Udostępnij za pośrednictwem

NIST authenticator assurance level 3 by using Microsoft Entra ID

  • Artykuł

Skorzystaj z informacji podanych w tym artykule dla narodowego Instytutu Standardów i Technologii (NIST) na poziomie uwierzytelniania 3 (AAL3).

Przed uzyskaniem usługi AAL2 możesz przejrzeć następujące zasoby:

  • Omówienie aplikacji NIST: Omówienie poziomów AAL
  • Podstawy uwierzytelniania: Terminologia i typy uwierzytelniania
  • Typy wystawców uwierzytelnianych NIST: typy wystawców uwierzytelnianych
  • Listy AALS NIST: składniki AAL i metody uwierzytelniania entra firmy Microsoft

Dozwolone typy wystawców uwierzytelnionych

Użyj metod uwierzytelniania firmy Microsoft, aby spełnić wymagane typy wystawców uwierzytelnienia NIST.

Metody uwierzytelniania Microsoft Entra Typ wystawcy uwierzytelniającego NIST
Zalecane metody
Certyfikat chroniony sprzętem wieloskładnikowym
Klucz zabezpieczeń FIDO 2
Logowanie jednokrotne platformy dla systemu macOS (bezpieczna enklawa)
Windows Hello dla firm ze sprzętowymi modułami TPM
Klucz dostępu w aplikacji Microsoft Authenticator1		 Sprzęt kryptograficzny wieloskładnikowy
Dodatkowe metody
Hasło
I
Certyfikat chroniony sprzętem jednoskładnikowym		 Zapamiętany wpis tajny
I
Sprzęt kryptograficzny jednoskładnikowy

1 Klucz dostępu w aplikacji Microsoft Authenticator jest ogólnie uważany za częściowy AAL3 i może kwalifikować się jako AAL3 na platformach z standardem FIPS 140 Level 2 General (lub nowszym) i FIPS 140 level 3 fizyczne zabezpieczenia (lub wyższe). Aby uzyskać dodatkowe informacje na temat zgodności ze standardem FIPS 140 dla aplikacji Microsoft Authenticator (iOS/Android), zobacz FiPS 140 zgodne z uwierzytelnianiem firmy Microsoft Entra

Zalecenia

W przypadku usługi AAL3 zalecamy użycie sprzętu kryptograficznego wieloskładnikowego, który zapewnia uwierzytelnianie bez hasła eliminujące największą powierzchnię ataków, hasło.

Aby uzyskać wskazówki, zobacz Planowanie wdrożenia uwierzytelniania bez hasła w usłudze Microsoft Entra ID. Zobacz również Windows Hello dla firm przewodnik wdrażania.

Walidacja standardu FIPS 140

Wymagania weryfikatora

Microsoft Entra ID używa ogólnego modułu kryptograficznego zweryfikowanego na poziomie 1 fiPS 1 w systemie Windows FIPS 1 na potrzeby operacji kryptograficznych uwierzytelniania, dzięki czemu microsoft Entra ID jest zgodnym weryfikatorem.

Wymagania dotyczące wystawcy uwierzytelniającego

Wymagania dotyczące uwierzytelniania sprzętowego sprzętu jednoskładnikowego i wieloskładnikowego.

Sprzęt kryptograficzny jednoskładnikowy

Wystawcy uwierzytelnień muszą być następujące:

  • FiPS 140 Poziom 1 — ogólny lub wyższy

  • Zabezpieczenia fizyczne fiPS 140 poziom 3 lub wyższy

Certyfikat chroniony sprzętem jednoskładnikowym używany z urządzeniem z systemem Windows spełnia następujące wymagania, gdy:

  • System Windows jest uruchamiany w trybie zatwierdzonym przez standard FIPS-140

  • Na maszynie z modułem TPM, który jest ogólnie na poziomie 140 FIPS 140 lub nowszym z zabezpieczeniami fizycznymi fiPS 140 poziom 3

    • Znajdź zgodne moduły TPM: wyszukaj moduł TPM i moduł TPM w programie weryfikacji modułu kryptograficznego.

Skontaktuj się z dostawcą urządzeń przenośnych, aby dowiedzieć się więcej o zgodności z standardem FIPS 140.

Sprzęt kryptograficzny wieloskładnikowy

Wystawcy uwierzytelnień muszą być następujące:

  • FiPS 140 Poziom 2 — ogólny lub wyższy

  • Zabezpieczenia fizyczne fiPS 140 poziom 3 lub wyższy

Klucze zabezpieczeń FIDO 2, karty inteligentne i Windows Hello dla firm mogą pomóc spełnić te wymagania.

  • Wielu dostawców kluczy zabezpieczeń FIDO2 spełnia wymagania FIPS. Zalecamy przejrzenie listy obsługiwanych dostawców kluczy FIDO2. Skontaktuj się z dostawcą, aby uzyskać bieżący stan weryfikacji standardu FIPS.

  • Karty inteligentne to sprawdzona technologia. Wiele produktów dostawcy spełnia wymagania FIPS.

Windows Hello for Business

Standard FIPS 140 wymaga, aby granica kryptograficzna, w tym oprogramowanie, oprogramowanie układowe i sprzęt, znajdowały się w zakresie oceny. Systemy operacyjne Windows mogą być sparowane z tysiącami tych kombinacji. W związku z tym nie jest możliwe, aby firma Microsoft mogła zweryfikować Windows Hello dla firm na poziomie zabezpieczeń 140 FIPS 2. Klienci federalni powinni przeprowadzać oceny ryzyka i oceniać każdy z następujących certyfikatów składników w ramach akceptacji ryzyka przed zaakceptowaniem tej usługi jako AAL3:

  • Systemy Windows 10 i Windows Server korzystają z profilu ochrony zatwierdzonej przez rząd USA dla systemów operacyjnych ogólnego przeznaczenia w wersji 4.2.1 z krajowego partnerstwa w zakresie zapewniania informacji (NIAP). Ta organizacja nadzoruje krajowy program oceny komercyjnych produktów technologii informacyjnych off-the-shelf (COTS) pod kątem zgodności z międzynarodowymi wspólnymi kryteriami.

  • Biblioteka kryptograficzna systemu Windows ma standard FIPS Level 1 Ogólne w programie weryfikacji modułów kryptograficznych NIST (CMVP), wspólne wysiłki między NIST i Canadian Center for Cyber Security. Ta organizacja weryfikuje moduły kryptograficzne zgodnie ze standardami FIPS.

  • Wybierz moduł TPM (Trusted Platform Module), który jest ogólnie dostępny w standardach FIPS 140 Level 2 i FIPS 140 Level 3 Physical Security. Twoja organizacja zapewnia, że sprzętowy moduł TPM spełnia wymagane wymagania dotyczące poziomu AAL.

Aby określić moduły TPM spełniające bieżące standardy, przejdź do strony Program weryfikacji modułu kryptograficznego centrum zabezpieczeń komputerów NIST. W polu Nazwa modułu wprowadź ciąg Trusted Platform Module (Moduł zaufanej platformy), aby uzyskać listę sprzętowych modułów TPM spełniających standardy.

Logowanie jednokrotne platformy systemu MacOS

Apple macOS 13 (i nowsze) to FIPS 140 Level 2 General, a większość urządzeń również FIPS 140 Level 3 Fizyczne Zabezpieczenia. Zalecamy odwołanie się do certyfikatów platformy firmy Apple.

Klucz dostępu w aplikacji Microsoft Authenticator

Aby uzyskać dodatkowe informacje na temat zgodności ze standardem FIPS 140 dla aplikacji Microsoft Authenticator (iOS/Android), zobacz FiPS 140 zgodne z uwierzytelnianiem firmy Microsoft Entra

Ponowne uwierzytelnianie

W przypadku usługi AAL3 wymagania NIST są ponownie uwierzytelniane co 12 godzin, niezależnie od aktywności użytkownika. Ponowne uwierzytelnianie jest zalecane po okresie braku aktywności 15 minut lub dłużej. Prezentowanie obu czynników jest wymagane.

Aby spełnić wymagania dotyczące ponownego uwierzytelniania, niezależnie od aktywności użytkownika, firma Microsoft zaleca skonfigurowanie częstotliwości logowania użytkownika do 12 godzin.

Usługa NIST umożliwia kontrolę wyrównujących w celu potwierdzenia obecności subskrybenta:

  • Ustaw limit czasu, niezależnie od działania, uruchamiając zaplanowane zadanie przy użyciu programu Configuration Manager, obiektu zasad grupy lub usługi Intune. Zablokuj maszynę po 12 godzinach, niezależnie od aktywności.

  • W przypadku zalecanego limitu czasu braku aktywności można ustawić limit czasu braku aktywności sesji 15 minut: Zablokuj urządzenie na poziomie systemu operacyjnego przy użyciu programu Microsoft Configuration Manager, obiektu zasad grupy (GPO) lub usługi Intune. Aby subskrybent go odblokował, wymagaj uwierzytelniania lokalnego.

Opór man-in-the-middle

Komunikacja między oświadczeniem a identyfikatorem Entra firmy Microsoft odbywa się za pośrednictwem uwierzytelnionego, chronionego kanału odpornego na ataki typu man-in-the-middle (MitM). Ta konfiguracja spełnia wymagania odporności mitM dla AAL1, AAL2 i AAL3.

Opór personifikacji weryfikatora

Metody uwierzytelniania entra firmy Microsoft, które spełniają usługę AAL3, używają kryptograficznych wystawców uwierzytelnienia, które wiążą dane wyjściowe wystawcy uwierzytelnienia z uwierzytelnionymi sesjami. Metody używają klucza prywatnego kontrolowanego przez oświadczenia. Klucz publiczny jest znany weryfikatorowi. Ta konfiguracja spełnia wymagania odporności personifikatora weryfikatora dla usługi AAL3.

Odporność na naruszenia zabezpieczeń weryfikatora

Wszystkie metody uwierzytelniania entra firmy Microsoft spełniające wymagania AAL3:

  • Użyj wystawcy uwierzytelniania kryptograficznego, który wymaga, aby weryfikator przechowywał klucz publiczny odpowiadający kluczowi prywatnemu przechowywanemu przez wystawcę uwierzytelniającego
  • Przechowywanie oczekiwanych danych wyjściowych wystawcy uwierzytelnienia przy użyciu zweryfikowanych algorytmów skrótu FIPS-140

Aby uzyskać więcej informacji, zobacz Microsoft Entra Data Security Considerations (Zagadnienia dotyczące zabezpieczeń danych firmy Microsoft).

Odporność odtwarzania

Metody uwierzytelniania entra firmy Microsoft, które spełniają usługę AAL3, używają rozwiązań innych niż lub wyzwań. Te metody są odporne na ataki replay, ponieważ weryfikator może wykrywać ponownie odtwarzane transakcje uwierzytelniania. Takie transakcje nie będą zawierać wymaganych danych innych niż ani osi czasu.

Intencja uwierzytelniania

Wymaganie intencji uwierzytelniania utrudnia korzystanie bezpośrednio z fizycznych wystawców uwierzytelnienia, takich jak sprzęt kryptograficzny wieloskładnikowy, bez wiedzy podmiotu (na przykład przez złośliwe oprogramowanie w punkcie końcowym). Metody firmy Microsoft Entra, które spełniają usługę AAL3, wymagają wprowadzania numeru PIN lub biometrii przez użytkownika demonstrujących intencję uwierzytelniania.

Następne kroki

Omówienie NIST

Dowiedz się więcej o listach AALS

Informacje podstawowe o uwierzytelnianiu

Typy wystawców uwierzytelnianych NIST

Uzyskiwanie identyfikatora NIST AAL1 przy użyciu identyfikatora Entra firmy Microsoft

Osiągnięcie NIST AAL2 przy użyciu identyfikatora Entra firmy Microsoft