Уровень проверки подлинности NIST 3 с помощью идентификатора Microsoft Entra

Статья
10/28/2023

Используйте сведения в этой статье для Национального института стандартов и технологий (NIST) уровень проверки подлинности 3 (AAL3).

Перед получением AAL2 можно просмотреть следующие ресурсы:

Обзор NIST. Общие сведения об уровнях AAL
Основы проверки подлинности: терминология и типы проверки подлинности
Типы NIST Authenticator: типы Authenticator
NIST AALs: компоненты AAL и методы проверки подлинности Microsoft Entra

Разрешенные типы проверки подлинности

Используйте методы проверки подлинности Майкрософт для удовлетворения необходимых типов проверки подлинности NIST.

Способы проверки подлинности Microsoft Entra.	Тип структуры проверки подлинности NIST
Рекомендуемые методы
Защищенный оборудованием сертификат (смарт-карта, ключ безопасности/TPM) Ключ безопасности FIDO 2 Windows Hello для бизнеса с аппаратным TPM Учетные данные платформы для macOS	Многофакторное криптографическое оборудование
Дополнительные методы
Пароль AND — Microsoft Entra, присоединенная к аппаратному доверенному платформенный модуль - ИЛИ — гибридное присоединение Microsoft Entra к аппаратному доверенному платформенного модуля	Замеченный секрет AND оборудование для однофакторной проверки подлинности с шифрованием
Пароль AND Токены оборудования OATH (предварительная версия) AND — однофакторный сертификат программного обеспечения - ИЛИ — Гибридное присоединение или соответствие устройству Microsoft Entra с программным TPM	Запоминаемый секрет AND Однофакторное оборудование OTP AND ПО для однофакторной проверки подлинности с шифрованием

Проверка на соответствие стандарту FIPS 140

Требования к средству проверки

Идентификатор Microsoft Entra использует общий проверенный модуль шифрования windows FIPS 140 уровня 1 для криптографических операций проверки подлинности, что делает идентификатор Microsoft Entra ID соответствующим проверяющим.

Требования к структуре проверки подлинности

Требования к однофакторной и многофакторной криптографической проверке подлинности оборудования.

оборудование для однофакторной проверки подлинности с шифрованием

Для проверки подлинности необходимо:

FIPS 140 уровень 1 в целом или выше
FIPS 140 уровня 3 физической безопасности или выше

Присоединенные к Microsoft Entra и гибридные устройства Microsoft Entra соответствуют этому требованию, когда:

Запуск Windows в утвержденном режиме FIPS-140
На компьютере с TPM, который имеет FIPS 140 уровня 1 в целом или выше, с FIPS 140 уровня 3 физической безопасности
- Поиск соответствующих TPM: поиск доверенного платформенного модуля и доверенного платформенного модуля в программе проверки криптографических модулей.

Обратитесь к поставщику мобильных устройств, чтобы узнать о соответствии с FIPS 140.

Многофакторное криптографическое оборудование

Для проверки подлинности необходимо:

FIPS 140 уровень 2 в целом или выше
FIPS 140 уровня 3 физической безопасности или выше

Ключи безопасности FIDO 2, смарт-карты и Windows Hello для бизнеса помогут вам удовлетворить эти требования.

Поставщики ключей FIDO2 находятся в сертификации FIPS. Рекомендуется просмотреть список поддерживаемых поставщиков ключей FIDO2. Обратитесь к поставщику с текущим состоянием проверки FIPS.
Смарт-карты — это проверенная технология. Несколько продуктов поставщиков соответствуют требованиям FIPS.
- Дополнительные сведения о программе проверки криптографического модуля

Windows Hello для бизнеса

FIPS 140 требует криптографической границы, включая программное обеспечение, встроенное ПО и оборудование, для оценки. Операционные системы Windows можно связать с тысячами этих сочетаний. Таким образом, корпорация Майкрософт не может проверить Windows Hello для бизнеса на уровне безопасности FIPS 140. Федеральные клиенты должны проводить оценки рисков и оценивать каждый из следующих сертификатов компонентов как часть их принятия рисков перед принятием этой службы в качестве AAL3:

Windows 10 и Windows Server используют утвержденный профиль защиты для операционных систем общего назначения в государственных организациях США версии 4.2.1 от NIAP. Эта организация контролирует национальную программу для оценки коммерческих продуктов информационной технологии вне полки (COTS) для соответствия международным общим критериям.
Библиотека шифрования Windows имеет уровень FIPS 1 в целом в программе проверки криптографических модулей NIST (CMVP), совместных усилий между NIST и Канадским центром кибербезопасности. Эта организация проверяет криптографические модули в соответствии со стандартами FIPS.
Выберите доверенный модуль платформы (TPM), который имеет fiPS 140 уровня 2 в целом и FIPS 140 уровня 3 физической безопасности. Ваша организация гарантирует, что аппаратный TPM соответствует требуемым требованиям уровня AAL.

Чтобы определить TPM, которые соответствуют текущим стандартам, перейдите в программу проверки криптографического модуля Центра безопасности компьютеров NIST. В поле "Имя модуля" введите доверенный модуль платформы для списка аппаратных TPM, которые соответствуют стандартам.

Единый вход платформы MacOS

FIPS 140 Уровень безопасности 2 реализован для macOS 13 как минимум, с большинством новых устройств, реализующих уровень 3. Мы рекомендуем ссылаться на сертификаты Платформы Apple. Важно учитывать уровень безопасности на устройстве.

Повторная проверка подлинности

Для AAL3 требования NIST повторно выполняют проверку подлинности каждые 12 часов независимо от активности пользователя. Повторная авторизация требуется после периода бездействия в течение 15 минут или дольше. Для представления обоих факторов требуется.

Чтобы обеспечить соответствие требованиям повторной проверки подлинности независимо от действия пользователя, корпорация Майкрософт рекомендует настроить частоту входа пользователя в 12 часов.

NIST позволяет компенсировать элементы управления для подтверждения присутствия подписчика:

Установите время бездействия сеанса в течение 15 минут: блокировка устройства на уровне ОС с помощью Microsoft Configuration Manager, объекта групповой политики (GPO) или Intune. Для разблокировки подписчика требуется локальная проверка подлинности.
Задайте время ожидания независимо от действия, выполнив запланированную задачу с помощью Configuration Manager, групповой политики или Intune. Блокировка компьютера через 12 часов независимо от действия.

Защита от атак "злоумышленник в середине"

Обмен данными между заявителем и идентификатором Microsoft Entra проходит проверку подлинности, защищенный канал для сопротивления атакам в середине (MitM). Эта конфигурация соответствует требованиям защиты от MitM для уровней AAL1, AAL2 и AAL3.

Защита средства проверки от олицетворения

Методы проверки подлинности Microsoft Entra, соответствующие AAL3, используют криптографические аутентификаторы, которые привязывают выходные данные аутентификатора к сеансу, прошедшему проверку подлинности. Методы используют закрытый ключ, контролируемый заявителем. Открытый ключ известен проверяющего. Данная конфигурация удовлетворяет требованиям к защите от олицетворения для уровня AAL3.

Противостояние атакам с компрометацией средства проверки

Все методы проверки подлинности Microsoft Entra, соответствующие AAL3:

Использование криптографического аутентификатора, требующего хранения открытого ключа проверяющего ключа, соответствующего закрытому ключу, удерживаемого аутентификатором.
Хранение ожидаемых выходных данных аутентификатора с помощью проверенных алгоритмов хэша FIPS-140

Дополнительные сведения см. в разделе "Вопросы безопасности данных Microsoft Entra".

Защита от атак с повторением

Методы проверки подлинности Microsoft Entra, которые соответствуют AAL3, используют неисключаемые или сложные задачи. Эти методы устойчивы к атакам воспроизведения, так как проверяющий может обнаруживать повторяемые транзакции проверки подлинности. Такие транзакции не будут содержать необходимые данные о нецелевом или своевременном времени.

Цель проверки подлинности

Требование намерения проверки подлинности затрудняет использование непосредственно подключенных физических аутентификаторов, таких как многофакторное криптографическое оборудование, без знаний субъекта (например, вредоносных программ в конечной точке). Методы Microsoft Entra, соответствующие AAL3, требуют ввода пин-кода или биометрических данных, демонстрируя намерение проверки подлинности.