Настройка контрольных мер идентификации и аутентификации (IA) уровня 2 CMMC

Microsoft Entra ID помогает соответствовать требованиям, связанным с идентификацией, на каждом уровне сертификации модели зрелости кибербезопасности (CMMC). Для выполнения других конфигураций или процессов, соответствующих требованиям уровня 2 CMMC версии 2,0, отвечает компания, выполняющая работу с и от имени министерства обороны США (DoD).

На уровне 2 CMMC есть 13 доменов, имеющих одну или несколько практик, связанных с идентификацией. Домены:

  • Управление доступом (AC)
  • Аудит и подотчетность (AU)
  • Управление конфигурацией (CM)
  • Идентификация и проверка подлинности (IA)
  • Реагирование на инциденты (IR)
  • Обслуживание (MA)
  • Защита медиа
  • Безопасность персонала
  • Физическая защита (PE)
  • Оценка риска (RA)
  • Оценка безопасности (ЦС)
  • Защита системы и средств передачи данных
  • Целостность системы и данных

Оставшаяся часть этой статьи содержит рекомендации по домену идентификации и авторизации (IA). Существует таблица со ссылками на содержимое, которое предоставляет пошаговые рекомендации по выполнению этой практики.

Идентификация и проверка подлинности

В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.

Заявление и цели практики CMMC Руководство и рекомендации Microsoft Entra
IA.L2-3.5.3

Инструкция практики. Используйте многофакторную проверку подлинности для локального и сетевого доступа к привилегированным учетным записям и для сетевого доступа к не привилегированным учетным записям.

Цели:
Определите, если:
[a.] Идентифицируются привилегированные учетные записи;
[b.] Многофакторная проверка подлинности реализуется для локального доступа к привилегированным учетным записям;
[c.] Многофакторная проверка подлинности реализуется для сетевого доступа к привилегированным учетным записям; и
[d.] Многофакторная проверка подлинности реализуется для сетевого доступа к не привилегированным учетным записям.
Ниже приведены определения терминов, используемых для этой области управления:
  • Локальный доступ — доступ к информационной системе организации пользователем (или процессом от имени пользователя), взаимодействующим через прямое подключение без использования сети.
  • Сетевой доступ — доступ к информационной системе пользователем (или процессом от имени пользователя), взаимодействующим через сеть (например, локальную сеть, широкую сеть, Интернет).
  • Привилегированный пользователь — пользователь, авторизованный (и поэтому доверенный) для выполнения функций, связанных с безопасностью, которые обычные пользователи не могут выполнять.

    Нарушение предыдущего требования означает:
  • Для доступа к сети или удаленному доступу всем пользователям требуется МФА (многофакторная аутентификация).
  • Для локального доступа привилегированных пользователей требуется многофакторная аутентификация. Если у обычных учетных записей пользователей есть права администратора только на своих компьютерах, они не является привилегированной учетной записью и не требуют многофакторной проверки подлинности для локального доступа.

    Вы несете ответственность за настройку условного доступа для необходимости многофакторной проверки подлинности. Включите методы проверки подлинности Microsoft Entra, соответствующие AAL2 и более поздним версиям.
    Предоставление элементов управления в политике условного доступа
    Достижение уровней проверки подлинности NIST с помощью идентификатора Microsoft Entra
    Методы и функции проверки подлинности
  • IA. L2-3.5.4

    Формулировка практики: Используйте механизмы аутентификации, устойчивые к повторному воспроизведению, для доступа к привилегированным и непривилегированным учетным записям.

    Цели:
    Определите, если:
    [a.] Механизмы аутентификации, устойчивые к атакам типа воспроизведение, реализуются для доступа к привилегированным и непривилегированным сетевым учетным записям.
    Все методы проверки подлинности Microsoft Entra в AAL2 и более поздних версиях устойчивы к воспроизведению.
    Достижение уровней проверки подлинности NIST с помощью идентификатора Microsoft Entra
    IA. L2-3.5.5

    Программное заявление: запрет повторного использования идентификаторов в течение определенного периода.

    Цели:
    Определите, если:
    [a.] период, в течение которого нельзя повторно использовать идентификаторы; и
    [b.] Повторное использование идентификаторов запрещено в течение определенного периода.
    Все глобально уникальные идентификаторы (GUID) пользователей, групп и устройств гарантированно уникальны и не могут быть повторно использованы на протяжении всего времени существования клиента Microsoft Entra.
    тип ресурса пользователя — Microsoft Graph версии 1.0
    Тип ресурса группы — Microsoft Graph версии 1.0
    Тип ресурса устройства — Microsoft Graph версии 1.0
    IA.L2-3.5.6

    Положение о практике: отключать идентификаторы после определенного периода бездействия.

    Цели:
    Определите, если:
    [a.] определяется период бездействия, после которого идентификатор отключается; и
    [b.] идентификаторы отключаются после определенного периода бездействия.
    Реализуйте автоматизацию управления учетными записями с помощью пакета SDK Microsoft Graph и Microsoft Graph PowerShell. Используйте Microsoft Graph для отслеживания действий входа и пакета SDK Microsoft Graph PowerShell для выполнения действий с учетными записями в течение требуемого интервала времени.

    Определение неактивности
    Управление неактивными учетными записями пользователей в идентификаторе Microsoft Entra
    Управление устаревшими устройствами в идентификаторе Microsoft Entra

    Удаление или отключение учетных записей
    Работа с пользователями в Microsoft Graph
    Получить пользователя
    Обновление пользователя
    Удаление пользователя

    Работа с устройствами в Microsoft Graph
    Получить устройство
    Обновление устройства
    Удаление устройства

    Используйте Microsoft Graph PowerShell SDK
    Get-MgUser
    Update-MgUser
    Get-MgDevice
    Update-MgDevice
    IA. L2-3.5.7

    Заявление о практике:

    Цели. Применение минимальной сложности пароля и изменение символов при создании новых паролей.
    Определите, если:
    [a.] Определены требования к сложности паролей;
    [b.] требования к символам пароля определены
    [c.] минимальные требования к сложности паролей, определенные и применяемые при создании новых паролей; и
    [d.] минимальные требования к символам для изменения пароля, как определено, применяются при создании новых паролей.

    IA. L2-3.5.8

    Инструкция практики: запретить повторное использование паролей для указанного числа поколений.

    Цели:
    Определите, если:
    [a.] число поколений, в течение которых невозможно повторно использовать пароль; и
    [b.] Повторное использование паролей запрещено в течение указанного числа поколений.
    Мы настоятельно рекомендуем стратегии без пароля. Этот элемент управления применим только к структурам проверки пароля, поэтому удаление паролей в качестве доступной структуры проверки подлинности приведет к непригодности этого элемента управления.

    Согласно NIST SP 800-63 B, раздел 5.1.1: Сохраняйте список часто используемых, ожидаемых или скомпрометированных паролей.

    При защите паролей Microsoft Entra глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Microsoft Entra. Для поддержки бизнес-процессов и обеспечения безопасности можно добавлять собственные записи в пользовательский список запрещенных паролей. Когда пользователи изменяют или сбрасывают свои пароли, эти списки запрещенных паролей проверяются, чтобы обеспечить использование надежных паролей.
    Для клиентов, которым требуются строгие требования к изменению пароля, запрету на повторное использование и сложности, рекомендуем использовать гибридные учетные записи, настроенные с помощью синхронизации паролей с хешированием. Это действие гарантирует, что пароли, синхронизированные с помощью идентификатора Microsoft Entra, наследуют ограничения, настроенные в политиках паролей Active Directory. Дополнительная защита локальных паролей путем настройки Microsoft Entra Password Protection для служб доменов Active Directory.
    Специальная публикация NIST 800-63 B
    Специальная публикация NIST 800-53 редакция 5 (IA-5 — улучшение управления (1)
    Устранение неправильных паролей с помощью защиты паролей Microsoft Entra
    Что такое синхронизация хэша паролей в Microsoft Entra ID?
    IA. L2-3.5.9

    Инструкция практики. Разрешить временное использование пароля для входа в систему с немедленным изменением постоянного пароля.

    Цели:
    Определите, если:
    [a.] Немедленное изменение постоянного пароля требуется при использовании временного пароля для входа в систему.
    Начальный пароль пользователя Microsoft Entra — это временный пароль, который после успешного использования немедленно требуется изменить на постоянный пароль. Корпорация Майкрософт настоятельно призывает к внедрению методов проверки подлинности без пароля. Пользователи могут инициализировать методы аутентификации без пароля, используя временный доступ (TAP). TAP — это секретный код с ограничением по времени и использованию, который выдается администратором и удовлетворяет строгим требованиям проверки подлинности. Использование аутентификации без пароля вместе с TAP, ограниченным по времени и использованию, полностью исключает использование паролей (и их повторное использование).
    Добавление или удаление пользователей
    Настройка временного прохода доступа в идентификаторе Microsoft Entra для регистрации методов проверки подлинности без пароля
    Проверка подлинности без пароля
    IA. L2-3.5.10

    Инструкция практики. Хранение и передача только криптографически защищенных паролей.

    Цели:
    Определите, если:
    [a.] пароли криптографически защищены в хранилище; и
    [b.] пароли криптографически защищены при передаче.
    Шифрование секретов неактивных данных:
    Помимо шифрования уровня диска, секреты, хранящиеся в каталоге при покое, шифруются с помощью распределенного диспетчера ключей (DKM). Ключи шифрования хранятся в хранилище ядер Microsoft Entra и, в свою очередь, шифруются с помощью ключа единицы масштабирования. Ключ хранится в контейнере, защищенном с помощью списков управления доступом к каталогу, для самых привилегированных пользователей и определенных служб. Симметричный ключ обычно поворачивается каждые шесть месяцев. Доступ к среде дополнительно защищается с помощью операционных элементов управления и физической безопасности.

    Шифрование при передаче:
    Чтобы обеспечить безопасность данных, данные каталога в идентификаторе Microsoft Entra подписываются и шифруются во время передачи между центрами обработки данных в единице масштабирования. Данные зашифровываются и расшифровываются основным уровнем хранения Microsoft Entra, который находится в защищенных зонах размещения серверов соответствующих центров обработки данных компании Microsoft.

    Клиентские веб-службы защищены протоколом TLS.
    Для получения дополнительных сведений скачайте рекомендации по защите данных — безопасность данных. На странице 15 есть дополнительные сведения.
    Демистификация синхронизации хэша паролей (microsoft.com)
    Вопросы безопасности данных Microsoft Entra
    IA. L2-3.5.11

    Инструкция практики: неявная обратная связь с информацией о проверке подлинности.

    Цели:
    Определите, если:
    [a.] Сведения об аутентификации скрыты во время процесса аутентификации.
    По умолчанию идентификатор Microsoft Entra скрывает все отзывы о аутентификаторе.

    Следующие шаги