Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Узнайте, как использовать идентификатор Microsoft Entra в качестве централизованной системы управления удостоверениями при реализации принципов нулевого доверия. См. Меморандум M 22-09 Управления по делам административно-бюджетных вопросов США для руководителей исполнительных департаментов и агентств.
Требования памятки заключаются в том, что сотрудники используют управляемые предприятием учетные данные для доступа к приложениям, а многофакторная аутентификация защищает сотрудников от сложных сетевых атак, таких как фишинг. Этот метод атаки пытается получить и скомпрометировать учетные данные с ссылками на неавторентские сайты.
Многофакторная проверка подлинности предотвращает несанкционированный доступ к учетным записям и данным. Требования к служебной записке ссылаются на многофакторную проверку подлинности с методами, устойчивыми к фишингу: процессы аутентификации, предназначенные для обнаружения и предотвращения раскрытия секретов и выходных данных аутентификации на веб-сайте или в приложении, маскирующихся под легитимные системы. Поэтому определите, какие методы многофакторной аутентификации считаются устойчивыми к фишинговым атакам.
Устойчивые к фишингу методы
Некоторые федеральные учреждения развернули современные учетные данные, такие как ключи безопасности FIDO2 или Windows Hello для бизнеса. Многие оценивают аутентификацию Microsoft Entra с помощью сертификатов.
Подробнее:
- Ключи безопасности FIDO2
- Windows Hello для бизнеса
- Обзор проверки подлинности на основе сертификата Microsoft Entra
Некоторые учреждения модернизируют свои аутентификационные данные. Существует несколько вариантов соответствия требованиям к защите от фишинга при многофакторной аутентификации с помощью идентификатора Microsoft Entra ID. Корпорация Майкрософт рекомендует использовать метод многофакторной проверки подлинности, который соответствует возможностям агентства. Рассмотрим, что можно сделать сейчас для многофакторной аутентификации с устойчивостью к фишингу, чтобы улучшить общую позицию кибербезопасности. Реализуйте современные учетные данные доступа. Однако если самый быстрый путь не является современным подходом, сделайте шаг, чтобы начать путешествие к современным подходам.
Современные подходы
-
Ключи безопасности FIDO2, согласно Агентству кибербезопасности и безопасности инфраструктуры (CISA), это золотой стандарт многофакторной аутентификации
- См. параметры проверки подлинности без пароля для идентификатора Microsoft Entra, ключей безопасности FIDO2
- Посетите сайт cisa.gov, чтобы узнать о Больше, чем просто пароль
-
Проверка подлинности сертификата Microsoft Entra без зависимости от федеративного поставщика удостоверений.
- Это решение включает реализации смарт-карт: Common Access Card (CAC), Personal Identity Authentication (PIV) и производные учетные данные PIV для мобильных устройств или ключей безопасности
- Общие сведения о проверке подлинности на основе сертификатов Microsoft Entra
- Windows Hello для бизнеса имеет многофакторную аутентификацию, устойчивую к фишингу
Защита от внешнего фишинга
Политики Microsoft Authenticator и условного доступа применяют управляемые устройства: гибридные устройства или устройства, присоединенные к Microsoft Entra, помеченные как соответствующие. Установите Microsoft Authenticator на устройствах, обращаюющихся к приложениям, защищенным идентификатором Microsoft Entra.
Дополнительные сведения: методы проверки подлинности в идентификаторе Microsoft Entra — приложение Microsoft Authenticator
Внимание
Чтобы обеспечить соответствие требованиям, устойчивым к фишингу, управляйте только устройствами, обращаюющимися к защищенному приложению. Пользователи, которым разрешено использовать Microsoft Authenticator, находятся в области политики условного доступа, требующей доступа к управляемым устройствам. Политика условного доступа блокирует доступ к облачному приложению Microsoft Intune. Пользователи, которым разрешено использовать Microsoft Authenticator, находятся в области этой политики условного доступа. Используйте те же группы, чтобы разрешить проверку подлинности Microsoft Authenticator в политиках условного доступа, чтобы гарантировать, что пользователи, включенные для метода проверки подлинности, находятся в области обеих политик. Эта политика условного доступа предотвращает наиболее значительный вектор фишинговых угроз от вредоносных внешних субъектов. Он также предотвращает деятельность злоумышленников, которые пытаются использовать фишинг для регистрации учетных данных через Microsoft Authenticator, или подключения устройства и его регистрации в Intune для отметки его как соответствующего политикам.
Подробнее:
- Спланируйте реализацию гибридного соединения Microsoft Entra или
- Практическое руководство. Планирование реализации присоединения к Microsoft Entra
- См. также политику общего условного доступа: требуется соответствующее устройство, гибридное устройство Microsoft Entra или многофакторная проверка подлинности для всех пользователей
Примечание.
Microsoft Authenticator не является защищённым от фишинг-атак. Настройте политику условного доступа, чтобы требовать, чтобы управляемые устройства получили защиту от внешних фишинговых угроз.
Унаследованная система
Федеративные поставщики удостоверений, такие как службы федерации Active Directory (AD FS), настроенные с помощью методов защиты от фишинга. Хотя агентства достигают сопротивления фишингу при помощи федеративного поставщика удостоверений, это добавляет затраты, сложность и риск. Корпорация Майкрософт рекомендует использовать преимущества безопасности Microsoft Entra ID как IdP, устраняя связанный риск использования федеративного провайдера удостоверений.
Подробнее:
- Защита Microsoft 365 от локальных атак
- Развертывание служб федерации AD в Azure
- Настройка AD FS для проверки подлинности пользователя на основе сертификата
Аспекты устойчивых к фишингу методов
Текущие возможности устройств, пользователи и другие требования могут диктовать многофакторные методы. Например, для ключей безопасности FIDO2 с поддержкой USB-C требуются устройства с портами USB-C. При оценке многофакторной аутентификации, устойчивой к фишингу, следует учитывать следующую информацию:
- Типы устройств и возможности, которые можно поддерживать: киоски, ноутбуки, мобильные телефоны, биометрические средства чтения, USB, Bluetooth и устройства связи близкого к полю
- Персонализированные профили пользователей организации: работники первой линии, удаленные работники с принадлежащим компании оборудованием и без него, администраторы с привилегированным доступом к рабочим станциям и гостевые пользователи из бизнес-среды
- Логистика: распространение, настройка и регистрация многофакторных методов проверки подлинности, таких как ключи безопасности FIDO2, смарт-карты, оборудование для государственных организаций или устройства Windows с микросхемами TPM
- Валидация по Федеральным стандартам обработки информации (FIPS) 140 на уровне обеспечения подлинности: некоторые ключи безопасности FIDO проходят валидацию FIPS 140 на уровнях AAL3, установленных в NIST SP 800-63B.
Рассмотрение аспектов внедрения устойчивой к фишингу многофакторной аутентификации
В следующих разделах приведены сведения о поддержке реализации методов, устойчивых к фишингу, для входа в приложение и виртуальное устройство.
Сценарии входа в приложения из разных клиентов
В следующей таблице описана доступность сценариев многофакторной проверки подлинности, устойчивых к фишингу, на основе типа устройства, используемого для входа в приложения:
| Устройство | AD FS в качестве федеративного поставщика удостоверений с проверкой подлинности сертификата | Проверка подлинности сертификата Microsoft Entra | Ключи безопасности FIDO2 | Windows Hello для бизнеса | Microsoft Authenticator с политиками условного доступа, применяющими гибридное присоединение Microsoft Entra или соответствующих устройств |
|---|---|---|---|---|---|
| устройство с Windows; |
|
|
|
|
|
| Мобильное устройство на базе iOS |
|
|
Неприменимо | Неприменимо |
|
| Мобильное устройство на базе Android |
|
|
Неприменимо | Неприменимо |
|
| устройство macOS |
|
|
Edge/Chrome | Неприменимо |
|
Дополнительные сведения: поддержка браузера для проверки подлинности без пароля FIDO2
Сценарии входа на виртуальное устройство, требующие интеграции
Чтобы применить устойчивую к фишингу многофакторную проверку подлинности, может потребоваться интеграция. Принудительное применение многофакторной проверки подлинности для пользователей, обращаюющихся к приложениям и устройствам. Для пяти типов многофакторной проверки подлинности, устойчивых к фишингу, используйте те же функции, чтобы получить доступ к следующим типам устройств:
| Целевая система | Действия по интеграции |
|---|---|
| Виртуальная машина Linux в Azure | Включение виртуальной машины Linux для входа в Microsoft Entra |
| Виртуальная машина Windows в Azure | Включить виртуальную машину Windows для входа в Microsoft Entra |
| Виртуальный рабочий стол Azure | Включение виртуального рабочего стола Azure для входа в Microsoft Entra |
| Виртуальные машины, размещенные в локальной среде или других облаках | Включите Azure Arc на виртуальной машине и включите вход Microsoft Entra. В настоящее время в частной предварительной версии для Linux. Поддержка виртуальных машин Windows, размещенных в этих средах, находится в нашей стратегии. |
| Решение для виртуальных рабочих столов, не связанное с Microsoft | Интегрируйте решение виртуального рабочего стола как приложение в Microsoft Entra ID |
Применение фишинго-устойчивой многофакторной проверки подлинности
Используйте условный доступ для применения многофакторной проверки подлинности для пользователей в вашей организации. С добавлением политик доступа, действующих между арендаторами, вы можете применять ее для внешних пользователей.
Дополнительные сведения: Обзор: доступ между клиентами с помощью внешнего ID Microsoft Entra
Принудительное применение в разных учреждениях
Используйте совместную работу Microsoft Entra B2B для удовлетворения требований, которые упрощают интеграцию:
- Ограничьте доступ ваших пользователей к другим клиентам Майкрософт
- Разрешить доступ пользователям, которыми вы не управляете в вашей среде, но применять многофакторную аутентификацию и другие требования к доступу.
Дополнительные сведения: обзор совместной работы B2B
Принудительное применение многофакторной проверки подлинности для партнеров и внешних пользователей, обращающихся к ресурсам организации. Это действие распространено в сценариях совместной работы между агентствами. Используйте политики доступа между клиентами Microsoft Entra для настройки многофакторной аутентификации для внешних пользователей, имеющих доступ к приложениям и ресурсам.
Настройте параметры доверия в политиках доступа между клиентами, чтобы доверять методу многофакторной проверки подлинности, который использует гостевой клиент пользователя. Избегайте, чтобы пользователи регистрировали метод многофакторной аутентификации в вашем арендаторе. Включите эти политики для каждой организации в отдельности. Можно определить методы многофакторной проверки подлинности в домашнем клиенте пользователя и решить, соответствуют ли они требованиям к фишингу.
Политики паролей
В этой записке организации должны изменить неэффективные политики паролей, такие как сложные, сменяемые пароли. Принудительное применение включает отмену требования использования специальных символов и чисел, а также внедрение политик смены паролей, основанных на временных интервалах. Вместо этого рассмотрим следующие варианты:
-
Защита пароля для внедрения общего списка слабых паролей, который поддерживает корпорация Майкрософт
- Кроме того, включите кастомные запрещенные пароли
- См. раздел " Устранение неправильных паролей с помощью защиты паролей Microsoft Entra"
- Самостоятельный сброс пароля, позволяющий пользователям сбрасывать пароли, после восстановления учетной записи, например.
- Защита идентификации Microsoft Entra для оповещений о скомпрометированных учетных данных
- Что такое риск?
Хотя в служебной записке не уточняется, какие именно политики использования паролей применимы, рассмотрите стандарт NIST 800-63B.
См. специальные публикации NIST 800-63B, рекомендации по цифровым удостоверениям.
Следующие шаги
- Соответствие требованиям к удостоверениям меморандума 22-09 с идентификатором Microsoft Entra
- Система управления удостоверениями на уровне предприятия
- Соответствие требованиям авторизации меморандума 22-09
- Другие области нулевого доверия, рассмотренные в меморандуме 22-09
- Обеспечение идeнтичности с концепцией нулевого доверия