Sdílet prostřednictvím


Úroveň záruky authenticatoru NIST 3 s využitím ID Microsoft Entra

Použijte informace v tomto článku pro ověřovací úroveň ověřování NIST (National Institute of Standards and Technology) (AAL3).

Před získáním AAL2 si můžete projít následující zdroje informací:

  • Přehled NIST: Vysvětlení úrovní AAL
  • Základy ověřování: Terminologie a typy ověřování
  • Typy ověřovacího programu NIST: Typy authenticatoru
  • AALs NIST: Komponenty AAL a metody ověřování Microsoft Entra

Povolené typy authenticatoru

K splnění požadovaných typů ověřovacích objektů NIST použijte metody ověřování Microsoftu.

Metody ověřování Microsoft Entra Typ ověřovacího objektu NIST
Doporučené metody
Vícefaktorový certifikát chráněný hardwarem
Klíč zabezpečení FIDO 2
Jednotné přihlašování platformy pro macOS (Secure Enclave)
Windows Hello pro firmy s hardwarovým čipem TPM
Klíč v Microsoft Authenticatoru1
Kryptografický hardware s vícefaktorovým šifrováním
Další metody
Heslo
A
Certifikát chráněný jedním faktorem hardwaru
Zapamatovaný tajný kód
A
Kryptografický hardware s jedním faktorem

1 Klíč v Microsoft Authenticatoru je celkově považován za částečný AAL3 a může se na platformách s FIPS 140 Level 2 Overall (nebo vyšší) a FIPS 140 úroveň 3 fyzické zabezpečení (nebo vyšší) považovat za AAL3. Další informace o dodržování předpisů STANDARDEM FIPS 140 pro Microsoft Authenticator (iOS/Android) najdete v tématu dodržování předpisů FIPS 140 pro ověřování Microsoft Entra.

Doporučení

Pro AAL3 doporučujeme použít vícefaktorový kryptografický ověřovací program, který poskytuje ověřování bez hesla, čímž se eliminuje největší prostor pro útoky, heslo.

Pokyny najdete v tématu Plánování nasazení ověřování bez hesla v Microsoft Entra ID. Viz také Windows Hello pro firmy průvodce nasazením.

Ověřování FIPS 140

Požadavky na ověřovatele

Microsoft Entra ID používá celkový ověřený kryptografický modul Windows FIPS 140 Level 1 pro své ověřovací kryptografické operace, takže Microsoft Entra ID je kompatibilní ověřovatel.

Požadavky na authenticator

Požadavky na jednofaktorové a vícefaktorové kryptografické ověřování hardwaru

Kryptografický hardware s jedním faktorem

Ověřovací objekty musí být:

  • FIPS 140 Level 1 Overall nebo vyšší

  • Fyzické zabezpečení úrovně 3 úrovně FIPS 140 nebo vyšší

Jednofaktorový certifikát chráněný hardwarem používaný se zařízením s Windows splňuje tento požadavek v těchto případech:

  • Windows spustíte v schváleném režimu FIPS-140.

  • Na počítači s čipem TPM, který má fips 140 úroveň 1 celkově nebo vyšší, s fyzickým zabezpečením FIPS 140 úrovně 3

    • Vyhledání kompatibilních čipů TPM: Vyhledejte modul Trusted Platform Module a TPM v programu pro ověřování kryptografických modulů.

Informace o dodržování standardu FIPS 140 vám poskytne dodavatel mobilních zařízení.

Kryptografický hardware s vícefaktorovým šifrováním

Ověřovací objekty musí být:

  • FIPS 140 Level 2 Overall nebo vyšší

  • Fyzické zabezpečení úrovně 3 úrovně FIPS 140 nebo vyšší

Klíče zabezpečení FIDO 2, čipové karty a Windows Hello pro firmy vám můžou pomoct splnit tyto požadavky.

  • Několik poskytovatelů klíčů zabezpečení FIDO2 splňuje požadavky FIPS. Doporučujeme projít si seznam podporovaných dodavatelů klíčů FIDO2. Aktuální stav ověření FIPS vám poskytne váš poskytovatel.

  • Čipové karty jsou prověřenou technologií. Více dodavatelů produktů splňuje požadavky FIPS.

Windows Hello pro firmy

FiPS 140 vyžaduje kryptografickou hranici, včetně softwaru, firmwaru a hardwaru, aby byla v rozsahu pro vyhodnocení. Operační systémy Windows lze spárovat s tisíci těchto kombinací. Proto není možné, aby společnost Microsoft Windows Hello pro firmy ověřena na úrovni zabezpečení FIPS 140 2. Federální zákazníci by měli provádět posouzení rizik a vyhodnocovat každou z následujících certifikací součástí jako součást přijetí rizika před přijetím této služby jako AAL3:

  • Windows 10 a Windows Server používají profil schválené ochrany státní správy USA pro operační systémy pro obecné účely verze 4.2.1 z programu National Information Assurance Partnership (NIAP). Tato organizace dohlížela na národní program, který bude vyhodnocovat komerční produkty informačních technologií cots (COTS) za účelem souladu s mezinárodními společnými kritérii.

  • Kryptografická knihovna systému Windows má v programu PRO OVĚŘOVÁNÍ kryptografických modulů NIST (CMVP) celkovou úroveň 1, a to společné úsilí mezi NIST a Kanadskou centrem pro kybernetické zabezpečení. Tato organizace ověřuje kryptografické moduly vůči standardům FIPS.

  • Zvolte čip TPM (Trusted Platform Module), který je celkově fips 140 level 2, a fyzické zabezpečení ÚROVNĚ 140 ÚROVNĚ 3. Vaše organizace zajišťuje, že hardware TPM splňuje požadované požadavky na úroveň AAL.

Pokud chcete zjistit čipy TPM, které splňují aktuální standardy, přejděte do programu OVĚŘOVÁNÍ kryptografických modulů služby NIST Computer Security Resource Center. Do pole Název modulu zadejte modul Trusted Platform Module pro seznam hardwarových čipů TPM, které splňují standardy.

Jednotné přihlašování platformy MacOS

Apple macOS 13 (a vyšší) jsou FIPS 140 Level 2 Celkově, s většinou zařízení také FIPS 140 úroveň 3 fyzické zabezpečení. Doporučujeme odkazovat na certifikace platformy Apple.

Klíč v Microsoft Authenticatoru

Další informace o dodržování předpisů STANDARDEM FIPS 140 pro Microsoft Authenticator (iOS/Android) najdete v tématu dodržování předpisů FIPS 140 pro ověřování Microsoft Entra.

Opětovné ověření

V případě AAL3 se požadavky NIST znovu ověřují každých 12 hodin bez ohledu na aktivitu uživatele. Opětovné ověření se doporučuje po 15 minutách nebo delší době nečinnosti. Vyžaduje se prezentace obou faktorů.

Microsoft doporučuje nakonfigurovat frekvenci přihlašování uživatelů na 12 hodin, aby splňovala požadavek na opětovné ověření bez ohledu na aktivitu uživatele.

NIST umožňuje kompenzační ovládací prvky pro potvrzení přítomnosti odběratele:

  • Nastavte časový limit bez ohledu na aktivitu spuštěním naplánované úlohy pomocí Configuration Manageru, objektu zásad skupiny nebo Intune. Uzamkněte počítač po 12 hodinách bez ohledu na aktivitu.

  • Pro doporučený časový limit nečinnosti můžete nastavit dobu nečinnosti relace z 15 minut: Uzamknout zařízení na úrovni operačního systému pomocí Microsoft Configuration Manageru, objektu zásad skupiny (GPO) nebo Intune. Aby ho předplatitel odemkl, vyžaduje místní ověřování.

Man-in-the-middle odpor

Komunikace mezi deklaracemi a ID Microsoft Entra se provádí prostřednictvím ověřeného chráněného kanálu pro odolnost proti útokům typu man-in-the-middle (MitM). Tato konfigurace splňuje požadavky na odolnost MitM pro AAL1, AAL2 a AAL3.

Zosobnění zosobnění

Metody ověřování Microsoft Entra, které splňují protokol AAL3, používají kryptografické ověřovací objekty, které sváže výstup authenticátoru s ověřenou relací. Metody používají privátní klíč řízený deklarátorem. Veřejný klíč je známý pro ověřovatele. Tato konfigurace splňuje požadavky na odolnost ověřovatele a zosobnění pro AAL3.

Ověřitel ohrožení odolnosti

Všechny metody ověřování Microsoft Entra, které splňují AAL3:

  • Použití kryptografického ověřovacího objektu, který vyžaduje, aby ověřovatel ukládala veřejný klíč odpovídající privátnímu klíči uchovávanému ověřovacím objektem.
  • Uložení očekávaného výstupu ověřovacího objektu pomocí ověřených hash algoritmů FIPS-140

Další informace naleznete v tématu Microsoft Entra Data Security Considerations.

Replay odpor

Metody ověřování Microsoft Entra, které splňují AAL3, používají jiné než výzvy. Tyto metody jsou odolné proti útokům na přehrání, protože ověřovatel může detekovat přehrání ověřovacích transakcí. Tyto transakce nebudou obsahovat potřebná data o nedosahování ani aktuálnosti.

Záměr ověřování

Vyžadování záměru ověřování ztěžuje použití přímo připojených fyzických ověřovacích objektů, jako je kryptografický hardware s vícefaktorovými faktory, bez znalosti subjektu (například malwarem na koncovém bodu). Metody Microsoft Entra, které splňují AAL3, vyžadují zadání pinu nebo biometrického kódu uživatele, což demonstruje záměr ověřování.

Další kroky

Přehled NIST

Další informace o AALs

Základy ověřování

Typy ověřovacího programu NIST

Dosažení AAL1 NIST pomocí Microsoft Entra ID

Dosažení AAL2 NIST pomocí Microsoft Entra ID