NIST-autentiseringsnivå 3 med hjälp av Microsoft Entra-ID
Använd informationen i den här artikeln för NATIONAL Institute of Standards and Technology (NIST) authenticator assurance level 3 (AAL3).
Innan du hämtar AAL2 kan du granska följande resurser:
- NIST-översikt: Förstå AAL-nivåer
- Grundläggande autentisering: Terminologi- och autentiseringstyper
- NIST-autentiseringstyper: Autentiseringstyper
- NIST AALs: AAL-komponenter och Microsoft Entra-autentiseringsmetoder
Tillåtna autentiseringstyper
Använd Microsofts autentiseringsmetoder för att uppfylla nödvändiga NIST-autentiseringstyper.
| Microsoft Entra-autentiseringsmetoder | NIST-autentiseringstyp |
|---|---|
| Rekommenderade metoder | |
| Maskinvaruskyddat certifikat med flera faktorer SÄKERHETSNYCKEL FÖR FIDO 2 Plattforms-SSO för macOS (säker enklav) Windows Hello för företag med maskinvaru-TPM Nyckel i Microsoft Authenticator1 |
Krypteringsmaskinvara med flera faktorer |
| Ytterligare metoder | |
| Lösenord OCH Maskinvaruskyddat certifikat med en faktor |
Memorerad hemlighet OCH Krypteringsmaskinvara med en faktor |
1 Nyckel i Microsoft Authenticator anses generellt vara partiell AAL3 och kan kvalificeras som AAL3 på plattformar med FIPS 140 Nivå 2 Övergripande (eller högre) och FIPS 140 nivå 3 fysisk säkerhet (eller högre). Mer information om FIPS 140-efterlevnad för Microsoft Authenticator (iOS/Android) finns i FIPS 140-kompatibel för Microsoft Entra-autentisering
Rekommendationer
För AAL3 rekommenderar vi att du använder en multifaktorkryptografisk maskinvaruautentisering som ger lösenordslös autentisering som eliminerar den största attackytan, lösenordet.
Vägledning finns i Planera en distribution av lösenordsfri autentisering i Microsoft Entra-ID. Se även Windows Hello för företag distributionsguide.
FIPS 140-validering
Kontrollantkrav
Microsoft Entra ID använder den övergripande verifierade kryptografiska modulen för Windows FIPS 140 Level 1 för sina kryptografiska autentiseringsåtgärder, vilket gör Microsoft Entra ID till en kompatibel kontrollant.
Autentiserarkrav
Krav för enfaktors- och multifaktorkryptografisk maskinvaruautentisering.
Krypteringsmaskinvara med en faktor
Autentiserare måste vara:
FIPS 140 Nivå 1 Totalt eller högre
FIPS 140 Nivå 3 Fysisk säkerhet eller högre
Ett maskinvaruskyddat certifikat med en faktor som används med Windows-enheten uppfyller detta krav när:
På en dator med en TPM som är FIPS 140 Level 1 Övergripande, eller högre, med FIPS 140 Nivå 3 Fysisk säkerhet
- Hitta kompatibla TPM:er: sök efter Trusted Platform Module och TPM på Cryptographic Module Validation Program.
Kontakta din mobilenhetsleverantör om du vill veta mer om deras efterlevnad med FIPS 140.
Krypteringsmaskinvara med flera faktorer
Autentiserare måste vara:
FIPS 140 Nivå 2 Totalt eller högre
FIPS 140 Nivå 3 Fysisk säkerhet eller högre
FIDO 2-säkerhetsnycklar, smartkort och Windows Hello för företag kan hjälpa dig att uppfylla dessa krav.
Flera FIDO2-säkerhetsnyckelprovidrar uppfyller FIPS-kraven. Vi rekommenderar att du granskar listan över FIDO2-nyckelleverantörer som stöds. Kontakta leverantören för aktuell FIPS-valideringsstatus.
Smartkort är en beprövad teknik. Flera leverantörsprodukter uppfyller FIPS-kraven.
Windows Hello för företag
FIPS 140 kräver att den kryptografiska gränsen, inklusive programvara, inbyggd programvara och maskinvara, finns i omfånget för utvärdering. Windows-operativsystem kan kopplas ihop med tusentals av dessa kombinationer. Därför är det inte möjligt för Microsoft att ha Windows Hello för företag verifierat på FIPS 140 Säkerhetsnivå 2. Federala kunder bör göra riskbedömningar och utvärdera var och en av följande komponentcertifieringar som en del av riskgodkännandet innan de accepterar den här tjänsten som AAL3:
Windows 10 och Windows Server använder us government approved protection profile for Generell användning operating systems version 4.2.1 från National Information Assurance Partnership (NIAP). Den här organisationen övervakar ett nationellt program för att utvärdera cots-produkter (commercial off-the-shelf) för att uppfylla internationella gemensamma kriterier.
Windows kryptografiska bibliotek har FIPS Nivå 1 Totalt i NIST Cryptographic Module Validation Program (CMVP), en gemensam insats mellan NIST och Canadian Center for Cyber Security. Den här organisationen validerar kryptografiska moduler mot FIPS-standarder.
Välj en TPM (Trusted Platform Module) som är FIPS 140 Level 2 Overall och FIPS 140 Level 3 Physical Security. Din organisation ser till att maskinvaru-TPM uppfyller de krav på AAL-nivå som du vill ha.
Om du vill fastställa vilka TPM:er som uppfyller aktuella standarder går du till NIST Computer Security Resource Center Cryptographic Module Validation Program. I rutan Modulnamn anger du Modul för betrodd plattform för en lista över maskinvaru-TPM:er som uppfyller standarder.
Enkel inloggning för MacOS-plattform
Apple macOS 13 (och senare) är FIPS 140 Nivå 2 Totalt, med de flesta enheter också FIPS 140 Nivå 3 Fysisk säkerhet. Vi rekommenderar att du refererar till Apples plattformscertifieringar.
Nyckel i Microsoft Authenticator
Mer information om FIPS 140-efterlevnad för Microsoft Authenticator (iOS/Android) finns i FIPS 140-kompatibel för Microsoft Entra-autentisering
Autentisering igen
För AAL3 är NIST-kraven omautentisering var 12:e timme, oavsett användaraktivitet. Reauthentication rekommenderas efter en period av inaktivitet 15 minuter eller längre. Det krävs att du presenterar båda faktorerna.
För att uppfylla kravet på omautentisering, oavsett användaraktivitet, rekommenderar Microsoft att du konfigurerar användarinloggningsfrekvens till 12 timmar.
NIST tillåter kompenserande kontroller för att bekräfta prenumerantnärvaro:
Ange tidsgräns, oavsett aktivitet, genom att köra en schemalagd aktivitet med Configuration Manager, GPO eller Intune. Lås datorn efter 12 timmar, oavsett aktivitet.
För den rekommenderade tidsgränsen för inaktivitet kan du ange en sessions-inaktivitetstid på 15 minuter: Lås enheten på OS-nivå med hjälp av Microsoft Configuration Manager, grupprincip Object (GPO) eller Intune. För att prenumeranten ska kunna låsa upp den behöver du lokal autentisering.
Man-in-the-middle motstånd
Kommunikationen mellan sökanden och Microsoft Entra-ID:t sker via en autentiserad, skyddad kanal för motstånd mot man-in-the-middle-attacker (MitM). Den här konfigurationen uppfyller kraven på MitM-motstånd för AAL1, AAL2 och AAL3.
Motstånd mot personifiering av verifierare
Microsoft Entra-autentiseringsmetoder som uppfyller AAL3 använder kryptografiska autentiserare som binder autentiseringsutdata till sessionen som autentiseras. Metoderna använder en privat nyckel som kontrolleras av den sökande. Den offentliga nyckeln är känd för kontrollanten. Den här konfigurationen uppfyller kraven på verifier-impersonation-resistens för AAL3.
Motstånd mot kompromisser för kontrollant
Alla Microsoft Entra-autentiseringsmetoder som uppfyller AAL3:
- Använd en kryptografisk autentisering som kräver att kontrollanten lagrar en offentlig nyckel som motsvarar en privat nyckel som innehas av autentiseringsenheten
- Lagra förväntade autentiseringsutdata med fips-140-verifierade hash-algoritmer
Mer information finns i Microsoft Entra datasäkerhetsöverväganden.
Återuppspelningsmotstånd
Microsoft Entra-autentiseringsmetoder som uppfyller AAL3 använder nonce eller utmaningar. Dessa metoder är resistenta mot reprisattacker eftersom kontrollanten kan identifiera omspelade autentiseringstransaktioner. Sådana transaktioner innehåller inte nödvändiga nonce- eller aktualitetsdata.
Avsikt för autentisering
Att kräva autentiseringssyfte gör det svårare för direktanslutna fysiska autentiseringsprogram, till exempel krypteringsmaskinvara med flera faktorer, att användas utan ämnets vetskap (till exempel av skadlig kod på slutpunkten). Microsoft Entra-metoder som uppfyller AAL3 kräver att användaren anger pin-kod eller biometrisk kod, vilket visar avsikten med autentisering.
Nästa steg
Grundläggande om autentisering