Уровень проверки подлинности NIST 2 с идентификатором Microsoft Entra

Статья
11/23/2024

Национальный институт стандартов и технологий (NIST) разрабатывает технические требования для федеральных учреждений США, реализующих решения идентификации. Организации, работающие с федеральными агентствами, должны соответствовать этим требованиям.

Перед началом проверки подлинности уровня 2 (AAL2) можно просмотреть следующие ресурсы:

Обзор NIST. Общие сведения об уровнях AAL
Основы проверки подлинности: терминология и типы проверки подлинности
Типы NIST Authenticator: типы Authenticator
NIST AALs: компоненты AAL и методы проверки подлинности Microsoft Entra

Разрешенные типы проверки подлинности AAL2

В следующей таблице разрешены типы аутентификатора для AAL2:

Метод проверки подлинности Microsoft Entra	Фишинг устойчивый	Тип структуры проверки подлинности NIST
Рекомендуемые методы
Многофакторный сертификат программного обеспечения Windows Hello для бизнеса с модулем доверенной платформы программного обеспечения (TPM)	Да	Многофакторное программное обеспечение для шифрования
Многофакторный защищенный сертификат оборудования Ключ безопасности FIDO 2 Единый вход платформы для macOS (безопасный анклава) Windows Hello для бизнеса с аппаратным TPM Секретный ключ в Microsoft Authenticator	Да	Многофакторное оборудование шифрования
Дополнительные методы
Приложение Microsoft Authenticator (вход по телефону)	No	Мультифактор вне полосы
Пароль AND — приложение Microsoft Authenticator (push-уведомление) - ИЛИ — Microsoft Authenticator Lite (push-уведомление) - ИЛИ - Телефон (SMS)	No	Замеченный секрет AND Однофакторная внеполосная
Пароль AND — токены оборудования OATH (предварительная версия) - ИЛИ — приложение Microsoft Authenticator (OTP) - ИЛИ — Microsoft Authenticator Lite (OTP) - ИЛИ — токены программного обеспечения OATH	No	Замеченный секрет AND Однофакторный OTP
Пароль AND — однофакторный сертификат программного обеспечения - ИЛИ — Microsoft Entra, присоединенная к программному TPM - ИЛИ — гибридное присоединение Microsoft Entra к программному доверенному платформенного модуля - ИЛИ — Совместимое мобильное устройство	Да¹	Замеченный секрет AND ПО для однофакторной проверки подлинности с шифрованием
Пароль AND — Microsoft Entra, присоединенная к аппаратному доверенному платформенный модуль - ИЛИ — гибридное присоединение Microsoft Entra к аппаратному доверенному платформенного модуля	Да¹	Замеченный секрет AND Оборудование для однофакторной проверки подлинности с шифрованием

¹ Защита от внешнего фишинга

Проверка на соответствие стандарту FIPS 140

Используйте следующие разделы, чтобы узнать о проверке FIPS 140.

Требования к средству проверки

Идентификатор Microsoft Entra использует общий проверенный модуль шифрования Windows FIPS 140 уровня 1 для криптографических операций проверки подлинности. Поэтому это проверяющий средство, соответствующее FIPS 140, требуемое государственными учреждениями.

Требования к структуре проверки подлинности

Криптографические аутентификаторы государственного агентства проверяются для FIPS 140 уровня 1 в целом. Это требование не касается неправительственных учреждений. Следующие средства проверки подлинности Microsoft Entra соответствуют требованиям при запуске в Windows в утвержденном режиме FIPS 140:

Пароль
Microsoft Entra, присоединенная к программному обеспечению или аппаратному доверенному платформенного модуля
Гибридная среда Microsoft Entra, присоединенная к программному обеспечению или с аппаратным TPM
Windows Hello для бизнеса с программным или аппаратным доверенным платформенным модулем
Сертификат, хранящийся в программном обеспечении или оборудовании (ключ смарт-карты, ключ безопасности/TPM)

Сведения о соответствии требованиям FIPS 140 для приложений Microsoft Authenticator (iOS/Android) см . в разделе соответствия FIPS 140 для проверки подлинности Microsoft Entra

Для токенов оборудования и смарт-карт OATH рекомендуется обратиться к поставщику для текущего состояния проверки FIPS.

Поставщики ключей безопасности FIDO 2 находятся на различных этапах сертификации FIPS. Мы рекомендуем просмотреть список поддерживаемых поставщиков ключей FIDO 2. Обратитесь к поставщику с текущим состоянием проверки FIPS.

Единый вход платформы для macOS соответствует стандарту FIPS 140. Мы рекомендуем ссылаться на сертификаты Платформы Apple.

Повторная проверка подлинности

Для AAL2 требование NIST повторно выполняется каждые 12 часов независимо от активности пользователя. Повторная авторизация требуется после периода бездействия в течение 30 минут или дольше. Так как секрет сеанса — это то, что у вас есть, показывая то, что вы знаете или является обязательным.

Чтобы обеспечить соответствие требованиям повторной проверки подлинности независимо от действия пользователя, корпорация Майкрософт рекомендует настроить частоту входа пользователя в 12 часов.

С помощью NIST можно использовать компенсирующие элементы управления для подтверждения присутствия подписчика:

Установите время ожидания бездействия сеанса до 30 минут: блокировка устройства на уровне операционной системы с помощью Microsoft System Center Configuration Manager, объектов групповой политики (GPU) или Intune. Для разблокировки подписчика требуется локальная проверка подлинности.
Время ожидания независимо от действия: выполнение запланированной задачи (Configuration Manager, групповой политики или Intune) для блокировки компьютера через 12 часов независимо от действия.

Защита от атак "злоумышленник в середине"

Обмен данными между заявителем и идентификатором Microsoft Entra проходит проверку подлинности, защищенный канал. Эта конфигурация обеспечивает сопротивление атакам в середине (MitM) и удовлетворяет требованиям к сопротивлением MitM для AAL1, AAL2 и AAL3.

Защита от атак с повторением

Методы проверки подлинности Microsoft Entra в AAL2 используют неце или проблемы. Методы сопротивляются атакам воспроизведения, так как проверяющий обнаруживает повторяемые транзакции проверки подлинности. Такие транзакции не будут содержать необходимые данные, не относящиеся к времени или сроку.