NIC ACL'ler: AAL bileşenleri ve Microsoft Entra kimlik doğrulama yöntemleri
İzin verilen kimlik doğrulayıcı türleri
Gerekli NIST kimlik doğrulayıcı türlerini karşılamak için Microsoft kimlik doğrulama yöntemlerini kullanın.
Microsoft Entra kimlik doğrulama yöntemleri
NIST kimlik doğrulayıcı türü
Önerilen yöntemler
Çok faktörlü donanım korumalı sertifika FIDO 2 güvenlik anahtarı macOS için Platform SSO (Güvenli Kapanım) Donanım TPM ile İş İçin Windows Hello Microsoft Authenticator1'de Passkey
Çok faktörlü şifreleme donanımı
Ek yöntemler
Parola VE Tek faktörlü donanım korumalı sertifika
Ezberlenmiş gizli dizi VE Tek faktörlü şifreleme donanımı
Microsoft Authenticator'da 1 Passkey, genel olarak kısmi AAL3 olarak kabul edilir ve FIPS 140 Düzey 2 Genel (veya üzeri) ve FIPS 140 düzey 3 fiziksel güvenliği (veya üzeri) olan platformlarda AAL3 olarak nitelenebilir. Microsoft Authenticator (iOS/Android) için FIPS 140 uyumluluğu hakkında ek bilgi için bkz. Microsoft Entra kimlik doğrulaması için FIPS 140 uyumlu
Öneriler
AAL3 için, en büyük saldırı yüzeyi olan parolayı ortadan kaldırarak parolasız kimlik doğrulaması sağlayan çok faktörlü şifreleme donanım doğrulayıcısını kullanmanızı öneririz.
Microsoft Entra Id, kimlik doğrulama şifreleme işlemleri için Windows FIPS 140 Düzey 1 genel olarak doğrulanmış şifreleme modülünü kullanarak Microsoft Entra ID'yi uyumlu bir doğrulayıcı haline getirir.
Doğrulayıcı gereksinimleri
Tek faktörlü ve çok faktörlü şifreleme donanım kimlik doğrulayıcı gereksinimleri.
Tek faktörlü şifreleme donanımı
Doğrulayıcıların şunlar olması gerekir:
FIPS 140 Düzey 1 Genel veya üzeri
FIPS 140 Düzey 3 Fiziksel Güvenlik veya üzeri
Windows cihazıyla kullanılan tek faktörlü donanım korumalı sertifika aşağıdaki durumlarda bu gereksinimi karşılar:
Windows'u FIPS-140 onaylı modda çalıştırabilirsiniz
FIPS 140 Düzey 1 Genel veya üzeri, FIPS 140 Düzey 3 Fiziksel Güvenlikli TPM'ye sahip bir makinede
FIPS 140'a bağlılığı hakkında bilgi edinmek için mobil cihaz satıcınıza başvurun.
Çok faktörlü şifreleme donanımı
Doğrulayıcıların şunlar olması gerekir:
FIPS 140 Düzey 2 Genel veya üzeri
FIPS 140 Düzey 3 Fiziksel Güvenlik veya üzeri
FIDO 2 güvenlik anahtarları, akıllı kartlar ve İş İçin Windows Hello bu gereksinimleri karşılamanıza yardımcı olabilir.
Birden çok FIDO2 güvenlik anahtarı sağlayıcısı FIPS gereksinimlerini karşılar. Desteklenen FIDO2 anahtar satıcılarının listesini gözden geçirmenizi öneririz. Geçerli FIPS doğrulama durumu için sağlayıcınıza başvurun.
Akıllı kartlar kanıtlanmış bir teknolojidir. Birden çok satıcı ürünü FIPS gereksinimlerini karşılar.
FIPS 140, yazılım, üretici yazılımı ve donanım dahil olmak üzere şifreleme sınırının değerlendirme kapsamında olmasını gerektirir. Windows işletim sistemleri bu kombinasyonlardan binlercesiyle eşleştirilebilir. Bu nedenle, Microsoft'un FIPS 140 Güvenlik Düzeyi 2'de İş İçin Windows Hello doğrulanması uygun değildir. Federal müşteriler, bu hizmeti AAL3 olarak kabul etmeden önce risk değerlendirmeleri yapmalı ve aşağıdaki bileşen sertifikalarının her birini risk kabullerinin bir parçası olarak değerlendirmelidir:
Windows 10 ve Windows Server, Ulusal Bilgi Güvencesi Ortaklığı'ndan (NIAP) Genel Amaçlı İşletim Sistemleri sürüm 4.2.1 için ABD Kamu Onaylı Koruma Profili'ni kullanır. Bu kuruluş, ticari kullanıma hazır (COTS) bilgi teknolojisi ürünlerini uluslararası Ortak Kriterlere uygun olarak değerlendirmek için ulusal bir programı denetler.
FIPS 140 Düzey 2 Genel ve FIPS 140 Düzey 3 Fiziksel Güvenlik olan bir Güvenilir Platform Modülü (TPM) seçin. Kuruluşunuz, donanım TPM'sinin istediğiniz AAL düzeyi gereksinimlerini karşıladığından emin olur.
Geçerli standartlara uyan TPM'leri belirlemek için NIST Bilgisayar Güvenliği Kaynak Merkezi Şifreleme Modülü Doğrulama Programı'na gidin. Modül Adı kutusuna standartları karşılayan donanım TPM'lerinin listesi için Güvenilir Platform Modülü girin.
MacOS Platform SSO
Apple macOS 13 (ve üzeri) FIPS 140 Düzey 2 Geneldir ve çoğu cihaz da FIPS 140 Düzey 3 Fiziksel Güvenlik'tır. Apple Platform Sertifikaları'na başvurmanızı öneririz.
AAL3 için NIST gereksinimleri, kullanıcı etkinliğinden bağımsız olarak 12 saatte bir yeniden kimlik doğrulamasıdır. Yeniden kimlik doğrulaması, 15 dakika veya daha uzun bir süre etkinlik yapılmadığında önerilir. Her iki faktörün de sunulması gerekir.
Microsoft, kullanıcı etkinliğinden bağımsız olarak yeniden kimlik doğrulama gereksinimini karşılamak için kullanıcı oturum açma sıklığının 12 saate yapılandırılmasını önerir.
NIST, abone varlığını onaylamak için telafi denetimleri sağlar:
Configuration Manager, GPO veya Intune kullanarak zamanlanmış bir görev çalıştırarak etkinlik ne olursa olsun zaman aşımını ayarlayın. Etkinlik ne olursa olsun makineyi 12 saat sonra kilitleyin.
Önerilen etkinlik dışı kalma süresi zaman aşımı için, 15 dakika süreyle bir oturum etkinlik dışı kalma süresi ayarlayabilirsiniz: Microsoft Configuration Manager, Grup İlkesi Nesnesi (GPO) veya Intune kullanarak cihazı işletim sistemi düzeyinde kilitleyin. Abonenin kilidini açması için yerel kimlik doğrulaması gerekir.
Ortadaki adam direnci
Talep sahibi ile Microsoft Entra ID arasındaki iletişimler, ortadaki adam (MitM) saldırılarına karşı direnç için kimliği doğrulanmış, korumalı bir kanal üzerinden yapılır. Bu yapılandırma AAL1, AAL2 ve AAL3 için MitM direnç gereksinimlerini karşılar.
Doğrulayıcı kimliğe bürünme direnci
AAL3'e uyan Microsoft Entra kimlik doğrulama yöntemleri, kimlik doğrulayıcı çıkışını kimliği doğrulanan oturuma bağlayan şifreleme kimlik doğrulayıcıları kullanır. Yöntemler, talep eden tarafından denetlenen bir özel anahtar kullanır. Ortak anahtar, doğrulayıcı tarafından bilinir. Bu yapılandırma, AAL3 için doğrulayıcı kimliğe bürünme direnci gereksinimlerini karşılar.
Doğrulayıcı güvenliğin aşılmasına karşı dayanıklılık
AAL3'e uyan tüm Microsoft Entra kimlik doğrulama yöntemleri:
Doğrulayıcının kimlik doğrulayıcı tarafından tutulan özel anahtara karşılık gelen bir ortak anahtarı depolamasını gerektiren bir şifreleme kimlik doğrulayıcısı kullanın
FIPS-140 doğrulanmış karma algoritmalarını kullanarak beklenen kimlik doğrulayıcı çıkışını depolama
AAL3'ü karşılayan Microsoft Entra kimlik doğrulama yöntemleri, nonce veya zorluklar kullanır. Doğrulayıcı yeniden oynatılan kimlik doğrulama işlemlerini algılayabildiğinden bu yöntemler yeniden yürütme saldırılarına karşı dayanıklıdır. Bu tür işlemler gerekli nonce veya timeliness verilerini içermez.
Kimlik doğrulama amacı
Kimlik doğrulama amacının zorunlu olması, çok faktörlü şifreleme donanımı gibi doğrudan bağlı fiziksel kimlik doğrulayıcıların konunun bilgisi olmadan kullanılmasını (örneğin, uç noktadaki kötü amaçlı yazılım tarafından) daha zor hale getirir. AAL3'e uyan Microsoft Entra yöntemleri, kimlik doğrulama amacını gösteren pin veya biyometrik kullanıcı girişini gerektirir.