使用 Microsoft Entra ID 的 NIST 驗證器保證等級 3
針對美國國家標準暨技術研究院 (NIST) 驗證器保證等級 3 (AAL3) 使用本文中的資訊。
在取得 AAL2 之前,您可以檢閱下列資源:
- NIST 概觀:了解 AAL 等級
- 驗證基本知識:術語與驗證類型
- NIST 驗證器類型:驗證器類型
- NIST AAL:AAL 元件和 Microsoft Entra 驗證方法
允許的驗證器類型
使用 Microsoft 驗證方法,以符合所需的 NIST 驗證器類型。
| Microsoft Entra 驗證方法 | NIST 驗證器類型 |
|---|---|
| 建議的方法 | |
| 受硬體保護的憑證 (智慧卡/安全性金鑰/TPM) FIDO 2 安全性金鑰 使用硬體 TPM 的 Windows Hello 企業版 macOS 的平台認證 |
多重要素密碼編譯硬體 |
| 其他方法 | |
| 密碼 AND - 已加入 Microsoft Entra (含硬體 TPM) - OR - 已加入 Microsoft Entra 混合式 (含硬體 TPM) |
記住的秘密 AND 單一要素密碼編譯硬體 |
| 密碼 AND OATH 硬體權杖 (預覽) AND - 單一要素軟體憑證 - OR - 已加入 Microsoft Entra 混合式或符合其規範的裝置 (含軟體 TPM) |
記住的秘密 AND 單一要素 OTP 硬體 AND 單一要素密碼編譯硬體 |
建議
針對 AAL3,我們建議使用多重要素密碼編譯硬體驗證器,其會提供無密碼驗證,消除了最大的受攻擊面 (即密碼)。
如需指引,請參閱規劃 Microsoft Entra ID 中的無密碼驗證部署。 另請參閱 Windows Hello 企業版部署指南。
FIPS 140 驗證
驗證器需求
Microsoft Entra ID 會針對其驗證密碼編譯作業,使用 Windows FIPS 140 等級 1 的整體驗證密碼編譯模組,使 Microsoft Entra ID 成為符合規範的驗證器。
驗證器需求
單一要素和多重要素密碼編譯硬體驗證器需求。
單一要素密碼編譯硬體
驗證器必須是:
FIPS 140 等級 1 整體或更高等級
FIPS 140 等級 3 實體安全性或更高等級
已加入 Microsoft Entra 和已加入 Microsoft Entra 混合式的裝置會在下列情況時符合此需求:
您在 FIPS-140 核准的模式下執行 Windows
在配備 FIPS 140 等級 1 整體或更高等級的 TPM 機器上,此機器同時還具備 FIPS 140 等級 3 實體安全性
- 尋找符合規範的 TPM:在密碼編譯模組驗證程式上,搜尋信賴平台模組和 TPM。
諮詢您的行動裝置廠商,了解該廠商對於 FIPS 140 的遵循情況。
多重要素密碼編譯硬體
驗證器必須是:
FIPS 140 等級 2 整體或更高等級
FIPS 140 等級 3 實體安全性或更高等級
FIDO 2 安全性金鑰、智慧卡,以及 Windows Hello 企業版有助於符合這些需求。
FIDO2 金鑰提供者已獲得 FIPS 認證。 建議您檢閱支援的 FIDO2 主要廠商清單。 請諮詢您的提供者,以取得目前的 FIPS 驗證狀態。
智慧卡是一種經過實證的技術。 有多家廠商的產品符合 FIPS 需求。
- 深入了解密碼編譯模組驗證計劃
Windows Hello 企業版
FIPS 140 要求密碼編譯界限 (包括軟體、韌體和硬體) 處於評估範圍內。 Windows 作業系統可與數千個這樣的組合配對。 因此,Microsoft 若要在 FIPS 140 安全性等級 2 上驗證 Windows Hello 企業版,這是不可行的。 聯邦客戶應在接受此服務作為 AAL3 之前,先進行風險評量,並評估下列每一個元件認證,作為其接受風險的一部分:
Windows 10 和 Windows Server 使用由美國政府核准適用於一般用途作業系統版本 4.2.1 的保護,其來源為國家資訊保障合作組織 (NIAP)。 此組織會監看全國性的計劃,以評估商用現成的 (COTS) 資訊技術產品,是否符合國際通用準則。
Windows 密碼編譯連結庫在 NIST 密碼編譯模組驗證計劃 (CMVP) 中具有 FIPS 層級 1 整體,這是 NIST 與加拿大網路安全中心之間的共同努力。 此組織會根據 FIPS 標準驗證密碼編譯模組。
請選擇符合 FIPS 140 等級 2 整體和 FIPS 140 等級 3 實體安全性的信賴平台模組 (TPM)。 您的組織會確保硬體 TPM 符合您想要的 AAL 等級需求。
若要判斷哪些 TPM 符合目前的標準,請前往 NIST 電腦安全性資源中心密碼編譯模組驗證計劃。 在 [模組名稱] 方塊中,輸入[信賴平台模組],以取得符合標準的硬體 TPM 清單。
MacOS 平台 SSO
至少針對 macOS 13 實作 FIPS 140 安全性等級 2,而大部分的新裝置則實作等級 3。 我們建議參考 Apple 平台認證。 請務必注意您裝置上的安全性等級。
重新驗證
針對 AAL3,無論使用者活動為何,每 12 小時都會重新驗證 NIST 需求。 在閒置時間持續 15 分鐘或更久之後,需要重新驗證。 必須同時滿足兩項要素。
為了滿足不論使用者的活動為何,都要重新驗證的需求,Microsoft 建議您將使用者登入頻率設定為 12 小時。
NIST 允許補償控制項來確認訂閱者存在:
設定超過 15 分鐘的工作階段閒置時間:使用 Microsoft Configuration Manager、群組原則物件 (GPO) 或 Intune 鎖定 OS 層級的裝置。 針對訂閱者,若要將其解除鎖定,需要本機驗證。
使用 Configuration Manager、GPO 或 Intune 執行排程工作來設定逾時,無論活動為何。 在 12 小時之後鎖定機器,無論活動為何。
抵禦中間人的攻擊
宣告者與 Microsoft Entra ID 之間的通訊是透過已驗證且受保護的通道進行,以抵禦中間人 (MitM) 的攻擊。 此一設定可以滿足 AAL1、AAL2 和 AAL3 的抵禦中間人攻擊需求。
驗證器模擬抵禦
符合 AAL3 的 Microsoft Entra 驗證方法會使用密碼編譯驗證器,將驗證器輸出繫結至要進行驗證的工作階段。 這些方法會使用由宣告者控制的私密金鑰。 驗證者已知公開金鑰。 此一設定可滿足 AAL3 驗證器模擬抵禦的需求。
驗證器入侵抵禦
符合 AAL3 的 Microsoft Entra 驗證方法:
- 使用密碼編譯驗證器,其會要求驗證者儲存對應於驗證器所持有私密金鑰的公開金鑰
- 使用 FIPS-140 已驗證的雜湊演算法,來儲存預期的驗證器輸出
如需詳細資訊,請參閱 Microsoft Entra 資料安全性考量。
重新執行抵禦
符合 AAL3 的 Microsoft Entra 驗證方法會使用 nonce 或挑戰。 由於驗證者可以偵測到重新執行的驗證交易,因此這些方法能夠抵禦重新執行攻擊。 這類交易將不會包含所需的 nonce 或 timelines 資料。
驗證意圖
需要驗證意圖,這會使得直接連線的實體驗證器 (像是多重要素密碼編譯硬體),在沒有主體知識的情況下更難以使用 (例如,透過端點上的惡意程式碼)。 符合 AAL3 的 Microsoft Entra 方法需要使用者輸入個人識別碼或生物特徵辨識資料,示範驗證意圖。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應