Настройка элементов управления идентификации и проверки подлинности на уровне 2 CMMC (IA)
Идентификатор Microsoft Entra помогает соответствовать требованиям, связанным с удостоверениями, в каждом уровне сертификации модели зрелости кибербезопасности (CMMC). Для выполнения других конфигураций или процессов, соответствующих требованиям уровня 2 CMMC версии 2,0, отвечает компания, выполняющая работу с и от имени министерства обороны США (DoD).
На уровне 2 CMMC есть 13 доменов, имеющих одну или несколько методик, связанных с удостоверением. Домены:
- Управление доступом (AC)
- Аудит и подотчетность (AU)
- Управление конфигурацией (CM)
- Идентификация и проверка подлинности (IA)
- Реагирование на инциденты (IR)
- Обслуживание (MA)
- Защита данных на носителях
- Безопасность персонала
- Физическая защита (PE)
- Оценка риска (RA)
- Оценка безопасности (ЦС)
- Защита системы и средств передачи данных
- Целостность системы и данных
Оставшаяся часть этой статьи содержит рекомендации по домену идентификации и авторизации (IA). Существует таблица со ссылками на содержимое, которое предоставляет пошаговые рекомендации по выполнению этой практики.
Идентификация и проверка подлинности
В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.
Заявление и цели практики CMMC | Рекомендации и рекомендации Microsoft Entra |
---|---|
IA. L2-3.5.3 Инструкция практики. Используйте многофакторную проверку подлинности для локального и сетевого доступа к привилегированным учетным записям и для сетевого доступа к не привилегированным учетным записям. Цели: Определите, если: [a.] Идентифицируются привилегированные учетные записи; [b.] Многофакторная проверка подлинности реализуется для локального доступа к привилегированным учетным записям; [c.] Многофакторная проверка подлинности реализуется для сетевого доступа к привилегированным учетным записям; и [d.] Многофакторная проверка подлинности реализуется для сетевого доступа к не привилегированным учетным записям. |
Ниже приведены определения терминов, используемых для этой области управления: Нарушение предыдущего требования означает: Вы несете ответственность за настройку условного доступа для необходимости многофакторной проверки подлинности. Включите методы проверки подлинности Microsoft Entra, соответствующие AAL2 и более поздним версиям. Предоставление элементов управления в политике условного доступа Достижение уровней проверки подлинности NIST с помощью идентификатора Microsoft Entra Методы и функции проверки подлинности |
IA. L2-3.5.4 Инструкция практики. Использование механизмов проверки подлинности, устойчивых к воспроизведениям, для доступа к привилегированным и не привилегированным учетным записям. Цели: Определите, если: [a.] Механизмы проверки подлинности, устойчивые к воспроизведениям, реализуются для доступа к привилегированным и не привилегированным учетным записям сетевой учетной записи. |
Все методы проверки подлинности Microsoft Entra в AAL2 и более поздних версиях устойчивы к воспроизведению. Достижение уровней проверки подлинности NIST с помощью идентификатора Microsoft Entra |
IA. L2-3.5.5 Оператор практики: запрет повторного использования идентификаторов в течение определенного периода. Цели: Определите, если: [a.] период, в течение которого нельзя повторно использовать идентификаторы; и [b.] Повторное использование идентификаторов запрещено в течение определенного периода. |
Все пользователи, группы, объекты устройства глобально уникальные идентификаторы (GUID) гарантируются уникальными и не повторно используемыми в течение всего времени существования клиента Microsoft Entra. тип ресурса пользователя — Microsoft Graph версии 1.0 Тип ресурса группы — Microsoft Graph версии 1.0 Тип ресурса устройства — Microsoft Graph версии 1.0 |
IA. L2-3.5.6 Оператор практики: отключение идентификаторов после определенного периода бездействия. Цели: Определите, если: [a.] период бездействия, после которого определяется идентификатор; и [b.] идентификаторы отключаются после определенного периода бездействия. |
Реализуйте автоматизацию управления учетными записями с помощью пакета SDK Microsoft Graph и Microsoft Graph PowerShell. Используйте Microsoft Graph для отслеживания действий входа и пакета SDK Microsoft Graph PowerShell для выполнения действий с учетными записями в течение требуемого интервала времени. Определение неактивности Управление неактивными учетными записями пользователей в идентификаторе Microsoft Entra Управление устаревшими устройствами в идентификаторе Microsoft Entra Удаление или отключение учетных записей Работа с пользователями в Microsoft Graph Получение пользователя Обновление пользователя Удаление пользователя Работа с устройствами в Microsoft Graph Получение устройства Обновление устройства Удаление устройства Использование пакета SDK Для Microsoft Graph PowerShell Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
IA. L2-3.5.7 Оператор практики: Цели. Применение минимальной сложности пароля и изменение символов при создании новых паролей. Определите, если: [a.] Определены требования к сложности паролей; [b.] определены изменения пароля требований к символам; [c.] минимальные требования к сложности паролей, определенные при создании новых паролей; и [d.] минимальное изменение пароля требований к символам, как определено, применяется при создании новых паролей. IA. L2-3.5.8 Инструкция практики: запретить повторное использование паролей для указанного числа поколений. Цели: Определите, если: [a.] число поколений, в течение которых невозможно повторно использовать пароль; и [b.] Повторное использование паролей запрещено в течение указанного числа поколений. |
Мы настоятельно рекомендуем стратегии без пароля. Этот элемент управления применим только к структурам проверки пароля, поэтому удаление паролей в качестве доступной структуры проверки подлинности приведет к непригодности этого элемента управления. На NIST SP 800-63 B раздел 5.1.1. Сохраняйте список часто используемых, ожидаемых или скомпрометированных паролей. При защите паролей Microsoft Entra глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Microsoft Entra. Для обеспечения безопасности организации можно добавлять в список заданных запрещенных паролей собственные записи. Когда пользователь изменяет или сбрасывает пароль, такой пароль проверяется по этим спискам, чтобы принудительно использовать надежные пароли. Для клиентов, которым требуется строгое изменение символа пароля, требования к повторному использованию паролей и сложности используют гибридные учетные записи, настроенные с помощью Синхронизации паролей. Это действие гарантирует, что пароли, синхронизированные с идентификатором Microsoft Entra, наследуют ограничения, настроенные в политиках паролей Active Directory. Дополнительные сведения о защите локальных паролей путем настройки локальной защиты паролей Microsoft Entra для служб домен Active Directory. Специальная публикация NIST 800-63 B Специальная публикация NIST 800-53 редакция 5 (IA-5 — улучшение управления (1) Устранение неправильных паролей с помощью защиты паролей Microsoft Entra Что такое синхронизация хэша паролей в Microsoft Entra ID? |
IA. L2-3.5.9 Инструкция практики. Разрешить временное использование пароля для входа в систему с немедленным изменением постоянного пароля. Цели: Определите, если: [a.] Немедленное изменение постоянного пароля требуется при использовании временного пароля для входа в систему. |
Начальный пароль пользователя Microsoft Entra — это временный пароль, который после успешного использования немедленно требуется изменить на постоянный пароль. Корпорация Майкрософт настоятельно призывает к внедрению методов проверки подлинности без пароля. Пользователи могут загружать методы проверки подлинности без пароля с помощью временной передачи доступа (TAP). TAP — это время и использование ограниченного секретного кода, выданного администратором, который удовлетворяет строгим требованиям проверки подлинности. Использование проверки подлинности без пароля вместе с временем и использование ограниченного TAP полностью исключает использование паролей (и их повторное использование). Добавление или удаление пользователей Настройка временного прохода доступа в идентификаторе Microsoft Entra для регистрации методов проверки подлинности без пароля Проверка подлинности без пароля |
IA. L2-3.5.10 Инструкция практики. Хранение и передача только криптографически защищенных паролей. Цели: Определите, если: [a.] пароли криптографически защищены в хранилище; и [b.] пароли криптографически защищены при передаче. |
Шифрование секретов неактивных данных: Помимо шифрования уровня диска, при хранении секреты, хранящиеся в каталоге, шифруются с помощью распределенного диспетчера ключей (DKM). Ключи шифрования хранятся в хранилище ядер Microsoft Entra и, в свою очередь, шифруются с помощью ключа единицы масштабирования. Ключ хранится в контейнере, защищенном с помощью списков управления доступом к каталогу, для самых привилегированных пользователей и определенных служб. Симметричный ключ обычно поворачивается каждые шесть месяцев. Доступ к среде дополнительно защищается с помощью операционных элементов управления и физической безопасности. Шифрование при передаче: Чтобы обеспечить безопасность данных, данные каталога в идентификаторе Microsoft Entra подписываются и шифруются во время передачи между центрами обработки данных в единице масштабирования. Данные шифруются и не шифруются уровнем основного хранилища Microsoft Entra, который находится в защищенных областях размещения серверов связанных центров обработки данных Майкрософт. Клиентские веб-службы защищены протоколом TLS. Для получения дополнительных сведений скачайте рекомендации по защите данных — безопасность данных. На странице 15 есть дополнительные сведения. Демистификация синхронизации хэша паролей (microsoft.com) Вопросы безопасности данных Microsoft Entra |
IA. L2-3.5.11 Инструкция практики: неявная обратная связь с информацией о проверке подлинности. Цели: Определите, если: [a.] Сведения о проверке подлинности не отображаются во время процесса проверки подлинности. |
По умолчанию идентификатор Microsoft Entra скрывает все отзывы о аутентификаторе. |