Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra ID помогает соответствовать требованиям, связанным с идентификацией, на каждом уровне сертификации модели зрелости кибербезопасности (CMMC). Для выполнения других конфигураций или процессов, соответствующих требованиям уровня 2 CMMC версии 2,0, отвечает компания, выполняющая работу с и от имени министерства обороны США (DoD).
На уровне 2 CMMC есть 13 доменов, имеющих одну или несколько практик, связанных с идентификацией. Домены:
- Управление доступом (AC)
- Аудит и подотчетность (AU)
- Управление конфигурацией (CM)
- Идентификация и проверка подлинности (IA)
- Реагирование на инциденты (IR)
- Обслуживание (MA)
- Защита медиа
- Безопасность персонала
- Физическая защита (PE)
- Оценка риска (RA)
- Оценка безопасности (ЦС)
- Защита системы и средств передачи данных
- Целостность системы и данных
Оставшаяся часть этой статьи содержит рекомендации по домену идентификации и авторизации (IA). Существует таблица со ссылками на содержимое, которое предоставляет пошаговые рекомендации по выполнению этой практики.
Идентификация и проверка подлинности
В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.
| Заявление и цели практики CMMC | Руководство и рекомендации Microsoft Entra |
|---|---|
| IA.L2-3.5.3 Инструкция практики. Используйте многофакторную проверку подлинности для локального и сетевого доступа к привилегированным учетным записям и для сетевого доступа к не привилегированным учетным записям. Цели: Определите, если: [a.] Идентифицируются привилегированные учетные записи; [b.] Многофакторная проверка подлинности реализуется для локального доступа к привилегированным учетным записям; [c.] Многофакторная проверка подлинности реализуется для сетевого доступа к привилегированным учетным записям; и [d.] Многофакторная проверка подлинности реализуется для сетевого доступа к не привилегированным учетным записям. |
Ниже приведены определения терминов, используемых для этой области управления: Нарушение предыдущего требования означает: Вы несете ответственность за настройку условного доступа для необходимости многофакторной проверки подлинности. Включите методы проверки подлинности Microsoft Entra, соответствующие AAL2 и более поздним версиям. Предоставление элементов управления в политике условного доступа Достижение уровней проверки подлинности NIST с помощью идентификатора Microsoft Entra Методы и функции проверки подлинности |
| IA. L2-3.5.4 Формулировка практики: Используйте механизмы аутентификации, устойчивые к повторному воспроизведению, для доступа к привилегированным и непривилегированным учетным записям. Цели: Определите, если: [a.] Механизмы аутентификации, устойчивые к атакам типа воспроизведение, реализуются для доступа к привилегированным и непривилегированным сетевым учетным записям. |
Все методы проверки подлинности Microsoft Entra в AAL2 и более поздних версиях устойчивы к воспроизведению. Достижение уровней проверки подлинности NIST с помощью идентификатора Microsoft Entra |
| IA. L2-3.5.5 Программное заявление: запрет повторного использования идентификаторов в течение определенного периода. Цели: Определите, если: [a.] период, в течение которого нельзя повторно использовать идентификаторы; и [b.] Повторное использование идентификаторов запрещено в течение определенного периода. |
Все глобально уникальные идентификаторы (GUID) пользователей, групп и устройств гарантированно уникальны и не могут быть повторно использованы на протяжении всего времени существования клиента Microsoft Entra. тип ресурса пользователя — Microsoft Graph версии 1.0 Тип ресурса группы — Microsoft Graph версии 1.0 Тип ресурса устройства — Microsoft Graph версии 1.0 |
| IA.L2-3.5.6 Положение о практике: отключать идентификаторы после определенного периода бездействия. Цели: Определите, если: [a.] определяется период бездействия, после которого идентификатор отключается; и [b.] идентификаторы отключаются после определенного периода бездействия. |
Реализуйте автоматизацию управления учетными записями с помощью пакета SDK Microsoft Graph и Microsoft Graph PowerShell. Используйте Microsoft Graph для отслеживания действий входа и пакета SDK Microsoft Graph PowerShell для выполнения действий с учетными записями в течение требуемого интервала времени. Определение неактивности Управление неактивными учетными записями пользователей в идентификаторе Microsoft Entra Управление устаревшими устройствами в идентификаторе Microsoft Entra Удаление или отключение учетных записей Работа с пользователями в Microsoft Graph Получить пользователя Обновление пользователя Удаление пользователя Работа с устройствами в Microsoft Graph Получить устройство Обновление устройства Удаление устройства Используйте Microsoft Graph PowerShell SDK Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
| IA. L2-3.5.7 Заявление о практике: Цели. Применение минимальной сложности пароля и изменение символов при создании новых паролей. Определите, если: [a.] Определены требования к сложности паролей; [b.] требования к символам пароля определены [c.] минимальные требования к сложности паролей, определенные и применяемые при создании новых паролей; и [d.] минимальные требования к символам для изменения пароля, как определено, применяются при создании новых паролей. IA. L2-3.5.8 Инструкция практики: запретить повторное использование паролей для указанного числа поколений. Цели: Определите, если: [a.] число поколений, в течение которых невозможно повторно использовать пароль; и [b.] Повторное использование паролей запрещено в течение указанного числа поколений. |
Мы настоятельно рекомендуем стратегии без пароля. Этот элемент управления применим только к структурам проверки пароля, поэтому удаление паролей в качестве доступной структуры проверки подлинности приведет к непригодности этого элемента управления. Согласно NIST SP 800-63 B, раздел 5.1.1: Сохраняйте список часто используемых, ожидаемых или скомпрометированных паролей. При защите паролей Microsoft Entra глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Microsoft Entra. Для поддержки бизнес-процессов и обеспечения безопасности можно добавлять собственные записи в пользовательский список запрещенных паролей. Когда пользователи изменяют или сбрасывают свои пароли, эти списки запрещенных паролей проверяются, чтобы обеспечить использование надежных паролей. Для клиентов, которым требуются строгие требования к изменению пароля, запрету на повторное использование и сложности, рекомендуем использовать гибридные учетные записи, настроенные с помощью синхронизации паролей с хешированием. Это действие гарантирует, что пароли, синхронизированные с помощью идентификатора Microsoft Entra, наследуют ограничения, настроенные в политиках паролей Active Directory. Дополнительная защита локальных паролей путем настройки Microsoft Entra Password Protection для служб доменов Active Directory. Специальная публикация NIST 800-63 B Специальная публикация NIST 800-53 редакция 5 (IA-5 — улучшение управления (1) Устранение неправильных паролей с помощью защиты паролей Microsoft Entra Что такое синхронизация хэша паролей в Microsoft Entra ID? |
| IA. L2-3.5.9 Инструкция практики. Разрешить временное использование пароля для входа в систему с немедленным изменением постоянного пароля. Цели: Определите, если: [a.] Немедленное изменение постоянного пароля требуется при использовании временного пароля для входа в систему. |
Начальный пароль пользователя Microsoft Entra — это временный пароль, который после успешного использования немедленно требуется изменить на постоянный пароль. Корпорация Майкрософт настоятельно призывает к внедрению методов проверки подлинности без пароля. Пользователи могут инициализировать методы аутентификации без пароля, используя временный доступ (TAP). TAP — это секретный код с ограничением по времени и использованию, который выдается администратором и удовлетворяет строгим требованиям проверки подлинности. Использование аутентификации без пароля вместе с TAP, ограниченным по времени и использованию, полностью исключает использование паролей (и их повторное использование). Добавление или удаление пользователей Настройка временного прохода доступа в идентификаторе Microsoft Entra для регистрации методов проверки подлинности без пароля Проверка подлинности без пароля |
| IA. L2-3.5.10 Инструкция практики. Хранение и передача только криптографически защищенных паролей. Цели: Определите, если: [a.] пароли криптографически защищены в хранилище; и [b.] пароли криптографически защищены при передаче. |
Шифрование секретов неактивных данных: Помимо шифрования уровня диска, секреты, хранящиеся в каталоге при покое, шифруются с помощью распределенного диспетчера ключей (DKM). Ключи шифрования хранятся в хранилище ядер Microsoft Entra и, в свою очередь, шифруются с помощью ключа единицы масштабирования. Ключ хранится в контейнере, защищенном с помощью списков управления доступом к каталогу, для самых привилегированных пользователей и определенных служб. Симметричный ключ обычно поворачивается каждые шесть месяцев. Доступ к среде дополнительно защищается с помощью операционных элементов управления и физической безопасности. Шифрование при передаче: Чтобы обеспечить безопасность данных, данные каталога в идентификаторе Microsoft Entra подписываются и шифруются во время передачи между центрами обработки данных в единице масштабирования. Данные зашифровываются и расшифровываются основным уровнем хранения Microsoft Entra, который находится в защищенных зонах размещения серверов соответствующих центров обработки данных компании Microsoft. Клиентские веб-службы защищены протоколом TLS. Для получения дополнительных сведений скачайте рекомендации по защите данных — безопасность данных. На странице 15 есть дополнительные сведения. Демистификация синхронизации хэша паролей (microsoft.com) Вопросы безопасности данных Microsoft Entra |
| IA. L2-3.5.11 Инструкция практики: неявная обратная связь с информацией о проверке подлинности. Цели: Определите, если: [a.] Сведения об аутентификации скрыты во время процесса аутентификации. |
По умолчанию идентификатор Microsoft Entra скрывает все отзывы о аутентификаторе. |