Udostępnij za pośrednictwem

Konfigurowanie kontrolek identyfikacji i uwierzytelniania (IA) na poziomie CMMC poziom 2

  • Artykuł

Identyfikator Entra firmy Microsoft pomaga spełnić wymagania dotyczące praktyk związanych z tożsamościami na każdym poziomie certyfikacji modelu dojrzałości cyberbezpieczeństwa (CMMC). Aby ukończyć inne konfiguracje lub procesy zgodne z wymaganiami cmMC v2.0 na poziomie 2, to odpowiedzialność firm wykonujących pracę w imieniu amerykańskiego działu obrony (DoD).

CmMC Level 2 ma 13 domen, które mają co najmniej jedno rozwiązanie związane z tożsamością. Domeny to:

  • Kontrola dostępu (AC)
  • Inspekcja i odpowiedzialność (AU)
  • Zarządzanie konfiguracją (CM)
  • Identyfikacja i uwierzytelnianie (IA)
  • Reagowanie na zdarzenia (IR)
  • Konserwacja (MA)
  • Ochrona multimediów (MP)
  • Zabezpieczenia personelu (PS)
  • Ochrona fizyczna (PE)
  • Ocena ryzyka (RA)
  • Ocena zabezpieczeń (CA)
  • Ochrona systemu i komunikacji (SC)
  • Integralność systemu i informacji (SI)

W pozostałej części tego artykułu znajdują się wskazówki dotyczące domeny identyfikacji i autoryzacji (IA). Istnieje tabela zawierająca linki do zawartości, która zawiera szczegółowe wskazówki dotyczące wykonywania tej praktyki.

Identyfikacja i uwierzytelnianie

Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.

Instrukcja i cele praktyki CMMC Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
IA. L2-3.5.3

Instrukcja praktyki: użyj uwierzytelniania wieloskładnikowego na potrzeby dostępu lokalnego i sieciowego do kont uprzywilejowanych oraz dostępu sieciowego do kont nieuprzywilejowanych.

Cele:
Ustal, czy:
[a.] Zidentyfikowano uprzywilejowane konta;
[b.] Uwierzytelnianie wieloskładnikowe jest implementowane na potrzeby dostępu lokalnego do kont uprzywilejowanych;
[c.] Uwierzytelnianie wieloskładnikowe jest implementowane na potrzeby dostępu sieciowego do kont uprzywilejowanych; i
[d.] Uwierzytelnianie wieloskładnikowe jest implementowane na potrzeby dostępu sieciowego do kont nieuprzywilejowanych.		 Następujące elementy to definicje terminów używanych w tym obszarze kontroli:
  • Dostęp lokalny — dostęp do systemu informacji organizacji przez użytkownika (lub proces działający w imieniu użytkownika) komunikujący się za pośrednictwem bezpośredniego połączenia bez korzystania z sieci.
  • Dostęp do sieci — dostęp do systemu informacyjnego przez użytkownika (lub proces działający w imieniu użytkownika) komunikujący się za pośrednictwem sieci (na przykład sieci lokalnej, sieci rozległej, Internetu).
  • Użytkownik uprzywilejowany — użytkownik, który jest autoryzowany (i dlatego zaufany) do wykonywania funkcji związanych z zabezpieczeniami, których zwykły użytkownicy nie mają uprawnień do wykonywania.

    Podzielenie poprzedniego wymagania oznacza:
  • Wszyscy użytkownicy są zobowiązani do uwierzytelniania wieloskładnikowego na potrzeby dostępu sieciowego/zdalnego.
  • Tylko uprzywilejowani użytkownicy są zobowiązani do uwierzytelniania wieloskładnikowego na potrzeby dostępu lokalnego. Jeśli zwykłe konta użytkowników mają uprawnienia administracyjne tylko na swoich komputerach, nie są one "uprzywilejowanym kontem" i nie wymagają uwierzytelniania wieloskładnikowego na potrzeby dostępu lokalnego.

    Odpowiadasz za skonfigurowanie dostępu warunkowego w celu wymagania uwierzytelniania wieloskładnikowego. Włącz metody uwierzytelniania Entra firmy Microsoft spełniające wymagania biblioteki AAL2 i nowszej.
    Udzielanie kontrolek w zasadach dostępu warunkowego
    Osiągnięcie poziomów NIST authenticator assurance za pomocą identyfikatora Entra firmy Microsoft
    Metody i funkcje uwierzytelniania
    		•
    IA. L2-3.5.4

    Instrukcja praktyki: Stosowanie mechanizmów uwierzytelniania odpornych na odtwarzanie w celu uzyskania dostępu sieciowego do kont uprzywilejowanych i nieuprzywilejowanych.

    Cele:
    Ustal, czy:
    [a.] Mechanizmy uwierzytelniania odpornego na powtarzanie są implementowane na potrzeby dostępu konta sieciowego do kont uprzywilejowanych i nieuprzywilejowanych.    		 Wszystkie metody uwierzytelniania Entra firmy Microsoft w usłudze AAL2 i nowszych są odporne na odtwarzanie.
    Osiągnięcie poziomów NIST authenticator assurance za pomocą identyfikatora Entra firmy Microsoft
    IA. L2-3.5.5

    Instrukcja praktyki: Zapobiegaj ponownemu używaniu identyfikatorów przez zdefiniowany okres.

    Cele:
    Ustal, czy:
    [a.] zdefiniowano okres, w którym nie można ponownie użyć identyfikatorów; i
    [b.] ponowne użycie identyfikatorów jest blokowane w określonym przedziale czasu.    		 Cały użytkownik, grupa, obiekt urządzenia globalnie unikatowe identyfikatory (GUID) są gwarantowane unikatowe i niezdatne do ponownego użytku przez cały okres istnienia dzierżawy firmy Microsoft Entra.
    typ zasobu użytkownika — Microsoft Graph w wersji 1.0
    typ zasobu grupy — Microsoft Graph w wersji 1.0
    typ zasobu urządzenia — Microsoft Graph w wersji 1.0
    IA. L2-3.5.6

    Instrukcja praktyki: wyłącz identyfikatory po zdefiniowanym okresie braku aktywności.

    Cele:
    Ustal, czy:
    [a.] okres braku aktywności, po którym jest zdefiniowany identyfikator jest wyłączony; i
    [b.] identyfikatory są wyłączone po zdefiniowanym okresie braku aktywności.    		 Zaimplementuj automatyzację zarządzania kontami przy użyciu programu Microsoft Graph i zestawu Microsoft Graph PowerShell SDK. Użyj programu Microsoft Graph, aby monitorować aktywność logowania i zestaw Microsoft Graph PowerShell SDK, aby podejmować działania na kontach w wymaganym przedziale czasu.

    Określanie braku aktywności
    Zarządzanie nieaktywnym kontami użytkowników w identyfikatorze Microsoft Entra ID
    Zarządzanie nieaktywnymi urządzeniami w identyfikatorze Entra firmy Microsoft

    Usuwanie lub wyłączanie kont
    Praca z użytkownikami w programie Microsoft Graph
    Pobieranie użytkownika
    Aktualizowanie użytkownika
    Usuwanie użytkownika

    Praca z urządzeniami w programie Microsoft Graph
    Pobieranie urządzenia
    Aktualizowanie urządzenia
    Usuwanie urządzenia

    Korzystanie z zestawu Microsoft Graph PowerShell SDK
    Get-MgUser
    Update-MgUser
    Get-MgDevice
    Update-MgDevice
    IA. L2-3.5.7

    Instrukcja praktyki:

    Cele: Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł.
    Ustal, czy:
    [a.] Zdefiniowano wymagania dotyczące złożoności haseł;
    [b.] Zdefiniowano zmianę hasła wymagań dotyczących znaków;
    [c.] minimalne wymagania dotyczące złożoności hasła zgodnie z definicją są wymuszane podczas tworzenia nowych haseł; i
    [d.] minimalna zmiana wymagań dotyczących znaków zgodnie z definicją jest wymuszana podczas tworzenia nowych haseł.

    IA. L2-3.5.8

    Instrukcja praktyki: Uniemożliwianie ponownego użycia hasła dla określonej liczby pokoleń.

    Cele:
    Ustal, czy:
    [a.] liczba generacji, w których nie można ponownie użyć hasła; i
    [b.] ponowne użycie haseł jest zabronione podczas określonej liczby pokoleń.    		 Zdecydowanie zachęcamy do strategii bez hasła. Ta kontrolka ma zastosowanie tylko do wystawców uwierzytelniania haseł, dlatego usunięcie haseł jako dostępnego wystawcy uwierzytelniającego powoduje, że ta kontrolka nie ma zastosowania.

    Na NIST SP 800-63 B Sekcja 5.1.1: Zachowaj listę powszechnie używanych, oczekiwanych lub naruszonych haseł.

    Dzięki ochronie haseł w usłudze Microsoft Entra domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie firmy Microsoft Entra. Aby obsługiwać potrzeby biznesowe i związane z zabezpieczeniami, możesz zdefiniować wpisy na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te listy zakazanych haseł są sprawdzane, aby wymusić użycie silnych haseł.
    W przypadku klientów, którzy wymagają ścisłej zmiany znaku hasła, ponowne użycie hasła i wymagania dotyczące złożoności korzystają z kont hybrydowych skonfigurowanych z funkcją Password-Hash-Sync. Ta akcja gwarantuje, że hasła zsynchronizowane z identyfikatorem Entra firmy Microsoft dziedziczą ograniczenia skonfigurowane w zasadach haseł usługi Active Directory. Dodatkowo chroń hasła lokalne, konfigurując lokalną ochronę haseł firmy Microsoft dla usług domena usługi Active Directory.
    Specjalna publikacja NIST 800-63 B
    Specjalna publikacja NIST 800-53 Wersja 5 (IA-5 — ulepszenia kontroli (1)
    Eliminowanie nieprawidłowych haseł przy użyciu ochrony haseł firmy Microsoft
    Co to jest synchronizacja skrótów haseł z usługą Microsoft Entra ID?
    IA. L2-3.5.9

    Instrukcja praktyki: zezwalaj na tymczasowe używanie haseł na potrzeby logowania systemowego z natychmiastową zmianą w trwałym haśle.

    Cele:
    Ustal, czy:
    [a.] natychmiastowa zmiana stałego hasła jest wymagana, gdy na potrzeby logowania systemowego jest używane tymczasowe hasło.    		 Początkowe hasło użytkownika entra firmy Microsoft to tymczasowe hasło jednorazowego użycia, które po pomyślnym pomyślnym użyciu jest natychmiast wymagane do zmiany na trwałe hasło. Firma Microsoft zdecydowanie zachęca do wdrażania metod uwierzytelniania bez hasła. Użytkownicy mogą uruchamiać metody uwierzytelniania bez hasła przy użyciu dostępu tymczasowego (TAP). TAP to czas i użycie ograniczonego kodu dostępu wystawionego przez administratora, który spełnia wymagania silnego uwierzytelniania. Korzystanie z uwierzytelniania bez hasła wraz z czasem i korzystanie z ograniczonego interfejsu TAP całkowicie eliminuje użycie haseł (i ich ponowne użycie).
    Dodawanie lub usuwanie użytkowników
    Konfigurowanie tymczasowego dostępu przekazywanego w usłudze Microsoft Entra ID w celu zarejestrowania metod uwierzytelniania bez hasła
    Uwierzytelnianie bez hasła
    IA. L2-3.5.10

    Instrukcja praktyki: przechowywanie i przesyłanie tylko kryptograficznie chronionych haseł.

    Cele:
    Ustal, czy:
    [a.] hasła są kryptograficznie chronione w magazynie; i
    [b.] hasła są kryptograficznie chronione podczas przesyłania.    		 Szyfrowanie wpisów tajnych magazynowanych:
    Oprócz szyfrowania na poziomie dysku, gdy magazynowane, wpisy tajne przechowywane w katalogu są szyfrowane przy użyciu menedżera kluczy rozproszonych (DKM). Klucze szyfrowania są przechowywane w magazynie podstawowym firmy Microsoft Entra i z kolei są szyfrowane przy użyciu klucza jednostki skalowania. Klucz jest przechowywany w kontenerze chronionym przy użyciu list ACL katalogów dla użytkowników o najwyższych uprawnieniach i określonych usług. Klucz symetryczny jest zwykle obracany co sześć miesięcy. Dostęp do środowiska jest dodatkowo chroniony za pomocą mechanizmów kontroli operacyjnych i zabezpieczeń fizycznych.

    Szyfrowanie podczas przesyłania:
    Aby zapewnić bezpieczeństwo danych, dane katalogowe w identyfikatorze Entra firmy Microsoft są podpisane i szyfrowane podczas przesyłania między centrami danych w ramach jednostki skalowania. Dane są szyfrowane i niezaszyfrowane przez warstwę magazynu podstawowego firmy Microsoft, która znajduje się wewnątrz zabezpieczonych serwerów hostujących obszary skojarzonych centrów danych firmy Microsoft.

    Usługi internetowe dostępne dla klientów są zabezpieczone za pomocą protokołu Transport Layer Security (TLS).
    Aby uzyskać więcej informacji, pobierz zagadnienia dotyczące ochrony danych — Zabezpieczenia danych. Na stronie 15 znajduje się więcej szczegółów.
    Demystifying Password Hash Sync (microsoft.com)
    Zagadnienia dotyczące zabezpieczeń danych firmy Microsoft
    IA. L2-3.5.11

    Instrukcja praktyki: niejasne opinie na temat informacji o uwierzytelnianiu.

    Cele:
    Ustal, czy:
    [a.] informacje o uwierzytelnianiu są zaciemniane podczas procesu uwierzytelniania.    		 Domyślnie identyfikator Entra firmy Microsoft ukrywa wszystkie opinie wystawców uwierzytelnienia.

    Następne kroki