Garantia do autenticador de nível 2 do NIST com o Microsoft Entra ID

Artigo
12/03/2024

O NIST (National Institute of Standards and Technology) desenvolve requisitos técnicos para agências federais dos EUA que implementam soluções de identidade. As organizações que trabalham com agências federais devem atender a esses requisitos.

Antes de iniciar o nível 2 de garantia do autenticador (AAL2), consulte os recursos a seguir:

Visão geral do NIST: entender os níveis de AAL
Noções básicas de autenticação: tipos de terminologia e autenticação
Tipos de autenticador NIST: tipos de autenticador
AALs do NIST: componentes do AAL e métodos de autenticação do Microsoft Entra

Tipos permitidos de autenticadores de AAL2

A tabela a seguir tem tipos de autenticador permitidos para AAL2:

Método de autenticação do Microsoft Entra	Resistente a Phishing	Tipo de Autenticadores do NIST
Métodos recomendados
Certificado de software multifatorial Windows Hello para Empresas com o TPM (Módulo de Plataforma de Confiança) do software	Sim	Software de criptografia multifator
Certificado de proteção de hardware multifatorial Chave de segurança FIDO 2 Plataforma SSO para macOS (Enclave Seguro) Windows Hello para Empresas com o TPM de hardware Chave de acesso no Microsoft Authenticator	Sim	Hardware de criptografia multifator
Métodos adicionais
Aplicativo Microsoft Authenticator (Login por telefone)	Não	Multifator fora de banda
Senha AND - Aplicativo Microsoft Authenticator (notificação por push) - OR - Microsoft Authenticator Lite (Notificação por push) - OU - Telefone (SMS)	Não	Segredo memorizado AND Fator único fora de banda
Senha AND - Tokens de hardware OATH (versão prévia) - OR - Aplicativo Microsoft Authenticator (OTP) - OU - Microsoft Authenticator Lite (OTP) - OU - Tokens de software OATH	Não	Segredo memorizado AND - OTP de fator único
Senha AND - Certificado de software de fator único - OR - Microsoft Entra ingressado no TPM de software - OR - Microsoft Entra ingressado de modo híbrido no TPM de software - OR - Dispositivo móvel em conformidade	Sim¹	Segredo memorizado AND Software de criptografia de fator único
Senha AND - Microsoft Entra ingressado no TPM de hardware - OR - Microsoft Entra ingressado de modo híbrido com hardware TPM	Sim¹	Segredo memorizado AND Hardware de criptografia de fator único

¹ Proteção contra phishing externo

Recomendações do AAL2

Para AAL2, use autenticador criptográfico multifator. É resistente a phishing, elimina a maior superfície de ataque (a senha) e oferece aos usuários um método simplificado de autenticação.

Para obter orientações sobre como selecionar um método de autenticação sem senha, consulte Como planejar uma implantação de autenticação sem senha no Microsoft Entra ID. Consulte também, Guia de implantação do Windows Hello para Empresas

Validação do FIPS 140

Use as seções a seguir para saber mais sobre a validação do FIPS 140.

Requisitos do verificador

O Microsoft Entra ID usa o módulo criptográfico geral validado do Nível 1 do Windows FIPS 140 as suas operações criptográficas de autenticação. Portanto, é um verificador em conformidade com o FIPS 140 exigido pelas agências governamentais.

Requisitos do autenticador

Os autenticadores criptográficos de agências governamentais são validados para o Nível 1 do FIPS 140 de forma geral. Este requisito não é para agências não governamentais. Os seguintes autenticadores do Microsoft Entra ID atendem ao requisito quando executados no Windows em um modo aprovado pelo FIPS 140:

Senha
Microsoft Entra ingressado com TPM de hardware ou software
Microsoft Entra ingressado de forma híbrida com TPM de software ou de hardware
Windows Hello para Empresas com TPM de hardware ou software
Certificado armazenado em software ou hardware (smartcard/chave de segurança/TPM)

Para obter informações sobre a conformidade com o FIPS 140 do aplicativo Microsoft Authenticator (iOS/Android), veja Compatível com FIPS 140 para autenticação Microsoft Entra

Para tokens de hardware OATH e smartcards, recomendamos que você consulte seu provedor para obter o status de validação de FIPS atual.

Os provedores de chave de segurança FIDO 2 estão em vários estágios de certificação FIPS. Recomendamos que você examine a lista de fornecedores de chaves FIDO 2 com suporte. Consulte seu provedor para obter o status de validação FIPS atual.

O SSO da plataforma para macOS é compatível com FIPS 140. Recomendamos fazer referência às Certificações da Plataforma Apple.

Reautenticação

Para AAL2, a exigência do NIST é a reautenticação a cada 12 horas, independentemente da atividade do usuário. A reautenticação é necessária após um período de inatividade de 30 minutos ou mais. Como o segredo da sessão é algo que você tem, é necessário apresentar algo que você sabe ou é necessário.

Para atender ao requisito de reautenticação, independentemente da atividade do usuário, a Microsoft recomenda configurar a frequência de entrada do usuário para 12 horas.

Com o NIST, use controles de compensação para confirmar a presença do assinante:

Defina o tempo limite de inatividade de sessão para 30 minutos: bloqueie o dispositivo no nível do sistema operacional com o Microsoft System Center Configuration Manager, os GPOs (objetos de política de grupo) ou o Intune. Para o assinante desbloqueá-lo, exija autenticação local.
Tempo limite, independentemente da atividade: execute uma tarefa agendada (Configuration Manager, GPO ou Intune) para bloquear o computador após 12 horas, independentemente da atividade.

Resistência a man-in-the-middle

As comunicações entre o requerente e o Microsoft Entra ID são realizadas por um canal autenticado e protegido. Essa configuração fornece resistência a ataques de MitM (man-in-the-middle) e atende aos requisitos de resistência do MitM para AAL1, AAL2 e AAL3.

Resistência à reprodução

Os métodos de autenticação do Microsoft Entra ID no AAL2 usam nonce ou desafios. Os métodos resistem a ataques de repetição porque o verificador detecta as transações de autenticação reproduzidas. Essas transações não contêm os dados de nonce ou de linha do tempo necessários.