使用 Microsoft Entra ID 的 NIST 驗證器保證等級 3
針對美國國家標準暨技術研究院 (NIST) 驗證器保證等級 3 (AAL3) 使用本文中的資訊。
在取得 AAL2 之前,您可以檢閱下列資源:
- NIST 概觀:了解 AAL 等級
- 驗證基本概念:術語和驗證類型
- NIST 驗證器類型:驗證器類型
- NIST AAL:AAL 元件和 Microsoft Entra 驗證方法
允許的驗證器類型
使用 Microsoft 驗證方法,以符合所需的 NIST 驗證器類型。
Microsoft Entra 驗證方法 | NIST 驗證器類型 |
---|---|
建議的方法 | |
多重要素硬體保護憑證 FIDO 2 安全性金鑰 適用於 macOS 的平臺 SSO (安全記憶體保護區) 使用硬體 TPM 的 Windows Hello 企業版 Microsoft Authenticator1 中的 Passkey |
多重要素密碼編譯硬體 |
其他方法 | |
密碼 AND 受單一因素硬體保護的憑證 |
記住的秘密 AND 單一要素密碼編譯硬體 |
1 Microsoft Authenticator 中的 Passkey 整體視為部分 AAL3,且可在 FIPS 140 層級 2 整體 (或更高) 和 FIPS 140 層級 3 實體安全性 (或更高) 的平臺上獲得 AAL3 資格。 如需Microsoft Authenticator 的 FIPS 140 合規性詳細資訊(iOS/Android)請參閱 符合 FIPS 140 規範,以取得Microsoft Entra 驗證的 FIPS 140 規範
建議
針對 AAL3,我們建議使用多重要素密碼編譯硬體驗證器,其會提供無密碼驗證,消除了最大的受攻擊面 (即密碼)。
如需指引,請參閱規劃 Microsoft Entra ID 中的無密碼驗證部署。 另請參閱 Windows Hello 企業版部署指南。
FIPS 140 驗證
驗證器需求
Microsoft Entra ID 會針對其驗證密碼編譯作業,使用 Windows FIPS 140 等級 1 的整體驗證密碼編譯模組,使 Microsoft Entra ID 成為符合規範的驗證器。
驗證器需求
單一要素和多重要素密碼編譯硬體驗證器需求。
單一要素密碼編譯硬體
驗證器必須是:
FIPS 140 等級 1 整體或更高等級
FIPS 140 等級 3 實體安全性或更高等級
搭配 Windows 裝置使用的單一因素硬體保護憑證符合下列需求:
您在 FIPS-140 核准的模式下執行 Windows
在配備 FIPS 140 等級 1 整體或更高等級的 TPM 機器上,此機器同時還具備 FIPS 140 等級 3 實體安全性
- 尋找符合規範的 TPM:在密碼編譯模組驗證程式上,搜尋信賴平台模組和 TPM。
諮詢您的行動裝置廠商,了解該廠商對於 FIPS 140 的遵循情況。
多重要素密碼編譯硬體
驗證器必須是:
FIPS 140 等級 2 整體或更高等級
FIPS 140 等級 3 實體安全性或更高等級
FIDO 2 安全性金鑰、智慧卡,以及 Windows Hello 企業版有助於符合這些需求。
多個 FIDO2 安全性金鑰提供者符合 FIPS 需求。 建議您檢閱支援的 FIDO2 主要廠商清單。 請諮詢您的提供者,以取得目前的 FIPS 驗證狀態。
智慧卡是一種經過實證的技術。 有多家廠商的產品符合 FIPS 需求。
- 深入了解密碼編譯模組驗證計劃
Windows Hello 企業版
FIPS 140 要求密碼編譯界限 (包括軟體、韌體和硬體) 處於評估範圍內。 Windows 作業系統可與數千個這樣的組合配對。 因此,Microsoft 若要在 FIPS 140 安全性等級 2 上驗證 Windows Hello 企業版,這是不可行的。 聯邦客戶應在接受此服務作為 AAL3 之前,先進行風險評量,並評估下列每一個元件認證,作為其接受風險的一部分:
Windows 10 和 Windows Server 使用由美國政府核准適用於一般用途作業系統版本 4.2.1 的保護,其來源為國家資訊保障合作組織 (NIAP)。 此組織會監看全國性的計劃,以評估商用現成的 (COTS) 資訊技術產品,是否符合國際通用準則。
Windows 密碼編譯連結庫在 NIST 密碼編譯模組驗證計劃 (CMVP) 中具有 FIPS 層級 1 整體,這是 NIST 與加拿大網路安全中心之間的共同努力。 此組織會根據 FIPS 標準驗證密碼編譯模組。
請選擇符合 FIPS 140 等級 2 整體和 FIPS 140 等級 3 實體安全性的信賴平台模組 (TPM)。 您的組織會確保硬體 TPM 符合您想要的 AAL 等級需求。
若要判斷哪些 TPM 符合目前的標準,請前往 NIST 電腦安全性資源中心密碼編譯模組驗證計劃。 在 [模組名稱] 方塊中,輸入[信賴平台模組],以取得符合標準的硬體 TPM 清單。
MacOS 平台 SSO
Apple macOS 13 (及更新版本)是 FIPS 140 層級 2 整體,大部分裝置也具有 FIPS 140 層級 3 實體安全性。 我們建議參考 Apple 平台認證。
Microsoft Authenticator 中的 Passkey
如需Microsoft Authenticator 的 FIPS 140 合規性詳細資訊(iOS/Android)請參閱 符合 FIPS 140 規範,以取得Microsoft Entra 驗證的 FIPS 140 規範
重新驗證
針對 AAL3,無論使用者活動為何,每 12 小時都會重新驗證 NIST 需求。 建議在閑置 15 分鐘或更長的時間之後重新驗證。 必須同時滿足兩項要素。
為了滿足不論使用者的活動為何,都要重新驗證的需求,Microsoft 建議您將使用者登入頻率設定為 12 小時。
NIST 允許補償控制項來確認訂閱者存在:
使用 Configuration Manager、GPO 或 Intune 執行排程工作來設定逾時,無論活動為何。 在 12 小時之後鎖定機器,無論活動為何。
針對建議的閑置逾時,您可以設定會話閑置逾時 15 分鐘:使用 Microsoft Configuration Manager、組策略物件 (GPO) 或 Intune 鎖定操作系統層級的裝置。 針對訂閱者,若要將其解除鎖定,需要本機驗證。
抵禦中間人的攻擊
宣告者與 Microsoft Entra ID 之間的通訊是透過已驗證且受保護的通道進行,以抵禦中間人 (MitM) 的攻擊。 此一設定可以滿足 AAL1、AAL2 和 AAL3 的抵禦中間人攻擊需求。
驗證器模擬抵禦
符合 AAL3 的 Microsoft Entra 驗證方法會使用密碼編譯驗證器,將驗證器輸出繫結至要進行驗證的工作階段。 這些方法會使用由宣告者控制的私密金鑰。 驗證者已知公開金鑰。 此一設定可滿足 AAL3 驗證器模擬抵禦的需求。
驗證器入侵抵禦
符合 AAL3 的 Microsoft Entra 驗證方法:
- 使用密碼編譯驗證器,其會要求驗證者儲存對應於驗證器所持有私密金鑰的公開金鑰
- 使用 FIPS-140 已驗證的雜湊演算法,來儲存預期的驗證器輸出
如需詳細資訊,請參閱 Microsoft Entra 資料安全性考量。
重新執行抵禦
符合 AAL3 的 Microsoft Entra 驗證方法會使用 nonce 或挑戰。 由於驗證者可以偵測到重新執行的驗證交易,因此這些方法能夠抵禦重新執行攻擊。 這類交易將不會包含所需的 nonce 或 timelines 資料。
驗證意圖
需要驗證意圖,這會使得直接連線的實體驗證器 (像是多重要素密碼編譯硬體),在沒有主體知識的情況下更難以使用 (例如,透過端點上的惡意程式碼)。 符合 AAL3 的 Microsoft Entra 方法需要使用者輸入個人識別碼或生物特徵辨識資料,示範驗證意圖。