NIST authenticator assurance level 2 with Microsoft Entra ID
A National Institute of Standards and Technology (NIST) technikai követelményeket dolgoz ki az identitásmegoldásokat megvalósító amerikai szövetségi ügynökségek számára. A szövetségi ügynökségekkel együttműködő szervezeteknek meg kell felelniük ezeknek a követelményeknek.
A hitelesítő 2. szintű garanciális szintjének (AAL2) megkezdése előtt a következő erőforrások láthatók:
- NIST áttekintése: Az AAL-szintek ismertetése
- A hitelesítés alapjai: Terminológia és hitelesítési típusok
- NIST-hitelesítők típusai: Hitelesítő típusok
- NIST AALs: AAL-összetevők és Microsoft Entra hitelesítési módszerek
Engedélyezett AAL2 hitelesítő típusok
Az alábbi táblázatban az AAL2 hitelesítő típusai engedélyezettek:
| Microsoft Entra hitelesítési módszer | NIST-hitelesítő típusa |
|---|---|
| Ajánlott módszerek | |
| Többtényezős szoftvertanúsítvány (PIN-kóddal védett) Vállalati Windows Hello szoftveres megbízható platformmodullal (TPM) |
Többtényezős titkosítási szoftver |
| Hardver által védett tanúsítvány (smartcard/security key/TPM) FIDO 2 biztonsági kulcs Vállalati Windows Hello hardveres TPM-lel |
Többtényezős titkosítási hardver |
| Microsoft Authenticator alkalmazás (jelszó nélküli) | Többtényezős sávon kívüli |
| További módszerek | |
| Jelszó ÉS - Microsoft Authenticator alkalmazás (Leküldéses értesítés) - VAGY - Microsoft Authenticator Lite (Leküldéses értesítés) - VAGY - Telefon (SMS) |
Memorizált titkos kód ÉS Sávon kívüli egytényezős |
| Jelszó ÉS - OATH hardveres jogkivonatok (előzetes verzió) - VAGY - Microsoft Authenticator alkalmazás (OTP) - VAGY - Microsoft Authenticator Lite (OTP) - VAGY - OATH szoftverjogkivonatok |
Memorizált titkos kód ÉS Egytényezős OTP |
| Jelszó ÉS - Egytényezős szoftvertanúsítvány - VAGY - A Microsoft Entra csatlakozott a szoftveres TPM-hez - VAGY - A Microsoft Entra hibrid csatlakoztatása a szoftveres TPM-hez - VAGY - Megfelelő mobileszköz |
Memorizált titkos kód ÉS Egytényezős titkosítási szoftver |
| Jelszó ÉS - A Microsoft Entra csatlakozik a hardveres TPM-hez - VAGY - Microsoft Entra hibrid csatlakoztatása hardveres TPM-hez |
Memorizált titkos kód ÉS Egytényezős titkosítási hardver |
Feljegyzés
Ma a Microsoft Authenticator önmagában nem adathalászati ellenálló. Ha a Microsoft Authenticator használatakor külső adathalász fenyegetések elleni védelmet szeretne biztosítani, konfigurálnia kell egy felügyelt eszközt igénylő feltételes hozzáférési szabályzatot is.
AAL2-javaslatok
AAL2 esetén használjon többtényezős titkosítási hardvereket vagy szoftverhitelesítőket. A jelszó nélküli hitelesítés kiküszöböli a legnagyobb támadási felületet (a jelszót), és egyszerűsített hitelesítést kínál a felhasználóknak.
A jelszó nélküli hitelesítési módszer kiválasztásával kapcsolatos útmutatásért lásd : Jelszó nélküli hitelesítés központi telepítésének megtervezése a Microsoft Entra-azonosítóban. Lásd még: Vállalati Windows Hello üzembe helyezési útmutató
FIPS 140-ellenőrzés
Az alábbi szakaszokban megismerheti a FIPS 140-érvényesítést.
Hitelesítői követelmények
A Microsoft Entra ID a Windows FIPS 140 Level 1 általánosan érvényesített titkosítási modult használja a hitelesítési titkosítási műveletekhez. Ezért ez egy FIPS 140-kompatibilis ellenőrző, amelyet a kormányzati szervek igényelnek.
A hitelesítő követelményei
A kormányzati ügynökségek titkosítási hitelesítőinek ellenőrzése a FIPS 140 1. szintű általánosan érvényes. Ez a követelmény nem a nem kormányzati ügynökségekre vonatkozó. A következő Microsoft Entra-hitelesítők megfelelnek a FiPS 140 által jóváhagyott módban való Windows-futtatás követelményének:
Jelszó
A Microsoft Entra szoftverrel vagy hardveres TPM-sel csatlakozik
A Microsoft Entra hibrid csatlakoztatása szoftverrel vagy hardveres TPM-lel
Vállalati Windows Hello szoftverrel vagy hardveres TPM-lel
Szoftverben vagy hardverben tárolt tanúsítvány (smartcard/security key/TPM)
A Microsoft Authenticator alkalmazás FIPS 140-kompatibilis iOS rendszeren. Az Android FIPS 140 megfelelősége folyamatban van. További információ a Microsoft Authenticator által használt FIPS által ellenőrzött titkosítási modulokról lásd: Microsoft Authenticator alkalmazás
AZ OATH hardverjogkivonatok és intelligens kártyák esetében javasoljuk, hogy forduljon a szolgáltatójához az aktuális FIPS-érvényesítési állapottal kapcsolatban.
A FIDO 2 biztonsági kulcsszolgáltatók a FIPS-minősítés különböző szakaszaiban találhatók. Javasoljuk, hogy tekintse át a támogatott FIDO 2 kulcsszállítók listáját. Forduljon a szolgáltatójához az aktuális FIPS-ellenőrzési állapottal kapcsolatban.
Újrahitelesítés
Az AAL2 esetében a NIST-követelmény 12 óránként újrahitelesítés, a felhasználói tevékenységtől függetlenül. Az újrahitelesítésre 30 perces vagy hosszabb inaktivitási időszak után van szükség. Mivel a munkamenet-titkos kód olyan dolog, amiről tud, vagy van, szükség van rá.
Az újrahitelesítési követelmény teljesítéséhez a Microsoft a felhasználói tevékenységtől függetlenül 12 órára javasolja a felhasználói bejelentkezés gyakoriságának konfigurálását.
A NIST használatával kompenzáló vezérlőkkel ellenőrizheti az előfizetők jelenlétét:
Állítsa be a munkamenet inaktivitási idejét 30 percre: Az eszköz zárolása az operációs rendszer szintjén a Microsoft System Center Configuration Managerrel, a csoportházirend-objektumokkal (CSOPORTHÁZIREND-kkal) vagy az Intune-nal. Ahhoz, hogy az előfizető feloldhassa a zárolást, helyi hitelesítésre van szükség.
Időtúllépés tevékenységtől függetlenül: Futtasson egy ütemezett feladatot (Configuration Manager, csoportházirend-objektum vagy Intune) a gép 12 óra utáni zárolásához, tevékenységtől függetlenül.
Középen belüli ellenállás
A kérelmező és a Microsoft Entra-azonosító közötti kommunikáció hitelesített, védett csatornán keresztül történik. Ez a konfiguráció ellenáll a középen belüli (MitM-) támadásoknak, és megfelel az AAL1, az AAL2 és az AAL3 MitM ellenállási követelményeinek.
Visszajátszási ellenállás
A Microsoft Entra hitelesítési módszerei az AAL2-nél nem használnak vagy kihívásokat. A metódusok ellenállnak a visszajátszási támadásoknak, mert a hitelesítő észleli az újrajátszott hitelesítési tranzakciókat. Az ilyen tranzakciók nem tartalmaznak szükséges, nem vagy időszerű adatokat.
Következő lépések
NIST AAL1 elérése a Microsoft Entra-azonosítóval