dator med en TPM som är FIPS 140 Level 1 Övergripande, eller högre, med FIPS 140 Nivå 3 Fysisk säkerhet

  • Hitta kompatibla TPM:er: sök efter Trusted Platform Module och TPM på Cryptographic Module Validation Program.

Kontakta din mobilenhetsleverantör om du vill veta mer om deras efterlevnad med FIPS 140.

Krypteringsmaskinvara med flera faktorer

Autentiserare måste vara:

• FIPS 140 Nivå 2 Totalt eller högre

• FIPS 140 Nivå 3 Fysisk säkerhet eller högre

FIDO 2-säkerhetsnycklar, smartkort och Windows Hello för företag kan hjälpa dig att uppfylla dessa krav.

• FIDO2-nyckelprovidrar finns i FIPS-certifiering. Vi rekommenderar att du granskar listan över FIDO2-nyckelleverantörer som stöds. Kontakta leverantören för aktuell FIPS-valideringsstatus.

• Smartkort är en beprövad teknik. Flera leverantörsprodukter uppfyller FIPS-kraven.

  • Läs mer om valideringsprogrammet för kryptografiska moduler

Windows Hello för företag

FIPS 140 kräver att den kryptografiska gränsen, inklusive programvara, inbyggd programvara och maskinvara, finns i omfånget för utvärdering. Windows-operativsystem kan kopplas ihop med tusentals av dessa kombinationer. Därför är det inte möjligt för Microsoft att ha Windows Hello för företag verifierat på FIPS 140 Säkerhetsnivå 2. Federala kunder bör göra riskbedömningar och utvärdera var och en av följande komponentcertifieringar som en del av riskgodkännandet innan de accepterar den här tjänsten som AAL3:

• Windows 10 och Windows Server använder us government approved protection profile for General Purpose Operating Systems Version 4.2.1 från National Information Assurance Partnership (NIAP). Den här organisationen övervakar ett nationellt program för att utvärdera cots-produkter (commercial off-the-shelf) för att uppfylla internationella gemensamma kriterier.

• Windows kryptografiska bibliotekhar FIPS Nivå 1 Totalt i NIST Cryptographic Module Validation Program (CMVP), en gemensam insats mellan NIST och Canadian Center for Cyber Security. Den här organisationen validerar kryptografiska moduler mot FIPS-standarder.

• Välj en TPM (Trusted Platform Module) som är FIPS 140 Level 2 Overall och FIPS 140 Level 3 Physical Security. Din organisation ser till att maskinvaru-TPM uppfyller de krav på AAL-nivå som du vill ha.

Om du vill fastställa vilka TPM:er som uppfyller aktuella standarder går du till NIST Computer Security Resource Center Cryptographic Module Validation Program. I rutan Modulnamn anger du Modul för betrodd plattform för en lista över maskinvaru-TPM:er som uppfyller standarder.

Enkel inloggning för MacOS-plattform

FIPS 140 Säkerhetsnivå 2 implementeras minst för macOS 13, där de flesta nya enheter implementerar nivå 3. Vi rekommenderar att du refererar till Apples plattformscertifieringar. Det är viktigt att du är medveten om säkerhetsnivån på enheten.

Autentisering igen

För AAL3 är NIST-kraven omautentisering var 12:e timme, oavsett användaraktivitet. Autentisering krävs efter en period av inaktivitet 15 minuter eller längre. Det krävs att du presenterar båda faktorerna.

För att uppfylla kravet på omautentisering, oavsett användaraktivitet, rekommenderar Microsoft att du konfigurerar användarinloggningsfrekvens till 12 timmar.

NIST tillåter kompenserande kontroller för att bekräfta prenumerantnärvaro:

• Ange en sessions-inaktivitetstid på 15 minuter: Lås enheten på OS-nivå med hjälp av Microsoft Configuration Manager, Grupprincipobjekt (GPO) eller Intune. För att prenumeranten ska kunna låsa upp den behöver du lokal autentisering.

• Ange tidsgräns, oavsett aktivitet, genom att köra en schemalagd aktivitet med Configuration Manager, GPO eller Intune. Lås datorn efter 12 timmar, oavsett aktivitet.

Man-in-the-middle motstånd

Kommunikationen mellan sökanden och Microsoft Entra-ID:t sker via en autentiserad, skyddad kanal för motstånd mot man-in-the-middle-attacker (MitM). Den här konfigurationen uppfyller kraven på MitM-motstånd för AAL1, AAL2 och AAL3.

Motstånd mot personifiering av verifierare

Microsoft Entra-autentiseringsmetoder som uppfyller AAL3 använder kryptografiska autentiserare som binder autentiseringsutdata till sessionen som autentiseras. Metoderna använder en privat nyckel som kontrolleras av den sökande. Den offentliga nyckeln är känd för kontrollanten. Den här konfigurationen uppfyller kraven på verifier-impersonation-resistens för AAL3.

Motstånd mot kompromisser för kontrollant

Alla Microsoft Entra-autentiseringsmetoder som uppfyller AAL3:

• Använd en kryptografisk autentisering som kräver att kontrollanten lagrar en offentlig nyckel som motsvarar en privat nyckel som innehas av autentiseringsenheten
• Lagra förväntade autentiseringsutdata med fips-140-verifierade hash-algoritmer

Mer information finns i Microsoft Entra datasäkerhetsöverväganden.

Återuppspelningsmotstånd

Microsoft Entra-autentiseringsmetoder som uppfyller AAL3 använder nonce eller utmaningar. Dessa metoder är resistenta mot reprisattacker eftersom kontrollanten kan identifiera omspelade autentiseringstransaktioner. Sådana transaktioner innehåller inte nödvändiga nonce- eller aktualitetsdata.

Avsikt för autentisering

Att kräva autentiseringssyfte gör det svårare för direktanslutna fysiska autentiseringsprogram, till exempel krypteringsmaskinvara med flera faktorer, att användas utan ämnets vetskap (till exempel av skadlig kod på slutpunkten). Microsoft Entra-metoder som uppfyller AAL3 kräver att användaren anger pin-kod eller biometrisk kod, vilket visar avsikten med autentisering.

Nästa steg

ÖVERSIKT ÖVER NIST

Lär dig mer om AALs

Grundläggande om autentisering

NIST-autentiseringstyper

Uppnå NIST AAL1 med hjälp av Microsoft Entra ID

Uppnå NIST AAL2 med hjälp av Microsoft Entra ID