Удовлетворение требований к многофакторной проверке подлинности, изложенных в меморандуме 22-09

Узнайте, как использовать идентификатор Microsoft Entra в качестве централизованной системы управления удостоверениями при реализации принципов нулевого доверия. См. Меморандум M 22-09 Управления по делам административно-бюджетных вопросов США для руководителей исполнительных департаментов и агентств.

Требования памятки заключаются в том, что сотрудники используют управляемые предприятием учетные данные для доступа к приложениям, а многофакторная аутентификация защищает сотрудников от сложных сетевых атак, таких как фишинг. Этот метод атаки пытается получить и скомпрометировать учетные данные с ссылками на неавторентские сайты.

Многофакторная проверка подлинности предотвращает несанкционированный доступ к учетным записям и данным. Требования к служебной записке ссылаются на многофакторную проверку подлинности с методами, устойчивыми к фишингу: процессы аутентификации, предназначенные для обнаружения и предотвращения раскрытия секретов и выходных данных аутентификации на веб-сайте или в приложении, маскирующихся под легитимные системы. Поэтому определите, какие методы многофакторной аутентификации считаются устойчивыми к фишинговым атакам.

Устойчивые к фишингу методы

Некоторые федеральные учреждения развернули современные учетные данные, такие как ключи безопасности FIDO2 или Windows Hello для бизнеса. Многие оценивают аутентификацию Microsoft Entra с помощью сертификатов.

Подробнее:

Некоторые учреждения модернизируют свои аутентификационные данные. Существует несколько вариантов соответствия требованиям к защите от фишинга при многофакторной аутентификации с помощью идентификатора Microsoft Entra ID. Корпорация Майкрософт рекомендует использовать метод многофакторной проверки подлинности, который соответствует возможностям агентства. Рассмотрим, что можно сделать сейчас для многофакторной аутентификации с устойчивостью к фишингу, чтобы улучшить общую позицию кибербезопасности. Реализуйте современные учетные данные доступа. Однако если самый быстрый путь не является современным подходом, сделайте шаг, чтобы начать путешествие к современным подходам.

Схема методов многофакторной проверки подлинности Microsoft Entra, устойчивых к фишингу.

Современные подходы

Защита от внешнего фишинга

Политики Microsoft Authenticator и условного доступа применяют управляемые устройства: гибридные устройства или устройства, присоединенные к Microsoft Entra, помеченные как соответствующие. Установите Microsoft Authenticator на устройствах, обращаюющихся к приложениям, защищенным идентификатором Microsoft Entra.

Дополнительные сведения: методы проверки подлинности в идентификаторе Microsoft Entra — приложение Microsoft Authenticator

Внимание

Чтобы обеспечить соответствие требованиям, устойчивым к фишингу, управляйте только устройствами, обращаюющимися к защищенному приложению. Пользователи, которым разрешено использовать Microsoft Authenticator, находятся в области политики условного доступа, требующей доступа к управляемым устройствам. Политика условного доступа блокирует доступ к облачному приложению Microsoft Intune. Пользователи, которым разрешено использовать Microsoft Authenticator, находятся в области этой политики условного доступа. Используйте те же группы, чтобы разрешить проверку подлинности Microsoft Authenticator в политиках условного доступа, чтобы гарантировать, что пользователи, включенные для метода проверки подлинности, находятся в области обеих политик. Эта политика условного доступа предотвращает наиболее значительный вектор фишинговых угроз от вредоносных внешних субъектов. Он также предотвращает деятельность злоумышленников, которые пытаются использовать фишинг для регистрации учетных данных через Microsoft Authenticator, или подключения устройства и его регистрации в Intune для отметки его как соответствующего политикам.

Подробнее:

Примечание.

Microsoft Authenticator не является защищённым от фишинг-атак. Настройте политику условного доступа, чтобы требовать, чтобы управляемые устройства получили защиту от внешних фишинговых угроз.

Унаследованная система

Федеративные поставщики удостоверений, такие как службы федерации Active Directory (AD FS), настроенные с помощью методов защиты от фишинга. Хотя агентства достигают сопротивления фишингу при помощи федеративного поставщика удостоверений, это добавляет затраты, сложность и риск. Корпорация Майкрософт рекомендует использовать преимущества безопасности Microsoft Entra ID как IdP, устраняя связанный риск использования федеративного провайдера удостоверений.

Подробнее:

Аспекты устойчивых к фишингу методов

Текущие возможности устройств, пользователи и другие требования могут диктовать многофакторные методы. Например, для ключей безопасности FIDO2 с поддержкой USB-C требуются устройства с портами USB-C. При оценке многофакторной аутентификации, устойчивой к фишингу, следует учитывать следующую информацию:

  • Типы устройств и возможности, которые можно поддерживать: киоски, ноутбуки, мобильные телефоны, биометрические средства чтения, USB, Bluetooth и устройства связи близкого к полю
  • Персонализированные профили пользователей организации: работники первой линии, удаленные работники с принадлежащим компании оборудованием и без него, администраторы с привилегированным доступом к рабочим станциям и гостевые пользователи из бизнес-среды
  • Логистика: распространение, настройка и регистрация многофакторных методов проверки подлинности, таких как ключи безопасности FIDO2, смарт-карты, оборудование для государственных организаций или устройства Windows с микросхемами TPM
  • Валидация по Федеральным стандартам обработки информации (FIPS) 140 на уровне обеспечения подлинности: некоторые ключи безопасности FIDO проходят валидацию FIPS 140 на уровнях AAL3, установленных в NIST SP 800-63B.

Рассмотрение аспектов внедрения устойчивой к фишингу многофакторной аутентификации

В следующих разделах приведены сведения о поддержке реализации методов, устойчивых к фишингу, для входа в приложение и виртуальное устройство.

Сценарии входа в приложения из разных клиентов

В следующей таблице описана доступность сценариев многофакторной проверки подлинности, устойчивых к фишингу, на основе типа устройства, используемого для входа в приложения:

Устройство AD FS в качестве федеративного поставщика удостоверений с проверкой подлинности сертификата Проверка подлинности сертификата Microsoft Entra Ключи безопасности FIDO2 Windows Hello для бизнеса Microsoft Authenticator с политиками условного доступа, применяющими гибридное присоединение Microsoft Entra или соответствующих устройств
устройство с Windows; Галочка с сплошной заливкой Галочка с сплошной заливкой Галочка с сплошной заливкой Галочка с сплошной заливкой Галочка с сплошной заливкой
Мобильное устройство на базе iOS Галочка с сплошной заливкой Галочка с сплошной заливкой Неприменимо Неприменимо Галочка с сплошной заливкой
Мобильное устройство на базе Android Галочка с сплошной заливкой Галочка с сплошной заливкой Неприменимо Неприменимо Галочка с сплошной заливкой
устройство macOS Галочка с сплошной заливкой Галочка с сплошной заливкой Edge/Chrome Неприменимо Галочка с сплошной заливкой

Дополнительные сведения: поддержка браузера для проверки подлинности без пароля FIDO2

Сценарии входа на виртуальное устройство, требующие интеграции

Чтобы применить устойчивую к фишингу многофакторную проверку подлинности, может потребоваться интеграция. Принудительное применение многофакторной проверки подлинности для пользователей, обращаюющихся к приложениям и устройствам. Для пяти типов многофакторной проверки подлинности, устойчивых к фишингу, используйте те же функции, чтобы получить доступ к следующим типам устройств:

Целевая система Действия по интеграции
Виртуальная машина Linux в Azure Включение виртуальной машины Linux для входа в Microsoft Entra
Виртуальная машина Windows в Azure Включить виртуальную машину Windows для входа в Microsoft Entra
Виртуальный рабочий стол Azure Включение виртуального рабочего стола Azure для входа в Microsoft Entra
Виртуальные машины, размещенные в локальной среде или других облаках Включите Azure Arc на виртуальной машине и включите вход Microsoft Entra. В настоящее время в частной предварительной версии для Linux. Поддержка виртуальных машин Windows, размещенных в этих средах, находится в нашей стратегии.
Решение для виртуальных рабочих столов, не связанное с Microsoft Интегрируйте решение виртуального рабочего стола как приложение в Microsoft Entra ID

Применение фишинго-устойчивой многофакторной проверки подлинности

Используйте условный доступ для применения многофакторной проверки подлинности для пользователей в вашей организации. С добавлением политик доступа, действующих между арендаторами, вы можете применять ее для внешних пользователей.

Дополнительные сведения: Обзор: доступ между клиентами с помощью внешнего ID Microsoft Entra

Принудительное применение в разных учреждениях

Используйте совместную работу Microsoft Entra B2B для удовлетворения требований, которые упрощают интеграцию:

  • Ограничьте доступ ваших пользователей к другим клиентам Майкрософт
  • Разрешить доступ пользователям, которыми вы не управляете в вашей среде, но применять многофакторную аутентификацию и другие требования к доступу.

Дополнительные сведения: обзор совместной работы B2B

Принудительное применение многофакторной проверки подлинности для партнеров и внешних пользователей, обращающихся к ресурсам организации. Это действие распространено в сценариях совместной работы между агентствами. Используйте политики доступа между клиентами Microsoft Entra для настройки многофакторной аутентификации для внешних пользователей, имеющих доступ к приложениям и ресурсам.

Настройте параметры доверия в политиках доступа между клиентами, чтобы доверять методу многофакторной проверки подлинности, который использует гостевой клиент пользователя. Избегайте, чтобы пользователи регистрировали метод многофакторной аутентификации в вашем арендаторе. Включите эти политики для каждой организации в отдельности. Можно определить методы многофакторной проверки подлинности в домашнем клиенте пользователя и решить, соответствуют ли они требованиям к фишингу.

Политики паролей

В этой записке организации должны изменить неэффективные политики паролей, такие как сложные, сменяемые пароли. Принудительное применение включает отмену требования использования специальных символов и чисел, а также внедрение политик смены паролей, основанных на временных интервалах. Вместо этого рассмотрим следующие варианты:

Хотя в служебной записке не уточняется, какие именно политики использования паролей применимы, рассмотрите стандарт NIST 800-63B.

См. специальные публикации NIST 800-63B, рекомендации по цифровым удостоверениям.

Следующие шаги