Garantia do autenticador NIST nível 3 usando o Microsoft Entra ID
Use as informações neste artigo para o nível 3 de garantia do autenticador do National Institute of Standards and Technology (NIST) (AAL3).
Antes de obter o AAL2, você pode revisar os seguintes recursos:
- Visão geral do NIST: Compreender os níveis de AAL
- Noções básicas de autenticação: terminologia e tipos de autenticação
- Tipos de autenticador NIST: Tipos de autenticador
- AALs NIST: componentes AAL e métodos de autenticação Microsoft Entra
Tipos de autenticador permitidos
Use os métodos de autenticação da Microsoft para atender aos tipos de autenticador NIST necessários.
Métodos de autenticação do Microsoft Entra | Tipo de autenticador NIST |
---|---|
Métodos recomendados | |
Certificado protegido por hardware multifator Chave de segurança FIDO 2 SSO da plataforma para macOS (Secure Enclave) Windows Hello para Empresas com TPM de hardware Chave de acesso no Microsoft Authenticator1 |
Hardware criptográfico multifator |
Métodos adicionais | |
Palavra-passe E AINDA Certificado protegido por hardware de fator único |
Segredo memorizado E AINDA Hardware criptográfico de fator único |
1 A chave de acesso no Microsoft Authenticator é globalmente considerada AAL3 parcial e pode qualificar-se como AAL3 em plataformas com segurança física FIPS 140 Nível 2 Geral (ou superior) e FIPS 140 nível 3 (ou superior). Para obter informações adicionais sobre a conformidade com FIPS 140 para Microsoft Authenticator (iOS/Android), consulte Compatível com FIPS 140 para autenticação Microsoft Entra
Recomendações
Para AAL3, recomendamos o uso de um autenticador de hardware criptográfico multifator que fornece autenticação sem senha eliminando a maior superfície de ataque, a senha.
Para obter orientação, consulte Planejar uma implantação de autenticação sem senha no Microsoft Entra ID. Consulte também o guia de implantação do Windows Hello for Business.
Validação FIPS 140
Requisitos do verificador
O Microsoft Entra ID usa o módulo criptográfico validado geral do Windows FIPS 140 Nível 1 para suas operações criptográficas de autenticação, tornando o Microsoft Entra ID um verificador compatível.
Requisitos do autenticador
Requisitos do autenticador de hardware criptográfico de fator único e multifator.
Hardware criptográfico de fator único
Os autenticadores devem ser:
FIPS 140 Nível 1 Geral ou superior
FIPS 140 Nível 3 Segurança Física, ou superior
O certificado protegido por hardware de fator único usado com o dispositivo Windows atende a esse requisito quando:
Executar o Windows em um modo aprovado FIPS-140
Em uma máquina com um TPM FIPS 140 Nível 1 Geral ou superior, com FIPS 140 Nível 3 Segurança Física
- Encontre TPMs compatíveis: procure por Trusted Platform Module e TPM no Cryptographic Module Validation Program.
Consulte o fornecedor do seu dispositivo móvel para saber mais sobre a sua adesão ao FIPS 140.
Hardware criptográfico multifator
Os autenticadores devem ser:
FIPS 140 Nível 2 Geral ou superior
FIPS 140 Nível 3 Segurança Física, ou superior
As chaves de segurança FIDO 2, os cartões inteligentes e o Windows Hello for Business podem ajudá-lo a atender a esses requisitos.
Vários provedores de chaves de segurança FIDO2 atendem aos requisitos FIPS. Recomendamos que você revise a lista de fornecedores de chaves FIDO2 suportados. Consulte seu provedor para obter o status atual da validação FIPS.
Os cartões inteligentes são uma tecnologia comprovada. Vários produtos de fornecedores atendem aos requisitos FIPS.
- Saiba mais sobre o Programa de Validação de Módulos Criptográficos
Windows Hello para empresas
O FIPS 140 exige que o limite criptográfico, incluindo software, firmware e hardware, esteja no escopo para avaliação. Os sistemas operacionais Windows podem ser emparelhados com milhares dessas combinações. Como tal, não é viável para a Microsoft ter o Windows Hello for Business validado no FIPS 140 Security Level 2. Os clientes federais devem realizar avaliações de risco e avaliar cada uma das seguintes certificações de componentes como parte de sua aceitação de risco antes de aceitar este serviço como AAL3:
O Windows 10 e o Windows Server usam o Perfil de Proteção Aprovado pelo Governo dos EUA para Sistemas Operacionais de Uso Geral Versão 4.2.1 da National Information Assurance Partnership (NIAP). Esta organização supervisiona um programa nacional para avaliar produtos comerciais de tecnologia da informação prontos para uso (COTS) para conformidade com os Critérios Comuns internacionais.
A Biblioteca Criptográfica do Windows tem FIPS Nível 1 Geral no NIST Cryptographic Module Validation Program (CMVP), um esforço conjunto entre o NIST e o Canadian Center for Cyber Security. Esta organização valida módulos criptográficos em relação aos padrões FIPS.
Escolha um TPM (Trusted Platform Module) que seja FIPS 140 Nível 2 Geral e FIPS 140 Nível 3 Segurança Física. Sua organização garante que o TPM de hardware atenda aos requisitos de nível AAL desejados.
Para determinar os TPMs que atendem aos padrões atuais, vá para NIST Computer Security Resource Center Cryptographic Module Validation Program. Na caixa Nome do módulo, insira Trusted Platform Module para obter uma lista de TPMs de hardware que atendem aos padrões.
SSO da plataforma MacOS
Apple macOS 13 (e superior) são FIPS 140 Nível 2 No geral, com a maioria dos dispositivos também FIPS 140 Nível 3 Segurança Física. Recomendamos que consulte as Certificações da plataforma Apple.
Chave de acesso no Microsoft Authenticator
Para obter informações adicionais sobre a conformidade com FIPS 140 para Microsoft Authenticator (iOS/Android), consulte Compatível com FIPS 140 para autenticação Microsoft Entra
Reautenticação
Para AAL3, os requisitos do NIST são reautenticação a cada 12 horas, independentemente da atividade do usuário. A reautenticação é recomendada após um período de inatividade de 15 minutos ou mais. É necessário apresentar ambos os fatores.
Para atender ao requisito de reautenticação, independentemente da atividade do usuário, a Microsoft recomenda configurar a frequência de entrada do usuário para 12 horas.
O NIST permite controlos de compensação para confirmar a presença do subscritor:
Defina o tempo limite, independentemente da atividade, executando uma tarefa agendada usando o Configuration Manager, GPO ou Intune. Bloqueie a máquina após 12 horas, independentemente da atividade.
Para o tempo limite de inatividade recomendado, você pode definir um tempo de inatividade de sessão de 15 minutos: bloqueie o dispositivo no nível do sistema operacional usando o Microsoft Configuration Manager, o GPO (Objeto de Política de Grupo) ou o Intune. Para que o assinante o desbloqueie, exija autenticação local.
Resistência homem-no-meio
As comunicações entre o requerente e o Microsoft Entra ID são feitas através de um canal autenticado e protegido para resistência a ataques man-in-the-middle (MitM). Esta configuração satisfaz os requisitos de resistência MitM para AAL1, AAL2 e AAL3.
Resistência à representação do verificador
Os métodos de autenticação do Microsoft Entra que atendem ao AAL3 usam autenticadores criptográficos que vinculam a saída do autenticador à sessão que está sendo autenticada. Os métodos utilizam uma chave privada controlada pelo requerente. A chave pública é conhecida pelo verificador. Essa configuração satisfaz os requisitos de resistência de representação do verificador para AAL3.
Resistência ao compromisso do verificador
Todos os métodos de autenticação do Microsoft Entra que atendem AAL3:
- Use um autenticador criptográfico que exija que o verificador armazene uma chave pública correspondente a uma chave privada mantida pelo autenticador
- Armazene a saída esperada do autenticador usando algoritmos de hash validados pelo FIPS-140
Para obter mais informações, consulte Considerações sobre segurança de dados do Microsoft Entra.
Resistência à repetição
Os métodos de autenticação do Microsoft Entra que atendem ao AAL3 usam nonce ou desafios. Esses métodos são resistentes a ataques de repetição porque o verificador pode detetar transações de autenticação repetidas. Essas transações não conterão os dados necessários de nonce ou pontualidade.
Intenção de autenticação
Exigir a intenção de autenticação torna mais difícil para autenticadores físicos conectados diretamente, como hardware criptográfico multifator, serem usados sem o conhecimento do sujeito (por exemplo, por malware no ponto de extremidade). Os métodos Microsoft Entra que atendem ao AAL3 exigem a entrada do usuário de pino ou biometria, demonstrando a intenção de autenticação.
Próximos passos
Noções básicas de autenticação