NIST-Authentifikatorsicherheitsstufe 2 mit Microsoft Entra ID

Das National Institute of Standards and Technology (NIST) entwickelt die technischen Anforderungen für US-Bundesbehörden, die Identitätslösungen implementieren. Organisationen, die mit US-Bundesbehörden zusammenarbeiten, müssen diese Anforderungen erfüllen.

Bevor Sie versuchen, AAL2 (Authenticator Assurance Level 2) zu erfüllen, können Sie die folgenden Ressourcen konsultieren:

Zulässige AAL2-Authentifikatortypen

Die folgende Tabelle enthält Authentifikatortypen, die für AAL2 zulässig sind:

Microsoft Entra-Authentifizierungsmethode NIST-Authentifikatortyp
Empfohlene Methoden
Multi-Faktor-Softwarezertifikat (PIN-geschützt)
Windows Hello for Business mit softwaregestütztem TPM (Trusted Platform Module)
Multi-Factor-Kryptografiesoftware
Hardwaregeschütztes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM)
FIDO 2-Sicherheitsschlüssel
Windows Hello for Business mit Hardware-TPM
Multi-Factor-Kryptografiehardware
Microsoft Authenticator-App (kennwortlos) Multi-Faktor Out-of-band
Weitere Methoden
Passwort
UND
– Microsoft Authenticator-App (Pushbenachrichtigung)
- ODER
– Microsoft Authenticator Lite (Pushbenachrichtigung)
- ODER
– Telefon (SMS)
Gespeichertes Geheimnis
UND
Single-Factor Out-of-band
Passwort
UND
– OATH-Hardwaretoken (Vorschau)
- ODER
– Microsoft Authenticator-App (OTP)
- ODER
– Microsoft Authenticator Lite (OTP)
- ODER
Oath-Softwaretoken
Gespeichertes Geheimnis
UND
Single-Factor OTP
Passwort
UND
– Single-Factor-Softwarezertifikat
- ODER
– In Microsoft Entra eingebunden mit Software TPM
- ODER
– In Microsoft Entra hybrid eingebunden mit Software TPM
- ODER
– Kompatibles mobiles Gerät
Gespeichertes Geheimnis
UND
Single-Factor-Kryptografiesoftware
Passwort
UND
– In Microsoft Entra eingebunden mit Hardware TPM
- ODER
– In Microsoft Entra hybrid eingebunden mit Hardware TPM
Gespeichertes Geheimnis
UND
Single-Factor-Kryptografiehardware

Hinweis

Microsoft Authenticator ist heute an und für sich nicht phishing-resistent. Um sich bei der Verwendung von Microsoft Authenticator vor externen Phishingbedrohungen zu schützen, müssen Sie zusätzlich eine Richtlinie für bedingten Zugriff konfigurieren, für die ein verwaltetes Gerät erforderlich ist.

AAL2-Empfehlungen

Um AAL2 zu erfüllen, verwenden Sie Multi-Factor-Kryptografie-fähige hardware- oder softwaregestützte Authentifikatoren. Kennwortlose Authentifizierung beseitigt die größte Angriffsfläche (das Kennwort) und bietet Benutzern eine optimierte Methode zur Authentifizierung.

Einen Leitfaden zur Auswahl einer kennwortlosen Authentifizierungsmethode finden Sie unter Planen einer Bereitstellung mit kennwortloser Authentifizierung in Microsoft Entra ID. Weitere Informationen finden Sie auch in der Bereitstellungsanleitung für Windows Hello for Business

FIPS 140-Validierung

In den folgenden Abschnitten erfahren Sie mehr über die FIPS 140-Validierung.

Anforderungen an Überprüfer

Microsoft Entra ID verwendet für die kryptografischen Vorgänge zur Authentifizierung das gesamtvalidierte Kryptografiemodul Windows FIPS 140 Level 1 Overall. Es handelt sich daher um einen FIPS 140-konformen Prüfmechanismus, wie von US-Regierungsbehörden gefordert.

Anforderungen an Authentifikatoren

Die kryptografischen Authentifikatoren von US-Regierungsbehörden müssen gemäß Windows FIPS 140 Level 1 Overall validiert sein. Diese Anforderung gilt nicht für Institutionen, die keine US-Regierungsbehörden sind. Die folgenden Microsoft Entra-Authentifikatoren erfüllen die Anforderung, wenn sie unter Windows in einem gemäß FIPS 140 genehmigten Betriebsmodus ausgeführt werden:

  • Passwort

  • In Microsoft Entra eingebunden mit Software oder Hardware TPM

  • In Microsoft Entra hybrid eingebunden mit Software oder Hardware TPM

  • Windows Hello for Business mit Software- oder Hardware-TPM

  • In Software oder Hardware gespeichertes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM)

Die Microsoft Authenticator-App ist FIPS 140-konform für iOS und Android. Weitere Informationen zu den von Microsoft Authenticator verwendeten FIPS-validierten kryptografischen Modulen finden Sie hier. Siehe Microsoft Authenticator App

Für OATH-Hardwaretoken und Smartcards empfehlen wir Ihnen, sich bei Ihrem Anbieter über den aktuellen FIPS-Validierungsstatus zu informieren.

Anbieter von FIDO 2-Sicherheitsschlüsseln befinden sich in verschiedenen Phasen der FIPS-Zertifizierung. Es wird empfohlen, die Liste der unterstützten FIDO 2-Schlüsselanbieter zu überprüfen. Wenden Sie sich an Ihren Anbieter, um den aktuellen FIPS-Validierungsstatus zu erfahren.

Erneute Authentifizierung

Zum Erfüllen von AAL2 erfordert NIST alle 12 Stunden unabhängig von der Benutzeraktivität eine erneute Authentifizierung. Eine erneute Authentifizierung ist nach mindestens 30 Minuten Inaktivität erforderlich. Da das Sitzungsgeheimnis etwas ist, das Sie haben, ist es erforderlich, etwas zu präsentieren, das Sie wissen oder sind.

Um die Anforderung einer erneuten Authentifizierung unabhängig von der Benutzeraktivität zu erfüllen, empfiehlt Microsoft, die Anmeldehäufigkeit für Benutzer auf 12 Stunden festzulegen.

Gemäß NIST können Sie kompensierende Kontrollmechanismen verwenden, um die Anwesenheit von Teilnehmern zu bestätigen:

  • Legen Sie das Timeout bei Sitzungsinaktivität auf 30 Minuten fest: Sperren Sie das Gerät über Microsoft System Center Configuration Manager, Gruppenrichtlinienobjekte oder Intune auf Betriebssystemebene. Fordern Sie eine lokale Authentifizierung an, damit der Teilnehmer das Gerät entsperren kann.

  • Timeout unabhängig von der Aktivität: Führen Sie eine geplante Aufgabe (in Configuration Manager, Gruppenrichtlinienobjekt oder Intune) aus, um den Computer unabhängig von der Aktivität nach 12 Stunden zu sperren.

Man-in-the-Middle-Widerstand

Die Kommunikation zwischen Anforderer und Microsoft Entra ID erfolgt über einen authentifizierten, geschützten Kanal. Diese Konfiguration bietet Widerstandsfähigkeit gegen Man-in-the-Middle-Angriffe (MitM) und erfüllt die MitM-Widerstandsanforderungen für AAL1, AAL2 und AAL3.

Replay-Widerstand

Microsoft Entra-Authentifizierungsmethoden gemäß AAL2 verwenden Nonce oder Herausforderungen. Die Methoden sind widerstandsfähig gegen Replay-Angriffe, da der Prüfmechanismus wiederholte Authentifizierungstransaktionen leicht erkennt. Solche Transaktionen enthalten nicht die erforderlichen Nonce- oder Aktualitätsdaten.

Nächste Schritte

NIST-Übersicht

Weitere Informationen zu AALs

Authentifizierungsszenarien für Azure AD

NIST-Authentifikatortypen

Erzielen der NIST-Authentifikator-Sicherheitsstufe 1 (AAL1) mit Microsoft Entra ID

Erzielen der NIST-Authentifikator-Sicherheitsstufe 2 (AAL2) mit Microsoft Entra ID

Erzielen der NIST-Authentifikator-Sicherheitsstufe 3 (AAL3) mit Microsoft Entra ID