Nível 3 de garantia do autenticador NIST usando o ID do Microsoft Entra
Use as informações neste artigo para o nível de garantia 3 (AAL3) do NIST (National Institute of Standards and Technology)
Antes de obter o AAL2, examine os seguintes recursos:
- Visão geral do NIST: entender os níveis de AAL
- Noções básicas de autenticação: tipos de terminologia e autenticação
- Tipos de autenticador NIST: tipos de autenticador
- AALs do NIST: componentes do AAL e métodos de autenticação do Microsoft Entra
Tipos de autenticadores permitidos
Use os métodos de autenticação da Microsoft para atender aos tipos de autenticadores do NIST necessários.
| Métodos de autenticação do Microsoft Entra | Tipos de Autenticadores do NIST |
|---|---|
| Métodos recomendados | |
| Certificado protegido por hardware multifator Chave de segurança FIDO 2 Plataforma SSO para macOS (Enclave Seguro) Windows Hello para Empresas com o TPM de hardware Chave de acesso no Microsoft Authenticator1 |
Hardware criptográfico multifator |
| Métodos adicionais | |
| Senha AND Certificado protegido por hardware de fator único |
Segredo memorizado AND Hardware criptográfico de fator único |
1 A chave de acesso no Microsoft Authenticator é considerada parcial AAL3 e pode se qualificar como AAL3 em plataformas com FIPS 140 Nível 2 Geral (ou superior) e segurança física FIPS 140 nível 3 (ou superior). Para informações adicionais sobre conformidade FIPS 140 para o Microsoft Authenticator (iOS/Android), confira FIPS 140 compatível com a autenticação do Microsoft Entra
Recomendações
Para a AAL3, é recomendável usar um autenticador de hardware criptográfico multifator que fornece autenticação sem senha eliminando a maior superfície de ataque, a senha.
Para obter orientação, consulte Planejar uma implantação de autenticação sem senha no ID do Microsoft Entra. Consulte também, Guia de implantação do Windows Hello para Empresas.
Validação do FIPS 140
Requisitos do verificador
O ID do Microsoft Entra usa o módulo criptográfico geral validado do Windows FIPS 140 Nível 1 para suas operações criptográficas de autenticação, tornando o ID do Microsoft Entra um verificador compatível.
Requisitos do autenticador
Requisitos do autenticador de hardware criptográfico de fator único e multifator.
Hardware criptográfico de fator único
Os autenticadores devem ser:
Nível 1 do FIPS 140 Geral ou superior
FIPS 140 Nível 3 de Segurança Física, ou superior
O certificado protegido por hardware de fator único usado com dispositivos Windows atende a esse requisito quando:
Você executa o Windows em um modo aprovado pelo FIPS-140
Em um computador com um TPM que tenha o Nível 1 FIPS 140 Geral ou superior, com o Nível 3 do FIPS 140 de Segurança Física
- Encontre TPMs em conformidade: pesquise por Trusted Platform Module e TPM no Programa de Validação de Módulo Criptográfico.
Consulte o fornecedor do dispositivo móvel para saber mais sobre sua adesão ao FIPS 140.
Hardware criptográfico multifator
Os autenticadores devem ser:
FIPS 140 Nível 2 Geral ou superior
FIPS 140 Nível 3 de Segurança Física, ou superior
Chaves de segurança FIDO 2, cartões inteligentes e Windows Hello para Empresas podem ajudá-lo a atender a esses requisitos.
Múltiplos provedores de chave de segurança FIDO2 atendem aos requisitos FIPS. Recomendamos que você examine a lista de fornecedores de chaves FIDO2 com suporte. Consulte seu provedor para obter o status de validação FIPS atual.
Cartões inteligentes são uma tecnologia comprovada. Vários produtos de fornecedores atendem aos requisitos de FIPS.
- Saiba mais no Programa de Validação de Módulo Criptográfico
Windows Hello for Business
O FIPS 140 requer que o limite criptográfico, incluindo software, firmware e hardware, esteja no escopo da avaliação. Os sistemas operacionais Windows podem ser emparelhadas com milhares de combinações de hardware. Dessa forma, não é viável para a Microsoft ter o Windows Hello para Empresas validado no FIPS 140 Nível de Segurança 2. Os clientes federais devem realizar avaliações de risco e avaliar cada uma das seguintes certificações de componente como parte de sua aceitação de risco antes de aceitar esse serviço como AAL3:
O Windows 10 e o Windows Server usam o Perfil de Proteção Aprovado pelo Governo dos EUA para Sistemas Operacionais de Uso Geral Operating versão 4.2.1 da National Information Assurance Partnership (NIAP). Esta organização supervisiona um programa nacional para avaliar produtos de tecnologia da informação COTS (commercial off-the-shelf) para conformidade com os Critérios Comuns internacionais.
A Biblioteca Criptográfica do Windows tem o Nível 1 do FIPS Geral no Programa de Validação de Módulo Criptográfico do NIST (CMVP), um esforço conjunto entre o NIST e o Centro Canadense de Segurança Cibernética. Essa organização valida módulos criptográficos em relação aos padrões FIPS.
Escolha um TPM (Trusted Platform Module) que seja FIPS 140 Nível 2 Geral e FIPS 140 Nível 3 Segurança Física. Sua organização garante que o TPM de hardware atenda aos requisitos de nível de AAL desejados.
Para determinar os TPMs que atendem aos padrões atuais, acesse o Programa de Validação do Módulo Criptográfico do Computer Security Resource Center do NIST. Na caixa Nome do Módulo, insira Trusted Platform Module para obter uma lista de TPMs de hardware que atendam aos padrões.
SSO de Plataforma MacOS
O Apple macOS 13 (e superior) é FIPS 140 Nível 2 no geral, com a maioria dos dispositivos também FIPS 140 Nível 3 Segurança Física. Recomendamos fazer referência às Certificações da Plataforma Apple.
Chave de acesso no Microsoft Authenticator
Para informações adicionais sobre conformidade FIPS 140 para o Microsoft Authenticator (iOS/Android), confira FIPS 140 compatível com a autenticação do Microsoft Entra
Reautenticação
Para AAL3, as exigências do NIST são a reautenticação a cada 12 horas, independentemente da atividade do usuário. Reautenticação é recomendada após um período de inatividade de 15 minutos ou mais. É necessária apresentar ambos os fatores.
Para atender ao requisito de reautenticação, independentemente da atividade do usuário, a Microsoft recomenda configurar a frequência de entrada do usuário para 12 horas.
O NIST permite controles de compensação para confirmar a presença do assinante:
Defina o tempo limite, independentemente da atividade, executando uma tarefa agendada usando Configuration Manager, GPO ou Intune. Bloqueie o computador após 12 horas, independentemente da atividade.
Para o tempo de inatividade recomendado, você pode definir um tempo limite de inatividade da sessão de 15 minutos: bloquear o dispositivo no nível do sistema operacional usando o Microsoft Configuration Manager, o Objeto de Política de Grupo (GPO) ou o Intune. Para o assinante desbloqueá-lo, exija autenticação local.
Resistência a man-in-the-middle
As comunicações entre o requerente e o ID do Microsoft Entra são feitas através de um canal autenticado e protegido para resistência a ataques man-in-the-middle (MitM). Essa configuração atende aos requisitos de resistência a MitM para AAL1, AAL2 e AAL3.
Resistência de representação do verificador
Os métodos de autenticação do Microsoft Entra que atendem ao AAL3 usam autenticadores criptográficos que vinculam a saída do autenticador à sessão que está sendo autenticada. Os métodos usam uma chave privada controlada pelo requerente. A chave pública é conhecida pelo verificador. Essa configuração satisfaz os requisitos de resistência de representação do verificador para AAL3.
Resistência ao comprometimento do verificador
Todos os métodos de autenticação do Microsoft Entra que atendem ao AAL3:
- Usar um autenticador criptográfico que exija que o verificador armazene uma chave pública correspondente a uma chave privada mantida pelo autenticador
- Armazenar a saída do autenticador esperado usando algoritmos de hash validados pelo FIPS-140
Para mais informações, consulte Considerações sobre segurança de dados do Microsoft Entra.
Resistência à reprodução
Os métodos de autenticação do Microsoft Entra que atendem ao AAL3 usam nonce ou desafios. Esses métodos são resistentes a ataques de repetição porque o verificador pode detectar as transações de autenticação repetidas. Essas transações não contêm os dados de nonce ou de linha do tempo necessários.
Tentativa de autenticação
Exigir a intenção de autenticação dificulta que autenticadores físicos conectados diretamente, como hardware criptográfico multifator, sejam usados sem o conhecimento do sujeito (por exemplo, por malware no ponto de extremidade). Os métodos do Microsoft Entra que atendem ao AAL3 exigem a entrada de pino ou biometria, demonstrando a intenção de autenticação.
Próximas etapas
Noções básicas de autenticação