Поделиться через

Уровень проверки подлинности NIST 3 с помощью идентификатора Microsoft Entra

  • Статья

Используйте сведения в этой статье для Национального института стандартов и технологий (NIST) уровень проверки подлинности 3 (AAL3).

Перед получением AAL2 можно просмотреть следующие ресурсы:

Разрешенные типы проверки подлинности

Используйте методы проверки подлинности Майкрософт для удовлетворения необходимых типов проверки подлинности NIST.

Способы проверки подлинности Microsoft Entra. Тип структуры проверки подлинности NIST
Рекомендуемые методы
Многофакторный защищенный сертификат оборудования
Ключ безопасности FIDO 2
Единый вход платформы для macOS (безопасный анклава)
Windows Hello для бизнеса с аппаратным TPM
Секретный ключ в Microsoft Authenticator1		 Многофакторное криптографическое оборудование
Дополнительные методы
Пароль
AND
Защищенный сертификат однофакторного оборудования		 Замеченный секрет
AND
оборудование для однофакторной проверки подлинности с шифрованием

1 Секретный ключ в Microsoft Authenticator в целом считается частичным AAL3 и может квалифицироваться как AAL3 на платформах с FIPS 140 level 2 В целом (или выше) и FIPS 140 уровня 3 физической безопасности (или выше). Дополнительные сведения о соответствии FIPS 140 для Microsoft Authenticator (iOS/Android) см . в соответствии с FIPS 140 для проверки подлинности Microsoft Entra.

Рекомендации

Для AAL3 рекомендуется использовать многофакторный криптографический аппаратный аутентификатор, обеспечивающий проверку подлинности без пароля, устраняющую большую область атаки, пароль.

Инструкции см. в разделе Планирование развертывания без пароля проверки подлинности в идентификаторе Microsoft Entra. См. также руководство по развертыванию Windows Hello для бизнеса.

Проверка на соответствие стандарту FIPS 140

Требования к средству проверки

Идентификатор Microsoft Entra использует общий проверенный модуль шифрования windows FIPS 140 уровня 1 для криптографических операций проверки подлинности, что делает идентификатор Microsoft Entra ID соответствующим проверяющим.

Требования к структуре проверки подлинности

Требования к однофакторной и многофакторной криптографической проверке подлинности оборудования.

оборудование для однофакторной проверки подлинности с шифрованием

Для проверки подлинности необходимо:

  • FIPS 140 уровень 1 в целом или выше

  • FIPS 140 уровня 3 физической безопасности или выше

Однофакторный защищенный сертификат оборудования, используемый с устройством Windows, соответствует этому требованию, если:

  • Запуск Windows в утвержденном режиме FIPS-140

  • На компьютере с TPM, который имеет FIPS 140 уровня 1 в целом или выше, с FIPS 140 уровня 3 физической безопасности

    • Поиск соответствующих TPM: поиск доверенного платформенного модуля и доверенного платформенного модуля в программе проверки криптографических модулей.

Обратитесь к поставщику мобильных устройств, чтобы узнать о соответствии с FIPS 140.

Многофакторное криптографическое оборудование

Для проверки подлинности необходимо:

  • FIPS 140 уровень 2 в целом или выше

  • FIPS 140 уровня 3 физической безопасности или выше

Ключи безопасности FIDO 2, смарт-карты и Windows Hello для бизнеса помогут вам удовлетворить эти требования.

  • Несколько поставщиков ключей безопасности FIDO2 соответствуют требованиям FIPS. Рекомендуется просмотреть список поддерживаемых поставщиков ключей FIDO2. Обратитесь к поставщику с текущим состоянием проверки FIPS.

  • Смарт-карты — это проверенная технология. Несколько продуктов поставщиков соответствуют требованиям FIPS.

Windows Hello для бизнеса

FIPS 140 требует криптографической границы, включая программное обеспечение, встроенное ПО и оборудование, для оценки. Операционные системы Windows можно связать с тысячами этих сочетаний. Таким образом, корпорация Майкрософт не может проверить Windows Hello для бизнеса на уровне безопасности FIPS 140. Федеральные клиенты должны проводить оценки рисков и оценивать каждый из следующих сертификатов компонентов как часть их принятия рисков перед принятием этой службы в качестве AAL3:

Чтобы определить TPM, которые соответствуют текущим стандартам, перейдите в программу проверки криптографического модуля Центра безопасности компьютеров NIST. В поле "Имя модуля" введите доверенный модуль платформы для списка аппаратных TPM, которые соответствуют стандартам.

Единый вход платформы MacOS

Apple macOS 13 (и выше) — FIPS 140 уровня 2 в целом, с большинством устройств также FIPS 140 уровня 3 физической безопасности. Мы рекомендуем ссылаться на сертификаты Платформы Apple.

Секретный ключ в Microsoft Authenticator

Дополнительные сведения о соответствии FIPS 140 для Microsoft Authenticator (iOS/Android) см . в соответствии с FIPS 140 для проверки подлинности Microsoft Entra.

Повторная проверка подлинности

Для AAL3 требования NIST повторно выполняют проверку подлинности каждые 12 часов независимо от активности пользователя. Повторная авторизация рекомендуется использовать после периода бездействия 15 минут или дольше. Для представления обоих факторов требуется.

Чтобы обеспечить соответствие требованиям повторной проверки подлинности независимо от действия пользователя, корпорация Майкрософт рекомендует настроить частоту входа пользователя в 12 часов.

NIST позволяет компенсировать элементы управления для подтверждения присутствия подписчика:

  • Задайте время ожидания независимо от действия, выполнив запланированную задачу с помощью Configuration Manager, групповой политики или Intune. Блокировка компьютера через 12 часов независимо от действия.

  • Для рекомендуемого времени ожидания бездействия можно задать время бездействия сеанса в течение 15 минут: блокировка устройства на уровне ОС с помощью Microsoft Configuration Manager, объекта групповой политики (GPO) или Intune. Для разблокировки подписчика требуется локальная проверка подлинности.

Защита от атак "злоумышленник в середине"

Обмен данными между заявителем и идентификатором Microsoft Entra проходит проверку подлинности, защищенный канал для сопротивления атакам в середине (MitM). Эта конфигурация соответствует требованиям защиты от MitM для уровней AAL1, AAL2 и AAL3.

Защита средства проверки от олицетворения

Методы проверки подлинности Microsoft Entra, соответствующие AAL3, используют криптографические аутентификаторы, которые привязывают выходные данные аутентификатора к сеансу, прошедшему проверку подлинности. Методы используют закрытый ключ, контролируемый заявителем. Открытый ключ известен проверяющего. Данная конфигурация удовлетворяет требованиям к защите от олицетворения для уровня AAL3.

Противостояние атакам с компрометацией средства проверки

Все методы проверки подлинности Microsoft Entra, соответствующие AAL3:

  • Использование криптографического аутентификатора, требующего хранения открытого ключа проверяющего ключа, соответствующего закрытому ключу, удерживаемого аутентификатором.
  • Хранение ожидаемых выходных данных аутентификатора с помощью проверенных алгоритмов хэша FIPS-140

Дополнительные сведения см. в разделе "Вопросы безопасности данных Microsoft Entra".

Защита от атак с повторением

Методы проверки подлинности Microsoft Entra, которые соответствуют AAL3, используют неисключаемые или сложные задачи. Эти методы устойчивы к атакам воспроизведения, так как проверяющий может обнаруживать повторяемые транзакции проверки подлинности. Такие транзакции не будут содержать необходимые данные о нецелевом или своевременном времени.

Цель проверки подлинности

Требование намерения проверки подлинности затрудняет использование непосредственно подключенных физических аутентификаторов, таких как многофакторное криптографическое оборудование, без знаний субъекта (например, вредоносных программ в конечной точке). Методы Microsoft Entra, соответствующие AAL3, требуют ввода пин-кода или биометрических данных, демонстрируя намерение проверки подлинности.

Следующие шаги

Общие сведения о NIST

Сведения об уровнях AAL

Основные сведения об аутентификации

Типы проверки подлинности NIST

Достижение NIST AAL1 с помощью идентификатора Microsoft Entra

Достижение NIST AAL2 с помощью идентификатора Microsoft Entra