Udostępnij za pośrednictwem

NIST authenticator assurance level 2 with Microsoft Entra ID

  • Artykuł

National Institute of Standards and Technology (NIST) rozwija wymagania techniczne dla amerykańskich agencji federalnych wdrażających rozwiązania tożsamości. Organizacje współpracujące z agencjami federalnymi muszą spełniać te wymagania.

Przed rozpoczęciem uwierzytelniania assurance level 2 (AAL2) można zobaczyć następujące zasoby:

  • Omówienie aplikacji NIST: Omówienie poziomów AAL
  • Podstawy uwierzytelniania: Terminologia i typy uwierzytelniania
  • Typy wystawców uwierzytelnianych NIST: typy wystawców uwierzytelnianych
  • Listy AALS NIST: składniki AAL i metody uwierzytelniania entra firmy Microsoft

Dozwolone typy wystawców uwierzytelnianych AAL2

W poniższej tabeli są dozwolone typy wystawców uwierzytelnianych dla usługi AAL2:

Metoda uwierzytelniania Firmy Microsoft Entra Odporność na wyłudzanie Typ wystawcy uwierzytelniającego NIST
Zalecane metody
Certyfikat oprogramowania wieloskładnikowego
Windows Hello dla firm z oprogramowaniem Trusted Platform Module (TPM)		 Tak Oprogramowanie kryptograficzne wieloskładnikowe
Certyfikat chroniony sprzętem wieloskładnikowym
Klucz zabezpieczeń FIDO 2
Logowanie jednokrotne platformy dla systemu macOS (bezpieczna enklawa)
Windows Hello dla firm ze sprzętowymi modułami TPM
Klucz dostępu w aplikacji Microsoft Authenticator		 Tak Sprzęt kryptograficzny wieloskładnikowy
Dodatkowe metody
Aplikacja Microsoft Authenticator (logowanie za pomocą telefonu) Nie. Wieloskładnikowe poza pasmem
Hasło
I
— Aplikacja Microsoft Authenticator (powiadomienie wypychane)
- OR
— Microsoft Authenticator Lite (powiadomienie wypychane)
- OR
- Telefon (SMS)		 Nie. Zapamiętany wpis tajny
I
Poza pasmem pojedynczego czynnika
Hasło
I
— Tokeny sprzętowe OATH (wersja zapoznawcza)
- OR
— Aplikacja Microsoft Authenticator (OTP)
- OR
- Microsoft Authenticator Lite (OTP)
- OR
- Tokeny oprogramowania OATH		 Nie. Zapamiętany wpis tajny
I
OTP jednoskładnikowe
Hasło
I
- Certyfikat oprogramowania jednoskładnikowego
- OR
— Firma Microsoft Entra dołączyła do programowego modułu TPM
- OR
- Microsoft Entra hybrid joined with software TPM (Dołączone hybrydowo do firmy Microsoft z oprogramowaniem TPM)
- OR
— Zgodne urządzenie przenośne		 Tak1 Zapamiętany wpis tajny
I
Oprogramowanie kryptograficzne jednoskładnikowe
Hasło
I
— Firma Microsoft Entra dołączyła do sprzętowego modułu TPM
- OR
— Dołączone hybrydowo do firmy Microsoft z sprzętowym modułem TPM		 Tak1 Zapamiętany wpis tajny
I
Sprzęt kryptograficzny jednoskładnikowy

1 Ochrona przed wyłudzaniem informacji zewnętrznych

Zalecenia dotyczące usługi AAL2

W przypadku usługi AAL2 należy użyć uwierzytelniania kryptograficznego wieloskładnikowego. Jest to odporne na wyłudzanie informacji, eliminuje największą powierzchnię ataków (hasło) i oferuje użytkownikom uproszczoną metodę uwierzytelniania.

Aby uzyskać wskazówki dotyczące wybierania metody uwierzytelniania bez hasła, zobacz Planowanie wdrożenia uwierzytelniania bez hasła w usłudze Microsoft Entra ID. Zobacz również przewodnik wdrażania Windows Hello dla firm

Walidacja standardu FIPS 140

Skorzystaj z poniższych sekcji, aby dowiedzieć się więcej o weryfikacji standardu FIPS 140.

Wymagania weryfikatora

Microsoft Entra ID używa ogólnego modułu kryptograficznego zweryfikowanych w systemie Windows FIPS 140 poziom 1 na potrzeby operacji kryptograficznych uwierzytelniania. W związku z tym jest to weryfikator zgodny ze standardem FIPS 140 wymagany przez agencje rządowe.

Wymagania dotyczące wystawcy uwierzytelniającego

Uwierzytelnianie kryptograficzne agencji rządowej jest weryfikowane dla fiPS 140 level 1 ogólnie. To wymaganie nie dotyczy agencji pozarządowych. Następujące wystawcy uwierzytelnień firmy Microsoft spełniają wymagania podczas uruchamiania w systemie Windows w trybie zatwierdzonym przez standard FIPS 140:

  • Hasło

  • Firma Microsoft Entra dołączyła do oprogramowania lub sprzętowego modułu TPM

  • Rozwiązanie hybrydowe firmy Microsoft Entra dołączone do oprogramowania lub sprzętowego modułu TPM

  • Windows Hello dla firm z oprogramowaniem lub sprzętowym modułem TPM

  • Certyfikat przechowywany w oprogramowaniu lub sprzęcie (karta inteligentna/klucz zabezpieczeń/moduł TPM)

Informacje o zgodności aplikacji Microsoft Authenticator (iOS/Android) FIPS 140 można znaleźć w temacie FiPS 140 compliance for Microsoft Entra authentication (Zgodność ze standardem FIPS 140 dla uwierzytelniania firmy Microsoft Entra)

W przypadku tokenów sprzętowych i kart inteligentnych OATH zalecamy skontaktowanie się z dostawcą w celu uzyskania bieżącego stanu weryfikacji standardu FIPS.

Dostawcy kluczy zabezpieczeń FIDO 2 znajdują się w różnych etapach certyfikacji FIPS. Zalecamy przejrzenie listy obsługiwanych dostawców kluczy FIDO 2. Skontaktuj się z dostawcą, aby uzyskać bieżący stan weryfikacji standardu FIPS.

Logowanie jednokrotne platformy dla systemu macOS jest zgodne ze standardem FIPS 140. Zalecamy odwołanie się do certyfikatów platformy firmy Apple.

Ponowne uwierzytelnianie

W przypadku usługi AAL2 wymaganie NIST jest ponownie uwierzytelniane co 12 godzin, niezależnie od aktywności użytkownika. Ponowne uwierzytelnianie jest wymagane po upływie 30 minut lub dłużej. Ponieważ wpis tajny sesji jest czymś, co masz, prezentowanie czegoś, co wiesz lub które są, jest wymagane.

Aby spełnić wymagania dotyczące ponownego uwierzytelniania, niezależnie od aktywności użytkownika, firma Microsoft zaleca skonfigurowanie częstotliwości logowania użytkownika do 12 godzin.

Za pomocą narzędzia NIST możesz użyć kontrolek wyrównujących, aby potwierdzić obecność subskrybenta:

  • Ustaw limit czasu braku aktywności sesji na 30 minut: Zablokuj urządzenie na poziomie systemu operacyjnego przy użyciu programu Microsoft System Center Configuration Manager, obiektów zasad grupy (GPO) lub usługi Intune. Aby subskrybent go odblokował, wymagaj uwierzytelniania lokalnego.

  • Limit czasu niezależnie od działania: Uruchom zaplanowane zadanie (program Configuration Manager, obiekt zasad grupy lub usługę Intune), aby zablokować maszynę po 12 godzinach, niezależnie od działania.

Opór man-in-the-middle

Komunikacja między oświadczeniem a identyfikatorem Entra firmy Microsoft odbywa się za pośrednictwem uwierzytelnionego, chronionego kanału. Ta konfiguracja zapewnia odporność na ataki typu man-in-the-middle (MitM) i spełnia wymagania dotyczące odporności MitM dla AAL1, AAL2 i AAL3.

Odporność odtwarzania

Metody uwierzytelniania entra firmy Microsoft w usłudze AAL2 używają rozwiązań innych niż lub wyzwań. Metody opierają się atakom powtarzania, ponieważ weryfikator wykrywa odtwarzane transakcje uwierzytelniania. Takie transakcje nie będą zawierać potrzebnych danych innych niż ani osi czasu.

Następne kroki

Omówienie NIST

Dowiedz się więcej o listach AALS

Informacje podstawowe o uwierzytelnianiu

Typy wystawców uwierzytelnianych NIST

Uzyskiwanie identyfikatora NIST AAL1 za pomocą identyfikatora Entra firmy Microsoft

Uzyskiwanie identyfikatora NIST AAL2 za pomocą identyfikatora Entra firmy Microsoft

Uzyskiwanie identyfikatora NIST AAL3 za pomocą identyfikatora Entra firmy Microsoft