Microsoft Entra Id kullanarak NIST kimlik doğrulayıcı güvence düzeyi 3
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) kimlik doğrulayıcı güvence düzeyi 3 (AAL3) için bu makaledeki bilgileri kullanın.
AAL2'yi edinmeden önce aşağıdaki kaynakları gözden geçirebilirsiniz:
- NIST'ye genel bakış: AAL düzeylerini anlama
- Kimlik doğrulamasıyla ilgili temel bilgiler: Terminoloji ve kimlik doğrulama türleri
- NIST kimlik doğrulayıcı türleri: Doğrulayıcı türleri
- NIC ACL'ler: AAL bileşenleri ve Microsoft Entra kimlik doğrulama yöntemleri
İzin verilen kimlik doğrulayıcı türleri
Gerekli NIST kimlik doğrulayıcı türlerini karşılamak için Microsoft kimlik doğrulama yöntemlerini kullanın.
| Microsoft Entra kimlik doğrulama yöntemleri | NIST kimlik doğrulayıcı türü |
|---|---|
| Önerilen yöntemler | |
| Donanım korumalı sertifika (akıllı kart/güvenlik anahtarı/TPM) FIDO 2 güvenlik anahtarı Donanım TPM ile İş İçin Windows Hello macOS için platform kimlik bilgileri |
Çok faktörlü şifreleme donanımı |
| Ek yöntemler | |
| Parola VE - Donanım TPM'siyle birleştirilen Microsoft Entra - OR - Donanım TPM'siyle birleştirilen Microsoft Entra karma |
Ezberlenmiş gizli dizi VE Tek faktörlü şifreleme donanımı |
| Parola VE OATH donanım belirteçleri (Önizleme) VE - Tek faktörlü yazılım sertifikası - OR - Yazılım TPM'siyle Microsoft Entra karma katılmış veya uyumlu cihaz |
Ezberlenmiş gizli dizi VE Tek faktörlü OTP donanımı VE Tek faktörlü şifreleme yazılımı |
Öneriler
AAL3 için, en büyük saldırı yüzeyi olan parolayı ortadan kaldırarak parolasız kimlik doğrulaması sağlayan çok faktörlü şifreleme donanım doğrulayıcısını kullanmanızı öneririz.
Yönergeler için bkz . Microsoft Entra Id'de parolasız kimlik doğrulaması dağıtımı planlama. Ayrıca bkz. İş İçin Windows Hello dağıtım kılavuzu.
FIPS 140 doğrulaması
Doğrulayıcı gereksinimleri
Microsoft Entra Id, kimlik doğrulama şifreleme işlemleri için Windows FIPS 140 Düzey 1 genel olarak doğrulanmış şifreleme modülünü kullanarak Microsoft Entra ID'yi uyumlu bir doğrulayıcı haline getirir.
Doğrulayıcı gereksinimleri
Tek faktörlü ve çok faktörlü şifreleme donanım kimlik doğrulayıcı gereksinimleri.
Tek faktörlü şifreleme donanımı
Doğrulayıcıların şunlar olması gerekir:
FIPS 140 Düzey 1 Genel veya üzeri
FIPS 140 Düzey 3 Fiziksel Güvenlik veya üzeri
Microsoft Entra'ya katılmış ve Microsoft Entra karma katılmış cihazlar aşağıdaki durumlarda bu gereksinimi karşılar:
FIPS 140 Düzey 1 Genel veya üzeri, FIPS 140 Düzey 3 Fiziksel Güvenlikli TPM'ye sahip bir makinede
FIPS 140'a bağlılığı hakkında bilgi edinmek için mobil cihaz satıcınıza başvurun.
Çok faktörlü şifreleme donanımı
Doğrulayıcıların şunlar olması gerekir:
FIPS 140 Düzey 2 Genel veya üzeri
FIPS 140 Düzey 3 Fiziksel Güvenlik veya üzeri
FIDO 2 güvenlik anahtarları, akıllı kartlar ve İş İçin Windows Hello bu gereksinimleri karşılamanıza yardımcı olabilir.
FIDO2 anahtar sağlayıcıları FIPS sertifikasındadır. Desteklenen FIDO2 anahtar satıcılarının listesini gözden geçirmenizi öneririz. Geçerli FIPS doğrulama durumu için sağlayıcınıza başvurun.
Akıllı kartlar kanıtlanmış bir teknolojidir. Birden çok satıcı ürünü FIPS gereksinimlerini karşılar.
- Şifreleme Modülü Doğrulama Programı hakkında daha fazla bilgi edinin
İş İçin Windows Hello
FIPS 140, yazılım, üretici yazılımı ve donanım dahil olmak üzere şifreleme sınırının değerlendirme kapsamında olmasını gerektirir. Windows işletim sistemleri bu kombinasyonlardan binlercesiyle eşleştirilebilir. Bu nedenle, Microsoft'un FIPS 140 Güvenlik Düzeyi 2'de İş İçin Windows Hello doğrulanması uygun değildir. Federal müşteriler, bu hizmeti AAL3 olarak kabul etmeden önce risk değerlendirmeleri yapmalı ve aşağıdaki bileşen sertifikalarının her birini risk kabullerinin bir parçası olarak değerlendirmelidir:
Windows 10 ve Windows Server, Ulusal Bilgi Güvencesi Ortaklığı'ndan (NIAP) Genel Amaçlı İşletim Sistemleri sürüm 4.2.1 için ABD Kamu Onaylı Koruma Profili'ni kullanır. Bu kuruluş, ticari kullanıma hazır (COTS) bilgi teknolojisi ürünlerini uluslararası Ortak Kriterlere uygun olarak değerlendirmek için ulusal bir programı denetler.
Windows Şifreleme Kitaplığı, NIST ile Kanada Siber Güvenlik Merkezi arasında ortak bir çalışma olan NIST Şifreleme Modülü Doğrulama Programı'nda (CMVP) FIPS Düzey 1'e sahiptir. Bu kuruluş şifreleme modüllerini FIPS standartlarına göre doğrular.
FIPS 140 Düzey 2 Genel ve FIPS 140 Düzey 3 Fiziksel Güvenlik olan bir Güvenilir Platform Modülü (TPM) seçin. Kuruluşunuz, donanım TPM'sinin istediğiniz AAL düzeyi gereksinimlerini karşıladığından emin olur.
Geçerli standartlara uyan TPM'leri belirlemek için NIST Bilgisayar Güvenliği Kaynak Merkezi Şifreleme Modülü Doğrulama Programı'na gidin. Modül Adı kutusuna standartları karşılayan donanım TPM'lerinin listesi için Güvenilir Platform Modülü girin.
MacOS Platform SSO
FIPS 140 Güvenlik Düzeyi 2, macOS 13 için en azından uygulanır ve yeni cihazların çoğu Düzey 3'i uygular. Apple Platform Sertifikaları'na başvurmanızı öneririz. Cihazınızdaki güvenlik düzeyini bilmeniz önemlidir.
Yeniden kimlik doğrulama
AAL3 için NIST gereksinimleri, kullanıcı etkinliğinden bağımsız olarak 12 saatte bir yeniden kimlik doğrulamasıdır. Yeniden kimlik doğrulaması, 15 dakika veya daha uzun bir süre etkinlik dışı kalındıktan sonra gereklidir. Her iki faktörün de sunulması gerekir.
Microsoft, kullanıcı etkinliğinden bağımsız olarak yeniden kimlik doğrulama gereksinimini karşılamak için kullanıcı oturum açma sıklığının 12 saate yapılandırılmasını önerir.
NIST, abone varlığını onaylamak için telafi denetimleri sağlar:
Oturum etkinlik dışı kalma süresini 15 dakika olarak ayarlayın: Microsoft Configuration Manager, Grup İlkesi Nesnesi (GPO) veya Intune kullanarak cihazı işletim sistemi düzeyinde kilitleyin. Abonenin kilidini açması için yerel kimlik doğrulaması gerekir.
Configuration Manager, GPO veya Intune kullanarak zamanlanmış bir görev çalıştırarak etkinlik ne olursa olsun zaman aşımını ayarlayın. Etkinlik ne olursa olsun makineyi 12 saat sonra kilitleyin.
Ortadaki adam direnci
Talep sahibi ile Microsoft Entra ID arasındaki iletişimler, ortadaki adam (MitM) saldırılarına karşı direnç için kimliği doğrulanmış, korumalı bir kanal üzerinden yapılır. Bu yapılandırma AAL1, AAL2 ve AAL3 için MitM direnç gereksinimlerini karşılar.
Doğrulayıcı kimliğe bürünme direnci
AAL3'e uyan Microsoft Entra kimlik doğrulama yöntemleri, kimlik doğrulayıcı çıkışını kimliği doğrulanan oturuma bağlayan şifreleme kimlik doğrulayıcıları kullanır. Yöntemler, talep eden tarafından denetlenen bir özel anahtar kullanır. Ortak anahtar, doğrulayıcı tarafından bilinir. Bu yapılandırma, AAL3 için doğrulayıcı kimliğe bürünme direnci gereksinimlerini karşılar.
Doğrulayıcı güvenliğin aşılmasına karşı dayanıklılık
AAL3'e uyan tüm Microsoft Entra kimlik doğrulama yöntemleri:
- Doğrulayıcının kimlik doğrulayıcı tarafından tutulan özel anahtara karşılık gelen bir ortak anahtarı depolamasını gerektiren bir şifreleme kimlik doğrulayıcısı kullanın
- FIPS-140 doğrulanmış karma algoritmalarını kullanarak beklenen kimlik doğrulayıcı çıkışını depolama
Daha fazla bilgi için bkz . Microsoft Entra Veri Güvenliği Konuları.
Yeniden yürütme direnci
AAL3'ü karşılayan Microsoft Entra kimlik doğrulama yöntemleri, nonce veya zorluklar kullanır. Doğrulayıcı yeniden oynatılan kimlik doğrulama işlemlerini algılayabildiğinden bu yöntemler yeniden yürütme saldırılarına karşı dayanıklıdır. Bu tür işlemler gerekli nonce veya timeliness verilerini içermez.
Kimlik doğrulama amacı
Kimlik doğrulama amacının zorunlu olması, çok faktörlü şifreleme donanımı gibi doğrudan bağlı fiziksel kimlik doğrulayıcıların konunun bilgisi olmadan kullanılmasını (örneğin, uç noktadaki kötü amaçlı yazılım tarafından) daha zor hale getirir. AAL3'e uyan Microsoft Entra yöntemleri, kimlik doğrulama amacını gösteren pin veya biyometrik kullanıcı girişini gerektirir.
Sonraki adımlar
Kimlik doğrulaması temel bilgileri
NIST kimlik doğrulayıcı türleri