Livello di garanzia dell'autenticatore NIST 3 tramite Microsoft Entra ID
Usare le informazioni contenute in questo articolo per il livello di garanzia dell'autenticatore NIST (National Institute of Standards and Technology) 3 (AAL3).
Prima di ottenere AAL2, è possibile esaminare le risorse seguenti:
- Panoramica di NIST: Informazioni sui livelli AAL
- Nozioni di base per l'autenticazione: terminologia e tipi di autenticazione
- Tipi di authenticator NIST: tipi authenticator
- AALs NIST: componenti AAL e metodi di autenticazione di Microsoft Entra
Tipi di authenticator consentiti
Usare i metodi di autenticazione Microsoft per soddisfare i tipi di autenticatori NIST necessari.
| Metodi di autenticazione Microsoft Entra. | Tipo di autenticatore NIST |
|---|---|
| Metodi consigliati | |
| Certificato protetto da hardware a più fattori Chiavi di sicurezza FIDO 2 Platform SSO for macOS (Secure Enclave) Windows Hello for Business con TPM hardware Passkey in Microsoft Authenticator1 |
Hardware crittografico a più fattori |
| Metodi aggiuntivi | |
| Password AND Certificato protetto da hardware a singolo fattore |
Segreto memorizzato AND Hardware crittografico a singolo fattore |
1 Passkey in Microsoft Authenticator è considerato complessivamente parziale AAL3 e può qualificarsi come AAL3 sulle piattaforme con FIPS 140 Level 2 Overall (o superiore) e FIPS 140 livello 3 sicurezza fisica (o superiore). Per altre informazioni sulla conformità FIPS 140 per Microsoft Authenticator (iOS/Android), vedere Conforme a FIPS 140 per l'autenticazione di Microsoft Entra
Consigli
Per AAL3, è consigliabile usare un autenticatore hardware crittografico a più fattori che fornisce l'autenticazione senza password eliminando la superficie di attacco più grande, la password.
Per indicazioni, vedere Pianificare una distribuzione di autenticazione senza password in Microsoft Entra ID. Vedi anche Guida alla distribuzione di Windows Hello for Business.
Convalida FIPS 140
Verificare i requisiti
Microsoft Entra ID usa il modulo di crittografia convalidato generale di Windows FIPS 140 Livello 1 per le operazioni di crittografia di autenticazione, rendendo Microsoft Entra ID un verificatore conforme.
Requisiti dell'autenticazione
Requisiti dell'autenticatore hardware crittografico a fattore singolo e a più fattori.
Hardware crittografico a singolo fattore
Gli autenticatori devono essere:
FIPS 140 Livello 1 Generale o superiore
FIPS 140 Livello 3 Sicurezza fisica o superiore
Il certificato protetto da hardware a singolo fattore usato con il dispositivo Windows soddisfa questo requisito quando:
In un computer con un TPM con fips 140 livello 1 generale o superiore, con sicurezza fisica FIPS 140 livello 3
- Trovare TPM conformi: cercare Trusted Platform Module e TPM nel programma di convalida del modulo di crittografia.
Consultare il fornitore di dispositivi mobili per ottenere informazioni sulla loro conformità con FIPS 140.
Hardware crittografico a più fattori
Gli autenticatori devono essere:
FIPS 140 Livello 2 Generale o superiore
FIPS 140 Livello 3 Sicurezza fisica o superiore
Le chiavi di sicurezza FIDO 2, le smart card e Windows Hello for Business consentono di soddisfare questi requisiti.
Più provider di chiavi di sicurezza FIDO2 soddisfano i requisiti FIPS. È consigliabile esaminare l'elenco dei fornitori di chiavi FIDO2 supportati. Consultare il provider per ottenere lo stato di convalida FIPS corrente.
Le smart card sono una tecnologia collaudata. Più prodotti fornitore soddisfano i requisiti FIPS.
- Altre informazioni sul programma di convalida del modulo di crittografia
Windows Hello for Business (Configurare Windows Hello for Business)
FIPS 140 richiede che il limite crittografico, incluso software, firmware e hardware, sia incluso nell'ambito per la valutazione. I sistemi operativi Windows possono essere associati a migliaia di queste combinazioni. Di conseguenza, non è possibile che Microsoft disponga di Windows Hello for Business convalidato al livello di sicurezza FIPS 140 2. I clienti federali devono eseguire valutazioni dei rischi e valutare ognuna delle certificazioni componenti seguenti come parte dell'accettazione dei rischi prima di accettare questo servizio come AAL3:
Windows 10 e Windows Server usano il profilo di protezione approvato dal governo degli Stati Uniti per i sistemi operativi per utilizzo generico versione 4.2.1 della National Information Assurance Partnership (NIAP). Questa organizzazione supervisiona un programma nazionale per valutare i prodotti commerciali di tecnologia informatica OFF-the-shelf per la conformità con i criteri comuni internazionali.
La libreria di crittografia Di Windows ha il livello 1 FIPS Complessivamente nel programma CMVP (Cryptographic Module Validation Program ) NIST, uno sforzo congiunto tra NIST e il Centro canadese per la sicurezza informatica. Questa organizzazione convalida i moduli crittografici rispetto agli standard FIPS.
Scegliere un modulo TPM (Trusted Platform Module) che sia FIPS 140 Level 2 Overall e FIPS 140 Level 3 Physical Security.Choose a Trusted Platform Module (TPM) that's FIPS 140 Level 2 Overall, and FIPS 140 Level 3 Physical Security. L'organizzazione garantisce che il TPM hardware soddisfi i requisiti a livello di AAL desiderati.
Per determinare i TPM che soddisfano gli standard correnti, passare a NIST Computer Security Resource Center Cryptographic Module Validation Program.To determine the TPMs that meet current standards, go to NIST Computer Security Resource Center Cryptographic Module Validation Program. Nella casella Nome modulo immettere Trusted Platform Module per un elenco di TPM hardware che soddisfano gli standard.
MacOS Platform SSO
Apple macOS 13 (e versioni successive) sono FIPS 140 Level 2 Overall, con la maggior parte dei dispositivi anche FIPS 140 Level 3 Physical Security. È consigliabile fare riferimento alle certificazioni della piattaforma Apple.
Passkey in Microsoft Authenticator
Per altre informazioni sulla conformità FIPS 140 per Microsoft Authenticator (iOS/Android), vedere Conforme a FIPS 140 per l'autenticazione di Microsoft Entra
Riautenticazione
Per AAL3, i requisiti NIST vengono riautenticati ogni 12 ore, indipendentemente dall'attività dell'utente. La riautenticazione è consigliata dopo un periodo di inattività di 15 minuti o più. La presentazione di entrambi i fattori è obbligatoria.
Per soddisfare i requisiti di riautenticazione, indipendentemente dall'attività dell'utente, Microsoft consiglia di configurare la frequenza di accesso utente a 12 ore.
NIST consente di compensare i controlli per confermare la presenza del sottoscrittore:
Impostare il timeout, indipendentemente dall'attività, eseguendo un'attività pianificata usando Configuration Manager, Oggetto Criteri di gruppo o Intune. Bloccare la macchina dopo 12 ore, indipendentemente dall'attività.
Per il timeout di inattività consigliato, è possibile impostare un timeout di inattività della sessione di 15 minuti: Bloccare il dispositivo a livello di sistema operativo usando Microsoft Configuration Manager, Oggetto Criteri di gruppo o Intune. Affinché il sottoscrittore lo sblocchi, richiedere l'autenticazione locale.
Resistenza man-in-the-middle
Le comunicazioni tra il richiedente e l'ID Microsoft Entra si trovano su un canale autenticato e protetto per la resistenza agli attacchi man-in-the-middle (MitM). Questa configurazione soddisfa i requisiti di resistenza MitM per AAL1, AAL2 e AAL3.
Resistenza alla rappresentazione del verificatore
I metodi di autenticazione di Microsoft Entra che soddisfano AAL3 usano autenticatori crittografici che associano l'output dell'autenticatore alla sessione in fase di autenticazione. I metodi usano una chiave privata controllata dall'attestazione. La chiave pubblica è nota al verificatore. Questa configurazione soddisfa i requisiti di resistenza alla rappresentazione del verificatore per AAL3.
Resistenza alla compromissione del verificatore
Tutti i metodi di autenticazione di Microsoft Entra che soddisfano AAL3:
- Usare un autenticatore crittografico che richiede l'archiviazione di una chiave pubblica corrispondente a una chiave privata mantenuta dall'autenticatore
- Archiviare l'output dell'autenticatore previsto usando algoritmi hash convalidati FIPS-140
Per altre informazioni, vedere Considerazioni sulla sicurezza dei dati di Microsoft Entra.
Replay resistente
I metodi di autenticazione di Microsoft Entra che soddisfano AAL3 usano problemi o nonce. Questi metodi sono resistenti agli attacchi di riproduzione perché il verificatore può rilevare le transazioni di autenticazione riprodotte. Tali transazioni non conterranno i dati di nonce o di tempestività necessari.
Finalità di autenticazione
La richiesta della finalità di autenticazione rende più difficile per gli autenticatori fisici connessi direttamente, ad esempio hardware crittografico a più fattori, da usare senza la conoscenza del soggetto (ad esempio, da malware nell'endpoint). I metodi di Microsoft Entra che soddisfano AAL3 richiedono l'immissione dell'utente di pin o biometrici, dimostrando la finalità di autenticazione.
Passaggi successivi
Informazioni sugli elenchi di controllo di accesso
Nozioni di base sull'autenticazione