Compartir a través de

Configuración de los controles de identificación y autenticación (IA) de nivel 2 de CMMC

  • Artículo

Microsoft Entra ID lo ayuda a cumplir con los requisitos de prácticas relacionadas con identidades en cada nivel de certificación del modelo de madurez de ciberseguridad (CMMC). Completar otras configuraciones o procesos de tal forma que sean compatibles con los requisitos de CMMC V2.0 de nivel 2 es responsabilidad de las empresas que colaboran con el Departamento de Defensa (DoD) de EE. UU. y que operan en su nombre.

CMMC de nivel 2 tiene trece dominios que tienen una o varias prácticas relacionadas con la identidad. Los dominios son los siguientes:

  • Control de acceso (CA)
  • Auditoría y responsabilidad (AU)
  • Administración de configuración (CM)
  • Identificación y autenticación (IA)
  • Respuesta a los incidentes (IR)
  • Mantenimiento (MA)
  • Protección de medios (MP)
  • Seguridad del personal (PS)
  • Protección física (PE)
  • Evaluación de riesgos (RA)
  • Evaluación de la seguridad (CA)
  • Protección del sistema y de las comunicaciones
  • Integridad de la información y del sistema

En el resto de este artículo se proporcionan instrucciones para el dominio de identificación y autorización (IA). Hay una tabla con vínculos a contenido que proporciona instrucciones paso a paso para llevar a cabo la práctica.

Identificación y autenticación

En la tabla siguiente se proporciona una lista de objetivos e instrucciones de práctica, junto con indicaciones y recomendaciones de Microsoft Entra para que cumpla estos requisitos con Microsoft Entra ID.

Instrucción y objetivos de práctica de CMMC Instrucciones y recomendaciones de Microsoft Entra
IA.L2-3.5.3

Instrucción de práctica: Usa la autenticación multifactor para el acceso local y de red a cuentas con privilegios, y para el acceso de red a cuentas sin privilegios.

Objetivos:
Determinar si:
[a.] se identifican las cuentas con privilegios;
[b.] la autenticación multifactor se implementa para el acceso local a cuentas con privilegios;
[c.] la autenticación multifactor se implementa para el acceso de red a cuentas con privilegios; y
[d.] la autenticación multifactor se implementa para el acceso de red a cuentas sin privilegios;		 Los siguientes elementos son definiciones de los términos utilizados para esta área de control:
  • Acceso local: acceso a un sistema de información organizativo por parte de un usuario (o proceso que actúa en nombre de un usuario) que se comunica a través de una conexión directa sin el uso de una red.
  • Acceso a la red: acceso a un sistema de información por parte de un usuario (o un proceso que actúa en nombre de un usuario) que se comunica a través de una red (por ejemplo, red de área local, red de área extensa o Internet).
  • Usuario con privilegios: usuario autorizado (y, por lo tanto, de confianza) para realizar funciones relevantes para la seguridad que los usuarios normales no tienen autorización para realizar.

    Desglosar el requisito anterior supone lo siguiente:
  • A todos los usuarios se les requiere MFA para el acceso a la red o el acceso remoto.
  • Solo se requiere MFA para el acceso local a los usuarios con privilegios. Si las cuentas de usuario normales solo tienen derechos administrativos en sus equipos, no son una "cuenta con privilegios" y no requieren MFA para el acceso local.

    Es responsable de configurar el acceso condicional para requerir la autenticación multifactor. Habilite métodos de autenticación de Microsoft Entra que cumplan la norma AAL2 y niveles superiores.
    Concesión de controles en la directiva de acceso condicional
    Configure Microsoft Entra ID para cumplir los niveles de seguridad del autenticador de NIST
    Métodos de autenticación y características
    		•
    IA.L2-3.5.4

    Instrucción de práctica: Usar mecanismos de autenticación resistentes a la reproducción para el acceso de red a cuentas privilegiadas y sin privilegios.

    Objetivos:
    Determinar si:
    [a.] se implementan mecanismos de autenticación resistentes a la repetición para el acceso a cuentas de red privilegiadas y no privilegiadas.    		 Todos los métodos de autenticación de Microsoft Entra en AAL2 y niveles superiores son resistentes a ataques de reinyección.
    Configure Microsoft Entra ID para cumplir los niveles de seguridad del autenticador de NIST
    IA.L2-3.5.5

    Instrucción de práctica: Evitar la reutilización de identificadores para un período definido.

    Objetivos:
    Determinar si:
    [a.] un período en el que no se pueden reutilizar los identificadores; y
    [b.] se impide la reutilización de identificadores dentro del período definido.    		 Queda garantizado que todos los identificadores únicos globales (GUID) de objetos de usuario, grupo y dispositivo son únicos y no reutilizables durante la vigencia del inquilino de Microsoft Entra.
    Tipo de recurso de usuario: Microsoft Graph v1.0
    Tipo de recurso de grupo: Microsoft Graph v1.0
    Tipo de recurso de dispositivo: Microsoft Graph v1.0
    IA.L2-3.5.6

    Instrucción de práctica: Deshabilite los identificadores después de un período definido de inactividad.

    Objetivos:
    Determinar si:
    [a.] un período de inactividad después del cual se define un identificador; y
    [b.] los identificadores se deshabilitan después del período definido de inactividad.    		 Implementa la automatización de administración de cuentas con Microsoft Graph y Microsoft Graph PowerShell. Usa Microsoft Graph para supervisar la actividad de inicio de sesión y Microsoft Graph PowerShell para realizar acciones en las cuentas en el período de tiempo necesario.

    Determinación de la inactividad
    Administración de cuentas de usuario inactivas en Microsoft Entra ID
    Administrar dispositivos obsoletos en Microsoft Entra ID

    Eliminación o deshabilitación de cuentas
    Trabajar con usuarios en Microsoft Graph
    Obtener un usuario
    Actualizar usuario
    Eliminar un usuario

    Trabajar con dispositivos en Microsoft Graph
    Obtener dispositivo
    Actualizar dispositivo
    Eliminar un dispositivo

    Uso de Microsoft Graph PowerShell SDK
    Get-MgUser
    Update-MgUser
    Get-MgDevice
    Update-MgDevice
    IA.L2-3.5.7

    Instrucción de práctica:

    Objetivos: Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas.
    Determinar si:
    [a.] se definen los requisitos de complejidad de la contraseña;
    [b.] se definen los requisitos para el cambio de carácter de la contraseña;
    [c.] se aplican los requisitos mínimos de complejidad de la contraseña tal como se definen cuando se crean nuevas contraseñas; y
    [d.] los requisitos mínimos de cambio de caracteres de las contraseñas definidos se aplican cuando se crean nuevas contraseñas.

    IA.L2-3.5.8

    Instrucción de práctica: Prohíbe la reutilización de contraseñas para un número especificado de generaciones.

    Objetivos:
    Determinar si:
    [a.] el número de generaciones durante las que no se puede reutilizar una contraseña; y
    [b.] la reutilización de contraseñas está prohibida durante el número especificado de generaciones.    		 Recomendamos las estrategias que no usan contraseña. Este control solo se aplica a los autenticadores de contraseñas, por lo que la eliminación de contraseñas como autenticador disponible hace que este control no sea aplicable.

    Según el NIST SP 800-63 B, sección 5.1.1, mantenga una lista de contraseñas de uso común, esperadas o en peligro.

    Con la protección de contraseñas de Microsoft Entra, se aplican automáticamente listas globales de contraseñas prohibidas a todos los usuarios de un inquilino de Microsoft Entra. Para satisfacer sus necesidades empresariales y de seguridad, puede definir entradas en una lista de contraseñas prohibidas personalizadas. Cuando los usuarios cambian o restablecen sus contraseñas, se consultan estas listas de contraseñas prohibidas para exigir el uso de contraseñas seguras.
    Para los clientes que requieren un cambio estricto de caracteres de contraseña, los requisitos de complejidad y reutilización de la contraseña usan cuentas híbridas configuradas con sincronización de hash de contraseña. Esta acción garantiza que las contraseñas sincronizadas con Microsoft Entra ID hereden las restricciones configuradas en las directivas de contraseñas de Active Directory. Proteja aún más las contraseñas en el entorno local configurando la protección con contraseña de Microsoft Entra local para Active Directory Domain Services.
    Publicación especial de NIST 800-63 B
    Publicación especial de NIST 800-53, revisión 5; IA-5 - Mejora del control (1)
    Eliminación de contraseñas incorrectas mediante la Protección de contraseñas de Microsoft Entra
    ¿Qué es la sincronización de hash de contraseña con Microsoft Entra ID?
    IA.L2-3.5.9

    Instrucción de práctica: Permita el uso de contraseñas temporales para los inicios de sesión del sistema con un cambio inmediato en una contraseña permanente.

    Objetivos:
    Determinar si:
    [a.] se requiere un cambio inmediato a una contraseña permanente cuando se usa una contraseña temporal para el inicio de sesión del sistema.    		 Una contraseña inicial de usuario de Microsoft Entra es una contraseña temporal de un solo uso que, una vez usada correctamente, es necesario cambiarla inmediatamente por una contraseña permanente. Microsoft recomienda encarecidamente adoptar métodos de autenticación sin contraseña. Los usuarios pueden utilizar métodos de autenticación sin contraseña mediante el Pase de acceso temporal (TAP). Un TAP es un código de acceso de tiempo y uso limitado emitido por un administrador que cumple los requisitos de la autenticación sólida. El uso de la autenticación sin contraseña junto con el TAP de tiempo y uso limitado elimina completamente el uso de contraseñas y su reutilización.
    Adición o eliminación de usuarios
    Configuración de un pase de acceso temporal en Microsoft Entra ID para registrar métodos de autenticación sin contraseña
    Autenticación sin contraseñas
    IA.L2-3.5.10

    Instrucción de práctica: Almacena y transmita únicamente contraseñas protegidas criptográficamente.

    Objetivos:
    Determinar si:
    [a.] las contraseñas están protegidas criptográficamente en el almacenamiento; y
    [b.] las contraseñas están protegidas criptográficamente en tránsito.    		 Cifrado de secretos en reposo:
    Además del cifrado a nivel de disco, cuando está en reposo, los secretos almacenados en el directorio se cifran mediante el Administrador de claves distribuidas (DKM). Las claves de cifrado se almacenan en el almacén principal de Microsoft Entra y se cifran con una clave de unidad de escalado. La clave se almacena en un contenedor que está protegido con ACL de directorio, para usuarios con privilegios más elevados y servicios específicos. La clave simétrica se suele rotar cada seis meses. El acceso al entorno se protege aún más con controles operativos y seguridad física.

    Cifrado en tránsito:
    Para garantizar la seguridad de los datos, los datos del directorio de Microsoft Entra ID están firmados y cifrados durante el tránsito entre los centros de datos de una unidad de escalado. Los datos se cifran y descifran en el nivel del almacén principal de Microsoft Entra, que reside en áreas de alojamiento de servidor protegidas de los centros de datos de Microsoft asociados.

    Los servicios web orientados al cliente se protegen con el protocolo de Seguridad de la capa de transporte (TLS).
    Para obtener más información, descargueConsideraciones de protección de datos: seguridad de datos. En la página 15, hay más detalles.
    Desmitificar la sincronización de hash de contraseñas (microsoft.com)
    Microsoft Entra ID y residencia de datos
    IA.L2-3.5.11

    Instrucción de práctica: Oculte los comentarios de la información de autenticación.

    Objetivos:
    Determinar si:
    [a.] la información de autenticación queda oculta durante el proceso de autenticación.    		 De forma predeterminada, Microsoft Entra ID oculta todos los comentarios del autenticador.

    Pasos siguientes