Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Требование 8: Идентификация пользователей и аутентификация доступа к компонентам системы
Определенные требования подхода
8.1 Процессы и механизмы для идентификации пользователей и проверки подлинности доступа к системным компонентам определяются и понимаются.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
| Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. | |
| 8.1.2 Роли и обязанности по выполнению действий в требованиях 8 документируются, назначаются и понимаются. | Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
8.2 Идентификация пользователей и связанные учетные записи пользователей и администраторов строго управляются в течение жизненного цикла учетной записи.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
| 8.2.1 Все пользователи назначают уникальный идентификатор перед доступом к системным компонентам или данным заполнителей карт. | Для приложений CDE, использующих Microsoft Entra ID, уникальный идентификатор пользователя — это атрибут имени участника-пользователя (UPN). Заполнение UserPrincipalName в Microsoft Entra |
|
8.2.2 . Группы, общие или универсальные учетные записи или другие общие учетные данные проверки подлинности используются только при необходимости в случае исключения и управляются следующим образом: использование учетных записей запрещается, если не требуется для исключительных обстоятельств. Использование ограничено временем, необходимым для исключительных обстоятельств. Бизнес-обоснование использования задокументировано. Использование явно утверждено менеджментом Идентичность отдельного пользователя подтверждается перед предоставлением доступа к учетной записи. Каждое действие связано с отдельным пользователем. |
Убедитесь, что CDE, использующие Microsoft Entra ID для доступа к приложениям, внедрили процессы для предотвращения совместных учетных записей. Создайте их как исключение, требующее утверждения.
для ресурсов CDE, развернутых в Azure, используйте управляемые удостоверения Azure для представления идентичности рабочей нагрузки, вместо создания общего служебного аккаунта. Что такое управляемые удостоверения для ресурсов Azure? Если вы не можете использовать управляемые удостоверения, а ресурсы, к которым осуществляется доступ, используют протокол OAuth, используйте служебные принципы для представления рабочих нагрузок. Предоставьте удостоверениям доступ с минимально необходимыми привилегиями через области действия OAuth. Администраторы могут ограничить доступ и определить рабочие процессы утверждения для их создания. Что такое идентификаторы нагрузок? |
| 8.2.3. Дополнительное требование только для поставщиков услуг: поставщики служб с удаленным доступом к локальной среде клиента используют уникальные факторы проверки подлинности для каждого клиента. | Microsoft Entra ID имеет локальные соединители для обеспечения гибридных возможностей. Соединители идентифицируются и используют уникальные учетные данные.
Microsoft Entra Connect Sync: понимание и настройка синхронизации Подробное изучение облачной синхронизации Архитектура подготовки локальных приложений Microsoft Entra Планирование подготовки облачных HR-приложений для пользователей Microsoft Entra Установка агентов Microsoft Entra Connect Health |
|
8.2.4 . Добавление, удаление и изменение идентификаторов пользователей, факторов проверки подлинности и других объектов идентификаторов управляются следующим образом: Авторизовано с соответствующим утверждением. Реализован только с привилегиями, указанными в документированном утверждении. |
Microsoft Entra ID автоматизировал подготовку учетных записей пользователей из систем управления персоналом. Используйте эту функцию для создания жизненного цикла. Что такое подготовка на основе управления персоналом?
Microsoft Entra ID имеет рабочие процессы жизненного цикла для включения настраиваемой логики для процессов принятия новых сотрудников, перехода и ухода. Что такое рабочие процессы жизненного цикла? Microsoft Entra ID имеет программный интерфейс для управления методами проверки подлинности с помощью Microsoft Graph. Для регистрации некоторых методов проверки подлинности, таких как Windows Hello for Business и ключи FIDO2, требуется вмешательство пользователя. Начало работы с API методов аутентификации Graph Администраторы и/или автоматизация создают временные учетные данные доступа с помощью Graph API. Используйте эти учетные данные для подключения без пароля. Настройте временный пропуск доступа в Microsoft Entra ID для регистрации методов аутентификации без пароля |
| 8.2.5 Доступ для уволенных пользователей немедленно отзывается. | Чтобы отменить доступ к учетной записи, отключите локальные учетные записи для гибридных учетных записей, синхронизированных с Microsoft Entra ID, отключите учетные записи в Microsoft Entra ID и отмените маркеры.
Отозвать доступ пользователя в Microsoft Entra ID Используйте Continuous Access Evaluation (CAE) для совместимых приложений, чтобы установить двусторонний обмен информацией с Microsoft Entra ID. Приложения могут получать уведомления о таких событиях, как удаление учетной записи и отклонение токенов. Оценка непрерывного доступа |
| 8.2.6 Неактивные учетные записи пользователей удаляются или отключаются в течение 90 дней бездействия. | Для гибридных учетных записей администраторы проверяют действия в Active Directory и Microsoft Entra каждые 90 дней. Для Microsoft Entra ID используйте Microsoft Graph, чтобы найти дату последнего входа. How to: Управление неактивными учетными записями пользователей в Microsoft Entra ID |
|
8.2.7 Учетные записи, используемые сторонними сторонами для доступа, поддержки или обслуживания системных компонентов с помощью удаленного доступа, управляются следующим образом: включен только в течение периода времени, необходимого и отключенного, если он не используется. Использование отслеживается для неожиданной активности. |
Microsoft Entra ID обладает возможностями управления внешними удостоверениями.
Используйте управляемый жизненный цикл гостя с управлением правами. Внешние пользователи подключены в контексте приложений, ресурсов и пакетов доступа, которые можно предоставить в течение ограниченного периода и требовать периодических проверок доступа. Проверки могут привести к удалению или отключению учетной записи. Управляйте доступом для внешних пользователей в управлении доступом Microsoft Entra ID создает события риска на уровне пользователя и сеанса. Узнайте, как защитить, обнаружить и реагировать на непредвиденные действия. Что такое риск? |
| 8.2.8 . Если сеанс пользователя неактивен более 15 минут, пользователю необходимо повторно выполнить проверку подлинности для повторной активации терминала или сеанса. | Используйте политики управления конечными точками с Intune и Microsoft Intune. Затем используйте условный доступ, чтобы разрешить доступ с соответствующих устройств.
Используйте политики соответствия требованиям, чтобы задать правила для устройств, управляемых с помощью Intune , если среда CDE использует объекты групповой политики (GPO), настройте объект групповой политики для установки времени ожидания простоя. Настройте Microsoft Entra ID для разрешения доступа с устройств, присоединенных к Microsoft Entra гибридным способом. Устройства с гибридным присоединением Microsoft Entra |
8.3 Надежная проверка подлинности для пользователей и администраторов устанавливается и управляется.
Дополнительные сведения о методах проверки подлинности Microsoft Entra, удовлетворяющих требованиям PCI, см. в статье Information Supplement: Multi-Factor Authentication.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
8.3.1 Доступ всех пользователей к системным компонентам для пользователей и администраторов проходит проверку подлинности по крайней мере одним из следующих факторов проверки подлинности: то, что вы знаете, например пароль или парольную фразу. Что-то, что у вас есть, например токен-устройство или смарт-карта. То, что вы являетесь, например биометрический элемент. |
Microsoft Entra ID требует, чтобы методы без пароля соответствовали требованиям PCI См. комплексное развертывание без пароля. Планирование внедрения аутентификации без паролей в Microsoft Entra ID |
| 8.3.2 Сильная криптография используется для отображения всех факторов проверки подлинности, нечитаемых во время передачи и хранения во всех системных компонентах. | Криптография, используемая Microsoft Entra ID, соответствует определению PCI строгой криптографии. рекомендации по защите данных Microsoft Entra |
| 8.3.3 Удостоверение пользователя проверяется перед изменением любого фактора проверки подлинности. | Microsoft Entra ID требует, чтобы пользователи прошли проверку подлинности для обновления методов проверки подлинности с помощью самообслуживания, например портала mysecurityinfo и портала самостоятельного сброса пароля (SSPR).
Настройка информации безопасности со страницы входа Общая политика условного доступа: обеспечение безопасности при регистрации информации безопасности Microsoft Entra самостоятельный сброс пароля Администраторы с привилегированными ролями могут изменять факторы проверки подлинности: Глобальный, Пароль, Пользователь, Проверка подлинности и привилегированная проверка подлинности. Наименее привилегированные роли по задачам в Microsoft Entra ID. Корпорация Майкрософт рекомендует включить JIT-доступ и управление для привилегированного доступа с помощью Microsoft Entra Privileged Identity Management |
|
8.3.4 Недопустимые попытки проверки подлинности ограничены : блокировка идентификатора пользователя после не более 10 попыток. Установка продолжительности блокировки не менее 30 минут или до подтверждения удостоверения пользователя. |
Разверните Windows Hello for Business для устройств Windows, поддерживающих аппаратные модули доверенной платформы (TPM) 2.0 или более поздней версии.
Для Windows Hello for Business блокировка связана с устройством. Жест, ПИН-код или биометрические данные разблокируют доступ к локальному доверенному платформенному модулю. Администраторы настраивают поведение блокировки с помощью GPO-политик или политик Intune. Параметры групповой политики TPM Управляйте Windows Hello для бизнеса на устройствах во время их регистрации в Intune Основы TPM Windows Hello для бизнеса работает для проверки подлинности на месте в Active Directory и с облачными ресурсами в Microsoft Entra ID. Для ключей безопасности FIDO2 защита от взлома методом перебора связана с самим ключом. Жест, ПИН-код или биометрические данные разблокирует доступ к локальному хранилищу ключей. Администраторы настраивают Microsoft Entra ID, чтобы разрешить регистрацию ключей безопасности FIDO2 от производителей, которые соответствуют требованиям PCI. Включите вход без пароля с помощью ключа безопасности Microsoft Authenticator App Для предотвращения атак методом подбора при входе без пароля с помощью Microsoft Authenticator включите сопоставление чисел и более подробный контекст. Microsoft Entra ID создает случайное число в потоке проверки подлинности. Пользователь вводит его в приложение authenticator. В запросе проверки подлинности мобильного приложения отображаются расположение, IP-адрес запроса и приложение запроса. Как использовать сопоставление чисел в уведомлениях MFA Как использовать дополнительный контекст в уведомлениях Microsoft Authenticator |
|
8.3.5 Если пароли и парольные фразы используются в качестве факторов проверки подлинности для соответствия требованиям 8.3.1, они задаются и сбрасываются для каждого пользователя следующим образом: задаются уникальным значением для первого использования и при каждом сбросе. Необходимо изменить сразу после первого использования. |
Неприменимо к Microsoft Entra ID. |
|
8.3.6 Если пароли и парольные фразы используются в качестве факторов проверки подлинности для соответствия требованиям 8.3.1, они соответствуют следующему минимальному уровню сложности: минимальная длина 12 символов (или если система не поддерживает 12 символов, минимальная длина восьми символов). Содержит числовые и алфавитные символы. |
Неприменимо к Microsoft Entra ID. |
| 8.3.7 Частные лица не могут отправлять новый пароль или парольную фразу, которая совпадает с любым из последних четырех паролей или парольных фраз. | Неприменимо к Microsoft Entra ID. |
|
Политики и процедуры проверки подлинности 8.3.8 документируются и передаются всем пользователям, включая руководство по выбору надежных факторов проверки подлинности. Руководство по защите факторов проверки подлинности пользователей. Инструкции не следует повторно использовать ранее используемые пароли или парольные фразы. Инструкции по изменению паролей или парольных фраз, если есть какие-либо подозрения или знания о том, что парольная фраза была скомпрометирована и как сообщить об инциденте. |
Задокументируйте политики и процедуры, а затем доведите до пользователей в соответствии с этим требованием. Корпорация Майкрософт предоставляет настраиваемые шаблоны в Центре загрузки. |
|
8.3.9. Если пароли и парольные фразы используются в качестве единственного фактора проверки подлинности для доступа пользователей (то есть в любой реализации однофакторной проверки подлинности), то либо: пароли и парольные фразы изменяются по крайней мере один раз в 90 дней, или состояние безопасности учетных записей динамически анализируется, а доступ к ресурсам в режиме реального времени определяется автоматически. |
Неприменимо к Microsoft Entra ID. |
|
8.3.10Дополнительное требование только для поставщиков услуг. Если пароли и парольные фразы используются в качестве единственного фактора проверки подлинности для доступа пользователей клиента к данным заполнителей карт (то есть в любой реализации однофакторной проверки подлинности), то рекомендации предоставляются пользователям клиента, включая: руководство по изменению паролей и парольных фраз пользователей. Руководство о том, когда и при каких обстоятельствах следует изменять пароли и парольные фразы. |
Неприменимо к Microsoft Entra ID. |
|
8.3.10.1 Дополнительное требование только для поставщиков услуг. Если пароли и парольные фразы используются в качестве единственного фактора проверки подлинности для доступа пользователей клиента (то есть в любой реализации однофакторной проверки подлинности), то либо: пароли и парольные фразы изменяются по крайней мере один раз каждые 90 дней, или состояние безопасности учетных записей динамически анализируется, а доступ к ресурсам в режиме реального времени определяется автоматически. |
Неприменимо к Microsoft Entra ID. |
|
8.3.11 , где используются такие факторы проверки подлинности, как физические или логические маркеры безопасности, смарт-карты или сертификаты: факторы назначаются отдельному пользователю, а не совместно используются несколькими пользователями. Физические и (или) логические элементы управления гарантируют, что только предполагаемый пользователь может использовать этот фактор для получения доступа. |
Используйте методы проверки подлинности без пароля, такие как Windows Hello for Business, ключи безопасности FIDO2 и Microsoft Authenticator приложения для входа на телефон. Используйте смарт-карты на основе открытых или закрытых ключей, связанных с пользователями, чтобы предотвратить повторное использование. |
8.4 Многофакторная проверка подлинности (MFA) реализована для защиты доступа к среде данных заполнителей карт (CDE)
| Требования к определенному подходу PCI-DSS | Microsoft Entra руководство и рекомендации |
|---|---|
| 8.4.1 MFA реализуется для всех неконсолейных доступа к CDE для персонала с административным доступом. | Используйте условный доступ, чтобы требовать строгой проверки подлинности для доступа к ресурсам CDE. Определите политики для нацеливания на административную роль или группу безопасности, представляющую административный доступ к приложению.
Для административного доступа используйте Microsoft Entra Privileged Identity Management (PIM), чтобы включить JIT-активацию привилегированных ролей. Что такое условный доступ? Шаблоны условного доступа Начните использовать PIM |
| 8.4.2 MFA реализуется для всех доступов к CDE. | Блокировать доступ к устаревшим протоколам, которые не поддерживают строгой проверки подлинности. Блокируйте устаревшую проверку подлинности с Microsoft Entra ID с условным доступом |
|
8.4.3 MFA реализуется для всех удаленных сетевых доступа, исходящих извне сети сущности, которая может получить доступ к CDE или повлиять на нее следующим образом: все удаленные доступы всех сотрудников, как пользователей, так и администраторов, исходящих извне сети сущности. Весь удаленный доступ третьих сторон и поставщиков. |
Интеграция технологий доступа, таких как виртуальная частная сеть (VPN), удаленный рабочий стол и точки доступа к сети, с Microsoft Entra ID для проверки подлинности и авторизации. Используйте условный доступ, чтобы требовать строгой проверки подлинности для доступа к приложениям удаленного доступа. Шаблоны условного доступа |
Системы многофакторной проверки подлинности (MFA) 8.5 настроены для предотвращения неправильного использования.
| Требования к определенному подходу PCI-DSS | Microsoft Entra руководство и рекомендации |
|---|---|
|
Системы MFA 8.5.1 реализуются следующим образом: система MFA не подвержена атакам воспроизведения. Системы MFA не могут быть обойдены любыми пользователями, включая административных, если специально не задокументированы и исключительно с разрешения руководства на ограниченный период времени. Используются по крайней мере два разных типа факторов проверки подлинности. Перед предоставлением доступа требуется успешность всех факторов проверки подлинности. |
Рекомендуемые методы аутентификации Microsoft Entra используют одноразовые коды или вызовы. Эти методы сопротивляются атакам воспроизведения, так как Microsoft Entra ID обнаруживает повторяемые транзакции проверки подлинности.
Windows Hello for Business, FIDO2 и приложение Microsoft Authenticator для входа в телефон без пароля используют nonce для идентификации запроса и обнаружения попыток повторной отправки. Используйте учетные данные без пароля для пользователей в CDE. Проверка подлинности на основе сертификатов использует проблемы для обнаружения попыток воспроизведения. Аутентификатор NIST уровня гарантии подлинности 2 с использованием Microsoft Entra ID Аутентификатор NIST уровня гарантии подлинности 3 с использованием Microsoft Entra ID |
8.6 Использование учетных записей приложений и системных учетных записей и связанных факторов проверки подлинности строго управляется.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
8.6.1 . Если учетные записи, используемые системами или приложениями, могут использоваться для интерактивного входа, они управляются следующим образом: интерактивное использование запрещается, если это не требуется для исключительных обстоятельств. Интерактивное использование ограничено временем, необходимым для исключительных обстоятельств. Бизнес-обоснование для интерактивного использования задокументировано. Интерактивное использование явно одобрено управлением. Удостоверение пользователя подтверждается перед предоставлением доступа к учетной записи. Каждое действие связано с отдельным пользователем. |
Для приложений CDE с использованием современной проверки подлинности и для ресурсов CDE, развернутых в Azure, также использующих современную аутентификацию, Microsoft Entra ID предоставляет два типа учетных записей служб для приложений: управляемые удостоверения и субъектов-служб.
Узнайте об управлении учетными записями сервисов Microsoft Entra: планирование, подготовка, жизненный цикл, мониторинг, проверки доступа и т. д. Управление учетными записями сервисов Microsoft Entra Для обеспечения безопасности учетных записей сервисов Microsoft Entra. Защита управляемых удостоверений в Microsoft Entra ID Защита объектов-службы в Microsoft Entra ID для CDE с ресурсами за пределами Azure, для которых требуется доступ, настройте федерации удостоверений рабочей нагрузки без управления секретами или интерактивного входа. Workload identity federation Для включения процессов утверждения и отслеживания для выполнения требований, оркестрации рабочих процессов с помощью управления ИТ-службами (ITSM) и баз данных управления конфигурацией (CMDB) эти средства используют MS Graph API для взаимодействия с Microsoft Entra ID и управления учетной записью службы. Для CDE, для которых требуются учетные записи служб, совместимые с on-premises Active Directory, используйте групповые управляемые учетные записи служб (GMSA), автономные управляемые учетные записи служб (sMSA), учетные записи компьютеров или учетные записи пользователей. Защита локальных учетных записей служб |
| 8.6.2 Пароли/фразы паролей для любых учетных записей приложений и системных учетных записей, которые можно использовать для интерактивного входа, не прописываются жестко в скриптах, файлах конфигурации, свойствах, а также в специально разработанном исходном коде. | Используйте современные учетные записи служб, такие как Azure Управляемые удостоверения и сервисные принципалы, которые не требуют паролей.
Учётные данные управляемых удостоверений Microsoft Entra подготавливаются и обновляются в облаке, что предотвращает использование общих данных, таких как пароли и фразовые пароли. При использовании системно назначаемых управляемых идентичностей жизненный цикл привязан к жизненному циклу соответствующего ресурса Azure. Используйте субъекты-службы для применения сертификатов в качестве учетных данных, что предотвращает использование общих секретов, таких как пароли и парольные фразы. Если сертификаты нецелесообразны, используйте Azure Key Vault для хранения секретов клиента служебного принципала. Наилучшие практики для использования Azure Key Vault. Для CDE с ресурсами за пределами Azure, которым требуется доступ, настройте федерации удостоверений рабочей нагрузки без управления секретами или интерактивного входа. Федерация удостоверений для рабочих нагрузок Развертывание условного доступа для удостоверений рабочих нагрузок с целью управления авторизацией на основе расположения и/или уровня риска. Условный доступ для удостоверений рабочей нагрузки В дополнение к предыдущему руководству используйте инструменты анализа кода для обнаружения жестко закодированных секретов в коде и файлах конфигурации. Обнаружение открытых секретов в правилах безопасности кода |
|
8.6.3 Пароли и парольные фразы для любых учетных записей приложений и систем защищены от неправильного использования следующим образом: пароли и парольные фразы периодически изменяются (на частоте, определенной в целевом анализе рисков сущности, которая выполняется в соответствии со всеми элементами, указанными в требовании 12.3.1), а также при подозрении или подтверждении компрометации. Пароли и парольные фразы создаются с достаточной сложностью, соответствующей частоте изменения сущности паролей или парольной фразы. |
Используйте современные учетные записи служб, такие как управляемые удостоверения Azure и принципы обслуживания, которые не требуют паролей.
Для исключений, для которых требуются субъекты-службы с секретами, абстрактный жизненный цикл секретов с рабочими процессами и автоматизацией, который задает случайные пароли для субъектов-служб, регулярно поворачивает их и реагирует на события риска. Группы операций безопасности могут просматривать и исправлять отчеты, созданные Microsoft Entra, такие как рискованные идентификаторы рабочих нагрузок. Защита удостоверений рабочих нагрузок с помощью Microsoft Entra ID Protection |
Следующие шаги
требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.
- Руководство по Microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7. Ограничение доступа к системным компонентам и данным держателей карт по принципу необходимости для ведения бизнеса
- Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам (здесь)
- Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- руководство по многофакторной аутентификации Microsoft Entra PCI-DSS