NIST authenticator assurance level 3 met behulp van Microsoft Entra ID
Gebruik de informatie in dit artikel voor National Institute of Standards and Technology (NIST) authenticator assurance level 3 (AAL3).
Voordat u AAL2 verkrijgt, kunt u de volgende resources bekijken:
- Overzicht van NIST: Inzicht in AAL-niveaus
- Basisbeginselen van verificatie: Terminologie en verificatietypen
- NIST-verificatortypen: Verificatortypen
- NIST AALs: AAL-onderdelen en Verificatiemethoden van Microsoft Entra
Toegestane verificatortypen
Gebruik Microsoft-verificatiemethoden om te voldoen aan de vereiste typen NIST-verificator.
| Verificatiemethoden Microsoft Entra. | Type NIST-verificator |
|---|---|
| Aanbevolen methoden | |
| Met multi-factor hardware beveiligd certificaat FIDO 2-beveiligingssleutel Platform-SSO voor macOS (Secure Enclave) Windows Hello voor Bedrijven met hardware-TPM Wachtwoordsleutel in Microsoft Authenticator1 |
Cryptografische hardware met meerdere factoren |
| Aanvullende methoden | |
| Wachtwoord EN Met hardware beveiligd certificaat met één factor |
Memorized geheim EN Cryptografische hardware met één factor |
1 Wachtwoordsleutel in Microsoft Authenticator wordt over het algemeen beschouwd als gedeeltelijke AAL3 en kan als AAL3 worden aangemerkt op platforms met FIPS 140 Niveau 2 Algemeen (of hoger) en FIPS 140 niveau 3 fysieke beveiliging (of hoger). Zie FIPS 140-naleving voor Microsoft Authenticator (iOS/Android) Voor meer informatie over FIPS 140-naleving voor Microsoft Entra-verificatie
Aanbevelingen
Voor AAL3 raden we u aan om een cryptografische hardwareverificator met meerdere factoren te gebruiken die verificatie zonder wachtwoord biedt, waardoor het grootste aanvalsoppervlak, het wachtwoord, wordt geëlimineerd.
Zie Een implementatie van verificatie zonder wachtwoord plannen in Microsoft Entra-id voor hulp. Zie ook Windows Hello voor Bedrijven implementatiehandleiding.
FIPS 140-validatie
Vereisten voor verificator
Microsoft Entra ID maakt gebruik van de algemene gevalideerde cryptografische module van Windows FIPS 140 Niveau 1 voor de cryptografische verificatiebewerkingen, waardoor Microsoft Entra ID een compatibele verifier is.
Verificatorvereisten
Vereisten voor cryptografische hardwareverificator met één factor en meervoudige verificatie.
Cryptografische hardware met één factor
Verificators moeten het volgende zijn:
FIPS 140 Level 1 Overall of hoger
Fysieke beveiliging van FIPS 140 Niveau 3 of hoger
Een met hardware beveiligd certificaat dat met Windows-apparaten wordt gebruikt, voldoet aan deze vereiste wanneer:
U voert Windows uit in een door FIPS-140 goedgekeurde modus
Op een computer met een TPM met FIPS 140 Niveau 1 Over het algemeen of hoger, met fysieke FIPS 140 Niveau 3-beveiliging
- Zoek compatibele TPM's: zoek naar Trusted Platform Module en TPM in het cryptografische modulevalidatieprogramma.
Raadpleeg de leverancier van uw mobiele apparaat voor meer informatie over de naleving van FIPS 140.
Cryptografische hardware met meerdere factoren
Verificators moeten het volgende zijn:
FIPS 140 Niveau 2 Algemeen of hoger
Fysieke beveiliging van FIPS 140 Niveau 3 of hoger
FIDO 2-beveiligingssleutels, smartcards en Windows Hello voor Bedrijven kunnen u helpen aan deze vereisten te voldoen.
Meerdere FIDO2-beveiligingssleutelproviders voldoen aan FIPS-vereisten. We raden u aan de lijst met ondersteunde FIDO2-sleutelleveranciers te bekijken. Neem contact op met uw provider voor de huidige FIPS-validatiestatus.
Smartcards zijn een bewezen technologie. Meerdere leveranciersproducten voldoen aan FIPS-vereisten.
- Meer informatie over het cryptografische modulevalidatieprogramma
Windows Hello voor Bedrijven
FIPS 140 vereist dat de cryptografische grens, inclusief software, firmware en hardware, binnen het bereik van evaluatie valt. Windows-besturingssystemen kunnen worden gekoppeld aan duizenden van deze combinaties. Daarom is het niet haalbaar dat Microsoft Windows Hello voor Bedrijven gevalideerd op FIPS 140-beveiligingsniveau 2. Federale klanten moeten risicoanalyses uitvoeren en elk van de volgende onderdeelcertificeringen evalueren als onderdeel van hun risicoacceptatie voordat ze deze service als AAL3 accepteren:
Windows 10 en Windows Server gebruiken het door de Amerikaanse overheid goedgekeurde beveiligingsprofiel voor besturingssystemen voor algemeen gebruik versie 4.2.1 van de National Information Assurance Partnership (NIAP). Deze organisatie houdt toezicht op een nationaal programma om commerciële off-the-shelf (COTS) informatietechnologieproducten te evalueren voor overeenstemming met de internationale gemeenschappelijke criteria.
Windows Cryptographic Library heeft FIPS Level 1 Overall in het NIST Cryptographic Module Validation Program (CMVP), een gezamenlijke inspanning tussen NIST en het Canadese Centrum voor Cyber Security. Deze organisatie valideert cryptografische modules op basis van FIPS-standaarden.
Kies een TRUSTED Platform Module (TPM) met FIPS 140 Level 2 Overall en FIPS 140 Level 3 Physical Security. Uw organisatie zorgt ervoor dat hardware-TPM voldoet aan de gewenste vereisten op AAL-niveau.
Als u de TPM's wilt bepalen die voldoen aan de huidige standaarden, gaat u naar het NIST Computer Security Resource Center Cryptographic Module Validation Program. Voer in het vak Modulenaam Trusted Platform Module in voor een lijst met hardware-TPM's die voldoen aan standaarden.
Eenmalige aanmelding voor MacOS Platform
Apple macOS 13 (en hoger) zijn FIPS 140 Level 2 Overall, met de meeste apparaten ook FIPS 140 Niveau 3 Fysieke beveiliging. We raden u aan om te verwijzen naar de Apple Platform-certificeringen.
Wachtwoordsleutel in Microsoft Authenticator
Zie FIPS 140-naleving voor Microsoft Authenticator (iOS/Android) Voor meer informatie over FIPS 140-naleving voor Microsoft Entra-verificatie
Verificatie opnieuw
Voor AAL3 worden NIST-vereisten elke 12 uur opnieuw geverifieerd, ongeacht de gebruikersactiviteit. Herauthenticatie wordt aanbevolen na een periode van inactiviteit van 15 minuten of langer. Beide factoren presenteren is vereist.
Om te voldoen aan de vereiste voor opnieuw verificatie, ongeacht de gebruikersactiviteit, raadt Microsoft aan om de aanmeldingsfrequentie van gebruikers te configureren tot 12 uur.
Met NIST kunnen compenserende besturingselementen de aanwezigheid van abonnees bevestigen:
Stel een time-out in, ongeacht de activiteit, door een geplande taak uit te voeren met Configuration Manager, GPO of Intune. Vergrendel de machine na 12 uur, ongeacht activiteit.
Voor de aanbevolen time-out voor inactiviteit kunt u een time-out voor inactiviteit van een sessie instellen op 15 minuten: Vergrendel het apparaat op besturingssysteemniveau met behulp van Microsoft Configuration Manager, Groepsbeleidsobject (GPO) of Intune. Voor de abonnee om deze te ontgrendelen, is lokale verificatie vereist.
Man-in-the-middle weerstand
Communicatie tussen de eiser en Microsoft Entra-id is via een geverifieerd, beschermd kanaal voor weerstand tegen man-in-the-middle-aanvallen (MitM). Deze configuratie voldoet aan de MitM-weerstandsvereisten voor AAL1, AAL2 en AAL3.
Verifier-imitatieweerstand
Microsoft Entra-verificatiemethoden die voldoen aan AAL3 maken gebruik van cryptografische verificators die de verificatoruitvoer binden aan de sessie die wordt geverifieerd. De methoden gebruiken een persoonlijke sleutel die door de aanvrager wordt beheerd. De openbare sleutel is bekend bij de verifier. Deze configuratie voldoet aan de vereisten voor verifier-imitatieweerstand voor AAL3.
Verifier compromisweerstand
Alle Microsoft Entra-verificatiemethoden die voldoen aan AAL3:
- Een cryptografische verificator gebruiken waarvoor de verificator een openbare sleutel moet opslaan die overeenkomt met een persoonlijke sleutel die door de verificator wordt bewaard
- De verwachte verificatoruitvoer opslaan met behulp van fips-140 gevalideerde hash-algoritmen
Zie Microsoft Entra Data Security Considerations voor meer informatie.
Herhalingsweerstand
Microsoft Entra-verificatiemethoden die voldoen aan AAL3 maken gebruik van nonce of uitdagingen. Deze methoden zijn bestand tegen het opnieuw afspelen van aanvallen omdat de verifier opnieuw afgespeelde verificatietransacties kan detecteren. Dergelijke transacties bevatten niet de benodigde niet- of tijdigheidsgegevens.
Verificatieintentie
Het vereisen van verificatie-intenties maakt het moeilijker voor rechtstreeks verbonden fysieke verificators, zoals cryptografische hardware met meerdere factoren, om te worden gebruikt zonder dat het onderwerp op de hoogte is (bijvoorbeeld door malware op het eindpunt). Microsoft Entra-methoden die voldoen aan AAL3 vereisen gebruikersinvoer van pincode of biometrische gegevens, waarmee de verificatieintentie wordt gedemonstreerd.
Volgende stappen
De basisbeginselen van verificatie