Úroveň záruky authenticatoru NIST 2 s ID Microsoft Entra
National Institute of Standards and Technology (NIST) vyvíjí technické požadavky pro federální agentury USA implementovaných řešení identit. Organizace pracující s federálními institucemi musí splňovat tyto požadavky.
Před zahájením ověřování úrovně 2 (AAL2) si můžete prohlédnout následující zdroje informací:
- Přehled NIST: Vysvětlení úrovní AAL
- Základy ověřování: Terminologie a typy ověřování
- Typy ověřovacího programu NIST: Typy authenticatoru
- AALs NIST: Komponenty AAL a metody ověřování Microsoft Entra
Povolené typy ověřovacího programu AAL2
Následující tabulka obsahuje typy authenticatoru povolené pro AAL2:
| Metoda ověřování Microsoft Entra | Typ ověřovacího objektu NIST |
|---|---|
| Doporučené metody | |
| Vícefaktorový softwarový certifikát (chráněný KÓDEM PIN) Windows Hello pro firmy s čipem TPM (Software Trusted Platform Module) |
Multi-factor crypto software |
| Certifikát chráněný hardwarem (čipová karta, klíč zabezpečení/ ČIP TPM) Klíč zabezpečení FIDO 2 Windows Hello pro firmy s hardwarovým čipem TPM |
Multi-factor crypto hardware |
| Aplikace Microsoft Authenticator (bez hesla) | Vícefaktorové mimo pásma |
| Další metody | |
| Heslo A – Aplikace Microsoft Authenticator (nabízené oznámení) - NEBO – Microsoft Authenticator Lite (nabízené oznámení) - NEBO - Telefon (SMS) |
Zapamatovaný tajný kód A Jednofaktorové mimo pásma |
| Heslo A – Hardwarové tokeny OATH (Preview) - NEBO – Aplikace Microsoft Authenticator (OTP) - NEBO – Microsoft Authenticator Lite (OTP) - NEBO – Softwarové tokeny OATH |
Zapamatovaný tajný kód A Jednofaktorové jednorázové heslo |
| Heslo A - Jednofaktorový softwarový certifikát - NEBO – Microsoft Entra připojený k softwarovému čipu TPM - NEBO – Hybridní připojení Microsoft Entra se softwarovým čipem TPM - NEBO - Kompatibilní mobilní zařízení |
Zapamatovaný tajný kód A Kryptografický software s jedním faktorem |
| Heslo A – Microsoft Entra připojený k hardwarovému čipu TPM - NEBO – Hybridní připojení Microsoft Entra k hardwarovému čipu TPM |
Zapamatovaný tajný kód A Kryptografický hardware s jedním faktorem |
Poznámka:
Microsoft Authenticator sám o sobě není odolný proti útokům phishing. Pokud chcete získat ochranu před externími phishingovými hrozbami při použití aplikace Microsoft Authenticator, musíte navíc nakonfigurovat zásady podmíněného přístupu vyžadující spravované zařízení.
Doporučení AAL2
Pro AAL2 použijte vícefaktorové kryptografické hardwarové nebo softwarové authenticátory. Ověřování bez hesla eliminuje největší prostor pro útoky (heslo) a nabízí uživatelům zjednodušenou metodu ověřování.
Pokyny k výběru metody ověřování bez hesla najdete v tématu Plánování nasazení ověřování bez hesla v Microsoft Entra ID. Viz také průvodce nasazením Windows Hello pro firmy
Ověřování FIPS 140
Informace o ověřování FIPS 140 najdete v následujících částech.
Požadavky na ověřovatele
Microsoft Entra ID používá windows FIPS 140 Úroveň 1 celkový ověřený kryptografický modul pro ověřovací kryptografické operace. Proto je to ověřovatel kompatibilní s FIPS 140 vyžadovaný vládními úřady.
Požadavky na authenticator
Kryptografické ověřovací moduly agentury pro státní správu jsou ověřeny pro FIPS 140 úroveň 1 celkově. Tento požadavek není určen pro nevládní agentury. Následující ověřovací program Microsoft Entra splňuje požadavek při spuštění ve Windows v režimu schváleném fiPS 140:
Heslo
Microsoft Entra připojený k softwaru nebo hardwaru TPM
Hybridní připojení Microsoft Entra se softwarem nebo hardwarovým čipem TPM
Windows Hello pro firmy se softwarem nebo hardwarem TPM
Certifikát uložený v softwaru nebo hardwaru (čipová karta/ bezpečnostní klíč/TPM)
Aplikace Microsoft Authenticator je kompatibilní se standardem FIPS 140 v iOSu. Probíhá dodržování předpisů FIPS 140 pro Android. Další informace o kryptografickýchmodulech
U hardwarových tokenů OATH a čipových karet doporučujeme, abyste se s vaším poskytovatelem poradili s aktuálním stavem ověření FIPS.
Poskytovatelé klíčů zabezpečení FIDO 2 jsou v různých fázích certifikace FIPS. Doporučujeme projít si seznam podporovaných dodavatelů klíčů FIDO 2. Aktuální stav ověření FIPS vám poskytne váš poskytovatel.
Opětovné ověření
V případě AAL2 se požadavek NIST znovu provádí každých 12 hodin bez ohledu na aktivitu uživatelů. Opětovné ověření se vyžaduje po určité době nečinnosti 30 minut nebo déle. Protože tajný kód relace je něco, co máte, je nutné prezentovat něco, co víte nebo jsou.
Microsoft doporučuje nakonfigurovat frekvenci přihlašování uživatelů na 12 hodin, aby splňovala požadavek na opětovné ověření bez ohledu na aktivitu uživatele.
Pomocí nist můžete pomocí kompenzačních ovládacích prvků ověřit přítomnost odběratele:
Nastavte časový limit nečinnosti relace na 30 minut: Uzamkněte zařízení na úrovni operačního systému pomocí Microsoft System Center Configuration Manageru, objektů zásad skupiny (GPO) nebo Intune. Aby ho předplatitel odemkl, vyžaduje místní ověřování.
Časový limit bez ohledu na aktivitu: Spuštěním naplánované úlohy (Configuration Manager, objekt zásad skupiny nebo Intune) zamkněte počítač po 12 hodinách bez ohledu na aktivitu.
Man-in-the-middle odpor
Komunikace mezi deklaracemi a ID Microsoft Entra se provádí prostřednictvím ověřeného chráněného kanálu. Tato konfigurace poskytuje odolnost vůči útokům mitm (man-in-the-middle) a splňuje požadavky na odolnost MitM pro AAL1, AAL2 a AAL3.
Replay odpor
Metody ověřování Microsoft Entra v AAL2 používají jiné než výzvy. Metody odporují útokům přehrání, protože ověřovatel detekuje přehrání ověřovacích transakcí. Takové transakce nebudou obsahovat potřebná data o nedosahování ani včasnosti.
Další kroky
Typy ověřovacího programu NIST
Dosažení AAL1 NIST s Microsoft Entra ID