Condividi tramite

Configurare i controlli di identificazione e autenticazione (IA) di cmmc livello 2

  • Articolo

Microsoft Entra ID consente di soddisfare i requisiti di pratica correlati all'identità in ogni livello di certificazione cmmc (Cybersecurity Maturity Model Certification). Per completare altre configurazioni o processi in modo che siano conformi ai requisiti cmmc V2.0 di livello 2, è responsabilità delle aziende che svolgono il lavoro e per conto dell'Ufficio di difesa (DoD).

CMMC Level 2 ha 13 domini con una o più procedure correlate all'identità. I domini sono:

  • Controllo di accesso (AC)
  • Controllo e responsabilità (AU)
  • Gestione della configurazione (CM)
  • Identificazione e autenticazione (IA)
  • Risposta agli eventi imprevisti (IR)
  • Manutenzione (MA)
  • Protezione dei supporti (MP)
  • Sicurezza del personale (PS)
  • Protezione fisica (PE)
  • Valutazione dei rischi (RA)
  • Valutazione della sicurezza (CA)
  • Protezione dei sistemi e delle comunicazioni (SC)
  • Integrità del sistema e delle informazioni (SI)

Nella parte restante di questo articolo vengono fornite indicazioni per il dominio di identificazione e autorizzazione (IA). È disponibile una tabella con collegamenti al contenuto che fornisce indicazioni dettagliate per eseguire la procedura.

Identificazione e autenticazione

Nella tabella seguente è riportato un elenco di obiettivi e istruzioni sulle procedure e indicazioni di Microsoft Entra per consentire di soddisfare questi requisiti con Microsoft Entra ID.

Obiettivi e istruzioni sulle procedure CMMC Indicazioni e consigli per Microsoft Entra
IA. L2-3.5.3

Istruzione pratica: usare l'autenticazione a più fattori per l'accesso locale e di rete agli account con privilegi e per l'accesso di rete agli account senza privilegi.

Obiettivi:
Determinare se:
[a.] gli account con privilegi vengono identificati;
[b.] l'autenticazione a più fattori viene implementata per l'accesso locale agli account con privilegi;
[c.] l'autenticazione a più fattori viene implementata per l'accesso di rete agli account con privilegi; e
[d.] l'autenticazione a più fattori viene implementata per l'accesso di rete agli account senza privilegi.		 Gli elementi seguenti sono definizioni per i termini usati per questa area di controllo:
  • Accesso locale: accesso a un sistema informativo aziendale da parte di un utente (o processo che agisce per conto di un utente) che comunica tramite una connessione diretta senza l'uso di una rete.
  • Accesso alla rete: accesso a un sistema informativo da parte di un utente (o di un processo che agisce per conto di un utente) che comunica attraverso una rete (ad esempio, rete locale, rete a livello di area, Internet).
  • Utente con privilegi: un utente autorizzato (e quindi attendibile) a eseguire funzioni rilevanti per la sicurezza che gli utenti ordinari non sono autorizzati a eseguire.

    Suddividere il requisito precedente significa:
  • Tutti gli utenti sono necessari MFA per l'accesso di rete/remoto.
  • Solo gli utenti con privilegi sono necessari MFA per l'accesso locale. Se gli account utente normali hanno diritti amministrativi solo nei computer, non sono un "account con privilegi" e non richiedono l'autenticazione a più fattori per l'accesso locale.

    L'utente è responsabile della configurazione dell'accesso condizionale per richiedere l'autenticazione a più fattori. Abilitare i metodi di autenticazione di Microsoft Entra che soddisfano AAL2 e versioni successive.
    Concedere controlli nei Criteri di accesso condizionale
    Ottenere livelli di garanzia dell'autenticatore NIST con Microsoft Entra ID
    Metodi e funzionalità di autenticazione
    		•
    IA. L2-3.5.4

    Dichiarazione pratica: usare meccanismi di autenticazione resistenti alla riproduzione per l'accesso di rete agli account con privilegi e senza privilegi.

    Obiettivi:
    Determinare se:
    [a.] I meccanismi di autenticazione resistenti alla riproduzione vengono implementati per l'accesso dell'account di rete agli account con privilegi e senza privilegi.    		 Tutti i metodi di autenticazione di Microsoft Entra in AAL2 e versioni successive sono resistenti alla riproduzione.
    Ottenere livelli di garanzia dell'autenticatore NIST con Microsoft Entra ID
    IA. L2-3.5.5

    Istruzione practice: impedire il riutilizzo degli identificatori per un periodo definito.

    Obiettivi:
    Determinare se:
    [a.] un periodo entro il quale non è possibile riutilizzare gli identificatori; e
    [b.] il riutilizzo degli identificatori viene impedito entro il periodo definito.    		 Tutti gli identificatori univoci univoci (GUID) di tutti gli utenti, i gruppi e gli oggetti dispositivo sono garantiti univoci e non riutilizzabili per tutta la durata del tenant di Microsoft Entra.
    tipo di risorsa utente - Microsoft Graph v1.0
    tipo di risorsa del gruppo - Microsoft Graph v1.0
    tipo di risorsa del dispositivo - Microsoft Graph v1.0
    IA. L2-3.5.6

    Istruzione pratica: disabilitare gli identificatori dopo un periodo di inattività definito.

    Obiettivi:
    Determinare se:
    [a.] periodo di inattività dopo il quale viene definito un identificatore disabilitato; e
    [b.] gli identificatori vengono disabilitati dopo il periodo di inattività definito.    		 Implementare l'automazione della gestione degli account con Microsoft Graph e Microsoft Graph PowerShell SDK. Usare Microsoft Graph per monitorare l'attività di accesso e Microsoft Graph PowerShell SDK per intervenire sugli account entro l'intervallo di tempo necessario.

    Determinare l'inattività
    Gestire gli account utente inattivi in Microsoft Entra ID
    Gestire i dispositivi non aggiornati in Microsoft Entra ID

    Rimuovere o disabilitare gli account
    Usare gli utenti in Microsoft Graph
    Ottenere un utente
    Aggiornare un utente
    Eliminare un utente

    Usare i dispositivi in Microsoft Graph
    Ottenere il dispositivo
    Aggiornare il dispositivo
    Eliminare il dispositivo

    Usare Microsoft Graph PowerShell SDK
    Get-MgUser
    Update-MgUser
    Get-MgDevice
    Update-MgDevice
    IA. L2-3.5.7

    Istruzioni sulle procedure:

    Obiettivi: applicare una complessità minima delle password e modificare i caratteri quando vengono create nuove password.
    Determinare se:
    [a.] vengono definiti i requisiti di complessità delle password;
    [b.] vengono definiti i requisiti di modifica delle password dei caratteri;
    [c.] i requisiti minimi di complessità delle password, come definito, vengono applicati quando vengono create nuove password; e
    [d.] la modifica minima della password dei requisiti di carattere, come definito, viene applicata quando vengono create nuove password.

    IA. L2-3.5.8

    Istruzione pratica: impedire il riutilizzo delle password per un numero specificato di generazioni.

    Obiettivi:
    Determinare se:
    [a.] numero di generazioni durante le quali non è possibile riutilizzare una password; e
    [b.] il riutilizzo delle password non è consentito durante il numero specificato di generazioni.    		 È consigliabile adottare strategie senza password. Questo controllo è applicabile solo agli autenticatori di password, pertanto la rimozione delle password come autenticatore disponibile esegue il rendering di questo controllo non applicabile.

    Per NIST SP 800-63 B Sezione 5.1.1: mantenere un elenco di password comunemente usate, previste o compromesse.

    In presenza di questo servizio, gli elenchi globali di password vietate vengono applicati automaticamente a tutti gli utenti appartenenti a un tenant di Microsoft Entra. Per supportare le esigenze aziendali e di sicurezza, è possibile definire voci in un elenco personalizzato di password escluse. Quando gli utenti modificano o reimpostano le password, questi elenchi di password escluse vengono controllati per applicare l'uso di password complesse.
    Per i clienti che richiedono una modifica rigorosa dei caratteri delle password, i requisiti di riutilizzo delle password e complessità usano gli account ibridi configurati con la sincronizzazione dell'hash delle password. Questa azione garantisce che le password sincronizzate con Microsoft Entra ID ereditino le restrizioni configurate nei criteri password di Active Directory. Proteggere ulteriormente le password locali configurando la protezione password di Microsoft Entra locale per i servizi di Dominio di Active Directory.
    Pubblicazione speciale NIST 800-63 B
    Pubblicazione speciale NIST 800-53 Revisione 5 (IA-5 - Miglioramento del controllo (1)
    Eliminare le password non dannose usando la protezione password di Microsoft Entra
    Cos'è la sincronizzazione dell'hash delle password con Microsoft Entra ID?
    IA. L2-3.5.9

    Istruzione pratica: consente l'uso temporaneo della password per gli accessi di sistema con una modifica immediata a una password permanente.

    Obiettivi:
    Determinare se:
    [a.] Quando viene usata una password temporanea per l'accesso di sistema, è necessaria una modifica immediata a una password permanente.    		 Una password iniziale dell'utente di Microsoft Entra è una password di utilizzo singolo temporanea che, una volta usata correttamente, deve essere immediatamente modificata in una password permanente. Microsoft incoraggia vivamente l'adozione di metodi di autenticazione senza password. Gli utenti possono avviare metodi di autenticazione senza password usando il pass di accesso temporaneo (TAP). TAP è un tempo e usa passcode limitato rilasciato da un amministratore che soddisfa i requisiti di autenticazione avanzata. L'uso dell'autenticazione senza password insieme al tempo e all'uso di TAP limitato elimina completamente l'uso delle password (e il relativo riutilizzo).
    Aggiungere o eliminare utenti
    Configurare un Pass di accesso temporaneo in Microsoft Entra ID per registrare i metodi di autenticazione senza password
    Autenticazione senza password
    IA. L2-3.5.10

    Istruzione pratica: archiviare e trasmettere solo password protette dal punto di vista crittografico.

    Obiettivi:
    Determinare se:
    [a.] le password sono protette crittograficamente nell'archiviazione; e
    [b.] le password sono protette in modo crittografico in transito.    		 Crittografia dei segreti inattivi:
    Oltre alla crittografia a livello di disco, quando sono inattivi, i segreti archiviati nella directory vengono crittografati tramite Distributed Key Manager (DKM). Le chiavi di crittografia vengono archiviate nell'archivio principale di Microsoft Entra e a loro volta vengono crittografate con una chiave di unità di scala. La chiave viene archiviata in un contenitore protetto con elenchi di controllo di accesso alla directory, per gli utenti con privilegi più elevati e servizi specifici. La chiave simmetrica viene in genere ruotata ogni sei mesi. L'accesso all'ambiente è ulteriormente protetto con controlli operativi e sicurezza fisica.

    Crittografia in transito:
    Per garantire la sicurezza dei dati, i dati della directory in Microsoft Entra ID vengono firmati e crittografati durante il transito tra data center all'interno di un'unità di scala. I dati vengono crittografati e non crittografati dal livello di archivio principale di Microsoft Entra, che si trova all'interno di aree di hosting server protette dei data center Microsoft associati.

    I servizi Web rivolti ai clienti sono protetti tramite il protocollo TLS (Transport Layer Security).
    Per altre informazioni, scaricare Considerazioni sulla protezione dei dati - Sicurezza dei dati. Nella pagina 15 sono disponibili altri dettagli.
    Demystifying Password Hash Sync (microsoft.com)
    Considerazioni sulla sicurezza dei dati di Microsoft Entra
    IA. L2-3.5.11

    Dichiarazione pratica: nascondere il feedback delle informazioni di autenticazione.

    Obiettivi:
    Determinare se:
    [a.] le informazioni di autenticazione sono oscurate durante il processo di autenticazione.    		 Per impostazione predefinita, Microsoft Entra ID nasconde tutti i commenti e suggerimenti degli autenticatori.

    Passaggi successivi