Úroveň záruky authenticatoru NIST 3 s využitím ID Microsoft Entra
Použijte informace v tomto článku pro ověřovací úroveň ověřování NIST (National Institute of Standards and Technology) (AAL3).
Před získáním AAL2 si můžete projít následující zdroje informací:
- Přehled NIST: Vysvětlení úrovní AAL
- Základy ověřování: Terminologie a typy ověřování
- Typy ověřovacího programu NIST: Typy authenticatoru
- AALs NIST: Komponenty AAL a metody ověřování Microsoft Entra
Povolené typy authenticatoru
K splnění požadovaných typů ověřovacích objektů NIST použijte metody ověřování Microsoftu.
| Metody ověřování Microsoft Entra | Typ ověřovacího objektu NIST |
|---|---|
| Doporučené metody | |
| Vícefaktorový certifikát chráněný hardwarem Klíč zabezpečení FIDO 2 Jednotné přihlašování platformy pro macOS (Secure Enclave) Windows Hello pro firmy s hardwarovým čipem TPM Klíč v Microsoft Authenticatoru1 |
Kryptografický hardware s vícefaktorovým šifrováním |
| Další metody | |
| Heslo A Certifikát chráněný jedním faktorem hardwaru |
Zapamatovaný tajný kód A Kryptografický hardware s jedním faktorem |
1 Klíč v Microsoft Authenticatoru je celkově považován za částečný AAL3 a může se na platformách s FIPS 140 Level 2 Overall (nebo vyšší) a FIPS 140 úroveň 3 fyzické zabezpečení (nebo vyšší) považovat za AAL3. Další informace o dodržování předpisů STANDARDEM FIPS 140 pro Microsoft Authenticator (iOS/Android) najdete v tématu dodržování předpisů FIPS 140 pro ověřování Microsoft Entra.
Doporučení
Pro AAL3 doporučujeme použít vícefaktorový kryptografický ověřovací program, který poskytuje ověřování bez hesla, čímž se eliminuje největší prostor pro útoky, heslo.
Pokyny najdete v tématu Plánování nasazení ověřování bez hesla v Microsoft Entra ID. Viz také Windows Hello pro firmy průvodce nasazením.
Ověřování FIPS 140
Požadavky na ověřovatele
Microsoft Entra ID používá celkový ověřený kryptografický modul Windows FIPS 140 Level 1 pro své ověřovací kryptografické operace, takže Microsoft Entra ID je kompatibilní ověřovatel.
Požadavky na authenticator
Požadavky na jednofaktorové a vícefaktorové kryptografické ověřování hardwaru
Kryptografický hardware s jedním faktorem
Ověřovací objekty musí být:
FIPS 140 Level 1 Overall nebo vyšší
Fyzické zabezpečení úrovně 3 úrovně FIPS 140 nebo vyšší
Jednofaktorový certifikát chráněný hardwarem používaný se zařízením s Windows splňuje tento požadavek v těchto případech:
Windows spustíte v schváleném režimu FIPS-140.
Na počítači s čipem TPM, který má fips 140 úroveň 1 celkově nebo vyšší, s fyzickým zabezpečením FIPS 140 úrovně 3
- Vyhledání kompatibilních čipů TPM: Vyhledejte modul Trusted Platform Module a TPM v programu pro ověřování kryptografických modulů.
Informace o dodržování standardu FIPS 140 vám poskytne dodavatel mobilních zařízení.
Kryptografický hardware s vícefaktorovým šifrováním
Ověřovací objekty musí být:
FIPS 140 Level 2 Overall nebo vyšší
Fyzické zabezpečení úrovně 3 úrovně FIPS 140 nebo vyšší
Klíče zabezpečení FIDO 2, čipové karty a Windows Hello pro firmy vám můžou pomoct splnit tyto požadavky.
Několik poskytovatelů klíčů zabezpečení FIDO2 splňuje požadavky FIPS. Doporučujeme projít si seznam podporovaných dodavatelů klíčů FIDO2. Aktuální stav ověření FIPS vám poskytne váš poskytovatel.
Čipové karty jsou prověřenou technologií. Více dodavatelů produktů splňuje požadavky FIPS.
- Další informace o ověřovacím programu kryptografických modulů
Windows Hello pro firmy
FiPS 140 vyžaduje kryptografickou hranici, včetně softwaru, firmwaru a hardwaru, aby byla v rozsahu pro vyhodnocení. Operační systémy Windows lze spárovat s tisíci těchto kombinací. Proto není možné, aby společnost Microsoft Windows Hello pro firmy ověřena na úrovni zabezpečení FIPS 140 2. Federální zákazníci by měli provádět posouzení rizik a vyhodnocovat každou z následujících certifikací součástí jako součást přijetí rizika před přijetím této služby jako AAL3:
Windows 10 a Windows Server používají profil schválené ochrany státní správy USA pro operační systémy pro obecné účely verze 4.2.1 z programu National Information Assurance Partnership (NIAP). Tato organizace dohlížela na národní program, který bude vyhodnocovat komerční produkty informačních technologií cots (COTS) za účelem souladu s mezinárodními společnými kritérii.
Kryptografická knihovna systému Windows má v programu PRO OVĚŘOVÁNÍ kryptografických modulů NIST (CMVP) celkovou úroveň 1, a to společné úsilí mezi NIST a Kanadskou centrem pro kybernetické zabezpečení. Tato organizace ověřuje kryptografické moduly vůči standardům FIPS.
Zvolte čip TPM (Trusted Platform Module), který je celkově fips 140 level 2, a fyzické zabezpečení ÚROVNĚ 140 ÚROVNĚ 3. Vaše organizace zajišťuje, že hardware TPM splňuje požadované požadavky na úroveň AAL.
Pokud chcete zjistit čipy TPM, které splňují aktuální standardy, přejděte do programu OVĚŘOVÁNÍ kryptografických modulů služby NIST Computer Security Resource Center. Do pole Název modulu zadejte modul Trusted Platform Module pro seznam hardwarových čipů TPM, které splňují standardy.
Jednotné přihlašování platformy MacOS
Apple macOS 13 (a vyšší) jsou FIPS 140 Level 2 Celkově, s většinou zařízení také FIPS 140 úroveň 3 fyzické zabezpečení. Doporučujeme odkazovat na certifikace platformy Apple.
Klíč v Microsoft Authenticatoru
Další informace o dodržování předpisů STANDARDEM FIPS 140 pro Microsoft Authenticator (iOS/Android) najdete v tématu dodržování předpisů FIPS 140 pro ověřování Microsoft Entra.
Opětovné ověření
V případě AAL3 se požadavky NIST znovu ověřují každých 12 hodin bez ohledu na aktivitu uživatele. Opětovné ověření se doporučuje po 15 minutách nebo delší době nečinnosti. Vyžaduje se prezentace obou faktorů.
Microsoft doporučuje nakonfigurovat frekvenci přihlašování uživatelů na 12 hodin, aby splňovala požadavek na opětovné ověření bez ohledu na aktivitu uživatele.
NIST umožňuje kompenzační ovládací prvky pro potvrzení přítomnosti odběratele:
Nastavte časový limit bez ohledu na aktivitu spuštěním naplánované úlohy pomocí Configuration Manageru, objektu zásad skupiny nebo Intune. Uzamkněte počítač po 12 hodinách bez ohledu na aktivitu.
Pro doporučený časový limit nečinnosti můžete nastavit dobu nečinnosti relace z 15 minut: Uzamknout zařízení na úrovni operačního systému pomocí Microsoft Configuration Manageru, objektu zásad skupiny (GPO) nebo Intune. Aby ho předplatitel odemkl, vyžaduje místní ověřování.
Man-in-the-middle odpor
Komunikace mezi deklaracemi a ID Microsoft Entra se provádí prostřednictvím ověřeného chráněného kanálu pro odolnost proti útokům typu man-in-the-middle (MitM). Tato konfigurace splňuje požadavky na odolnost MitM pro AAL1, AAL2 a AAL3.
Zosobnění zosobnění
Metody ověřování Microsoft Entra, které splňují protokol AAL3, používají kryptografické ověřovací objekty, které sváže výstup authenticátoru s ověřenou relací. Metody používají privátní klíč řízený deklarátorem. Veřejný klíč je známý pro ověřovatele. Tato konfigurace splňuje požadavky na odolnost ověřovatele a zosobnění pro AAL3.
Ověřitel ohrožení odolnosti
Všechny metody ověřování Microsoft Entra, které splňují AAL3:
- Použití kryptografického ověřovacího objektu, který vyžaduje, aby ověřovatel ukládala veřejný klíč odpovídající privátnímu klíči uchovávanému ověřovacím objektem.
- Uložení očekávaného výstupu ověřovacího objektu pomocí ověřených hash algoritmů FIPS-140
Další informace naleznete v tématu Microsoft Entra Data Security Considerations.
Replay odpor
Metody ověřování Microsoft Entra, které splňují AAL3, používají jiné než výzvy. Tyto metody jsou odolné proti útokům na přehrání, protože ověřovatel může detekovat přehrání ověřovacích transakcí. Tyto transakce nebudou obsahovat potřebná data o nedosahování ani aktuálnosti.
Záměr ověřování
Vyžadování záměru ověřování ztěžuje použití přímo připojených fyzických ověřovacích objektů, jako je kryptografický hardware s vícefaktorovými faktory, bez znalosti subjektu (například malwarem na koncovém bodu). Metody Microsoft Entra, které splňují AAL3, vyžadují zadání pinu nebo biometrického kódu uživatele, což demonstruje záměr ověřování.
Další kroky
Typy ověřovacího programu NIST