Уровень проверки подлинности NIST 2 с идентификатором Microsoft Entra
Национальный институт стандартов и технологий (NIST) разрабатывает технические требования для федеральных учреждений США, реализующих решения идентификации. Организации, работающие с федеральными агентствами, должны соответствовать этим требованиям.
Перед началом проверки подлинности уровня 2 (AAL2) можно просмотреть следующие ресурсы:
- Обзор NIST. Общие сведения об уровнях AAL
- Основы проверки подлинности: терминология и типы проверки подлинности
- Типы NIST Authenticator: типы Authenticator
- NIST AALs: компоненты AAL и методы проверки подлинности Microsoft Entra
Разрешенные типы проверки подлинности AAL2
В следующей таблице разрешены типы аутентификатора для AAL2:
| Метод проверки подлинности Microsoft Entra | Тип структуры проверки подлинности NIST |
|---|---|
| Рекомендуемые методы | |
| Многофакторный сертификат программного обеспечения (защищенный ПИН-код) Windows Hello для бизнеса с модулем доверенной платформы программного обеспечения (TPM) |
Многофакторное программное обеспечение для шифрования |
| Защищенный оборудованием сертификат (smart карта/security key/TPM) Ключ безопасности FIDO 2 Windows Hello для бизнеса с аппаратным доверенным платформенным модулем |
Многофакторное оборудование шифрования |
| Приложение Microsoft Authenticator (без пароля) | Мультифактор вне полосы |
| Дополнительные методы | |
| Пароль AND — приложение Microsoft Authenticator (push-уведомление) - ИЛИ — Microsoft Authenticator Lite (push-уведомление) - ИЛИ - Телефон (SMS) |
Замеченный секрет AND Однофакторная внеполосная |
| Пароль AND — токены оборудования OATH (предварительная версия) - ИЛИ — приложение Microsoft Authenticator (OTP) - ИЛИ — Microsoft Authenticator Lite (OTP) - ИЛИ — токены программного обеспечения OATH |
Замеченный секрет AND Однофакторный OTP |
| Пароль AND — однофакторный сертификат программного обеспечения - ИЛИ — Microsoft Entra, присоединенная к программному TPM - ИЛИ — гибридное присоединение Microsoft Entra к программному доверенному платформенного модуля - ИЛИ — Совместимое мобильное устройство |
Замеченный секрет AND ПО для однофакторной проверки подлинности с шифрованием |
| Пароль AND — Microsoft Entra, присоединенная к аппаратному доверенному платформенный модуль - ИЛИ — гибридное присоединение Microsoft Entra к аппаратному доверенному платформенного модуля |
Замеченный секрет AND Оборудование для однофакторной проверки подлинности с шифрованием |
Примечание.
Сегодня Microsoft Authenticator само по себе не является фишинговым. Чтобы получить защиту от внешних фишинговых угроз при использовании Microsoft Authenticator, необходимо дополнительно настроить политику условного доступа, требующую управляемого устройства.
Рекомендации AAL2
Для AAL2 используйте многофакторное криптографическое оборудование или программные аутентификаторы. Проверка подлинности без пароля позволяет избежать наибольшей уязвимости (пароля) и предлагает пользователям упрощенный способ проверки подлинности.
Рекомендации по выбору метода проверки подлинности без пароля см. в статье Планирование развертывания без пароля проверки подлинности в идентификаторе Microsoft Entra. См. также руководство по развертыванию Windows Hello для бизнеса
Проверка на соответствие стандарту FIPS 140
Используйте следующие разделы, чтобы узнать о проверке FIPS 140.
Требования к средству проверки
Идентификатор Microsoft Entra использует общий проверенный модуль шифрования Windows FIPS 140 уровня 1 для криптографических операций проверки подлинности. Поэтому это проверяющий средство, соответствующее FIPS 140, требуемое государственными учреждениями.
Требования к структуре проверки подлинности
Криптографические аутентификаторы государственного агентства проверяются для FIPS 140 уровня 1 в целом. Это требование не касается неправительственных учреждений. Следующие средства проверки подлинности Microsoft Entra соответствуют требованиям при запуске в Windows в утвержденном режиме FIPS 140:
Пароль
Microsoft Entra, присоединенная к программному обеспечению или аппаратному доверенному платформенного модуля
Гибридная среда Microsoft Entra, присоединенная к программному обеспечению или с аппаратным TPM
Windows Hello для бизнеса с программным или аппаратным доверенным платформенным модулем
Сертификат, хранящийся в программном обеспечении или оборудовании (smart карта/security key/TPM)
Приложение Microsoft Authenticator совместимо с FIPS 140 в iOS. Соответствие требованиям FIPS 140 для Android выполняется. Дополнительные сведения о проверенных модулях шифрования FIPS, используемых приложением Microsoft Authenticator, см . в приложении Microsoft Authenticator
Для токенов оборудования OATH и смарт карта рекомендуется обратиться к поставщику для текущего состояния проверки FIPS.
Поставщики ключей безопасности FIDO 2 находятся на различных этапах сертификации FIPS. Мы рекомендуем просмотреть список поддерживаемых поставщиков ключей FIDO 2. Обратитесь к поставщику с текущим состоянием проверки FIPS.
Повторная проверка подлинности
Для AAL2 требование NIST повторно выполняется каждые 12 часов независимо от активности пользователя. Повторная авторизация требуется после периода бездействия в течение 30 минут или дольше. Так как секрет сеанса — это то, что у вас есть, показывая то, что вы знаете или является обязательным.
Чтобы обеспечить соответствие требованиям повторной проверки подлинности независимо от действия пользователя, корпорация Майкрософт рекомендует настроить частоту входа пользователя в 12 часов.
С помощью NIST можно использовать компенсирующие элементы управления для подтверждения присутствия подписчика:
Установите время ожидания бездействия сеанса до 30 минут: блокировка устройства на уровне операционной системы с помощью Microsoft System Center Configuration Manager, объектов групповой политики (GPU) или Intune. Для разблокировки подписчика требуется локальная проверка подлинности.
Время ожидания независимо от действия: выполнение запланированной задачи (Configuration Manager, групповой политики или Intune) для блокировки компьютера через 12 часов независимо от действия.
Защита от атак "злоумышленник в середине"
Обмен данными между заявителем и идентификатором Microsoft Entra проходит проверку подлинности, защищенный канал. Эта конфигурация обеспечивает сопротивление атакам в середине (MitM) и удовлетворяет требованиям к сопротивлением MitM для AAL1, AAL2 и AAL3.
Защита от атак с повторением
Методы проверки подлинности Microsoft Entra в AAL2 используют неце или проблемы. Методы сопротивляются атакам воспроизведения, так как проверяющий обнаруживает повторяемые транзакции проверки подлинности. Такие транзакции не будут содержать необходимые данные, отличные от временная шкала.
Следующие шаги
Основные сведения об аутентификации
Типы проверки подлинности NIST
Достижение NIST AAL1 с помощью идентификатора Microsoft Entra
Достижение NIST AAL2 с помощью идентификатора Microsoft Entra
Достижение NIST AAL3 с помощью идентификатора Microsoft Entra