NIST Authenticator Assurance Level 3 mit Microsoft Entra ID

Nutzen Sie die Informationen in diesem Artikel zum Erfüllen von Authenticator Assurance Level 3 (AAL3) des National Institute of Standards and Technology (NIST).

Vor Erfüllen von AAL2 können Sie die folgenden Ressourcen konsultieren:

Zulässige Authentifikatortypen

Microsoft bietet Authentifizierungsmethoden, mit denen Sie die Anforderungen von NIST-Authentifikatortypen erfüllen können.

Microsoft Entra Authentifizierungsmethoden NIST-Authentifikatortyp
Empfohlene Methoden
Hardwaregeschütztes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM)
FIDO 2-Sicherheitsschlüssel
Windows Hello for Business mit Hardware-TPM
Platform Credentials für macOS
Multi-Factor-Kryptografiehardware
Weitere Methoden
Kennwort
AND
– In Microsoft Entra eingebunden mit Hardware TPM
- OR
- In Microsoft Entra hybrid eingebunden mit Hardware TPM
Gespeichertes Geheimnis
AND
Single-Factor-Kryptografiehardware
Kennwort
AND
OATH-Hardwaretoken (Vorschau)
AND
– Single-Factor-Softwarezertifikat
- OR
- in Microsoft Entra hybrid eingebundenes oder kompatibles Gerät mit Software-TPM
Gespeichertes Geheimnis
AND
Single-Factor-OTP-Hardware
AND
Single-Factor-Kryptografiesoftware

Empfehlungen

Für AAL3 wird die Verwendung eines Multi-Factor-Kryptografiehardwareauthentifikators empfohlen, der eine kennwortlose Authentifizierung bietet und die größte Angriffsfläche, das Kennwort, eliminiert.

Eine Anleitung finden Sie unter Planen einer kennwortlosen Authentifizierungsbereitstellung in Microsoft Entra ID. Weitere Informationen finden Sie auch in der Bereitstellungsanleitung für Windows Hello for Business.

FIPS 140-Validierung

Anforderungen an Überprüfer

Microsoft Entra ID nutzt für seine kryptografischen Vorgänge zur Authentifizierung das validierte kryptografische Modul „Windows FIPS 140 Level 1 Overall“, was Microsoft Entra ID zu einem konformen Prüfmechanismus macht.

Anforderungen an Authentifikatoren

Anforderungen an Single-Factor- und Multi-Factor-Kryptografiehardware-Authentifikatoren.

Single-Factor-Kryptografiehardware

Authentifikatoren müssen folgende Anforderungen erfüllen:

  • FIPS 140 Level 1 Overall oder höher

  • FIPS 140 Level 3 Physical Security oder höher

In Microsoft Entra eingebundene und in Microsoft Entra hybrid eingebundene Geräte erfüllen diese Anforderung in folgenden Fällen:

Befragen Sie Ihren Mobilgeräteanbieter nach seiner Konformität mit FIPS 140.

Multi-Factor-Kryptografiehardware

Authentifikatoren müssen folgende Anforderungen erfüllen:

  • FIPS 140 Level 2 Overall oder höher

  • FIPS 140 Level 3 Physical Security oder höher

FIDO 2-Sicherheitsschlüssel, Smartcards und Windows Hello for Business können Ihnen helfen, diese Anforderungen zu erfüllen.

  • FIDO 2-Schlüsselanbieter unterliegen der FIPS-Zertifizierung. Es wird empfohlen, die Liste der unterstützten FIDO 2-Schlüsselanbieter zu überprüfen. Wenden Sie sich an Ihren Anbieter, um den aktuellen FIPS-Validierungsstatus zu erfahren.

  • Smartcards sind eine bewährte Technologie. Mehrere Herstellerprodukte erfüllen FIPS-Anforderungen.

Windows Hello for Business

FIPS 140 setzt voraus, dass die kryptografische Grenze, einschließlich Software, Firmware und Hardware, im Evaluierungsumfang enthalten ist. Windows-Betriebssysteme können mit tausenden dieser Kombinationen gekoppelt werden. Daher ist es für Microsoft nicht möglich, Windows Hello for Business auf FIPS 140-Sicherheitsebene 2 überprüfen zu lassen. Bundeskunden sollten Risikobewertungen durchführen und jede der folgenden Komponentenzertifizierungen im Rahmen ihrer Risikoakzeptanz bewerten, bevor sie diesen Dienst als AAL3 annehmen:

  • Windows 10 und Windows Server verwenden das von der US-Regierung genehmigte Schutzprofil für universelle Betriebssysteme Version 4.2.1 der National Information Assurance Partnership (NIAP). Diese Organisation überwacht ein nationales Programm, mit dem handelsübliche IT-Produkte, sog. Commercial Off-The-Shelf- bzw. COTS-Produkte, auf Konformität mit den internationalen Common Criteria überprüft werden.

  • Windows Cryptographic Library enthält FIPS Level 1 Overall im NIST Cryptographic Module Validation Program (CMVP), einem gemeinsamen Projekt von NIST und dem Canadian Center for Cyber Security. Diese Organisation überprüft kryptografische Module anhand von FIPS-Standards.

  • Wählen Sie ein TPM (Trusted Platform Module), das FIPS 140 Level 2 Overall FIPS 140 Level3 Physical Security erfüllt. Ihre Organisation stellt sicher, dass das hardwaregestützte TPM die von Ihnen gewünschten Anforderungen auf AAL-Ebene erfüllt.

Um die TPMs zu ermitteln, die aktuellen Standards entsprechen, wechseln Sie zu NIST Computer Security Resource Center Cryptographic Module Validation Program. Geben Sie Trusted Platform Module in das Feld Module Name ein, um eine Liste hardwaregestützter TPMs anzuzeigen, die Standards entsprechen.

MacOS Platform SSO

FIPS 140 Sicherheitsstufe 2 ist mindestens für macOS 13 implementiert, die meisten neuen Geräte implementieren Stufe 3. Sie sollten sich die Apple Plattform-Zertifizierungen ansehen. Es ist wichtig, dass Sie die Sicherheitsstufe auf Ihrem Gerät kennen.

Erneute Authentifizierung

Für AAL3 erfordert NIST alle 12 Stunden unabhängig von der Benutzeraktivität eine erneute Authentifizierung. Eine erneute Authentifizierung ist nach mindestens 15 Minuten Inaktivität erforderlich. Beide Faktoren müssen vorgewiesen werden.

Um die Anforderung einer erneuten Authentifizierung unabhängig von der Benutzeraktivität zu erfüllen, empfiehlt Microsoft, die Anmeldehäufigkeit für Benutzer auf 12 Stunden festzulegen.

Mit NIST kann die Anwesenheit von Teilnehmern durch kompensierende Kontrollmechanismen bestätigt werden:

  • Legen Sie das Timeout für Sitzungsinaktivität auf 15 Minuten fest. Sperren Sie das Gerät auf Betriebssystemebene mit Microsoft Configuration Manager, einem Gruppenrichtlinienobjekt (GPO) oder Intune. Fordern Sie eine lokale Authentifizierung an, damit der Teilnehmer das Gerät entsperren kann.

  • Legen Sie das Timeout unabhängig von der Aktivität fest, indem Sie mit Configuration Manager, einem Gruppenrichtlinienobjekt oder Intune eine geplante Aufgabe ausführen. Sperren Sie den Computer unabhängig von der Aktivität nach 12 Stunden.

Man-in-the-Middle-Widerstand

Die Kommunikation zwischen dem Anfordernden und Microsoft Entra ID erfolgt zum Schutz vor Man-in-the-Middle-Angriffen (MitM) über einen authentifizierten geschützten Kanal. Diese Konfiguration erfüllt die MitM-Widerstandsanforderungen für AAL1, AAL2 und AAL3.

Widerstand gegen Identitätswechsel des Überprüfers

Microsoft Entra-Authentifizierungsmethoden, die AAL3 erfüllen, verwenden kryptografische Authentifikatoren, die die Authentifikatorausgabe an die zu authentifizierende Sitzung binden. Die Methoden verwenden einen privaten Schlüssel, der vom Antragsteller gesteuert wird. Der öffentliche Schlüssel ist dem Prüfmechanismus bekannt. Diese Konfiguration erfüllt die Anforderungen an den Identitätswechsel von Überprüfern für AAL3.

Widerstand gegen Kompromittierung von Überprüfern

Für alle Microsoft Entra-Authentifizierungsmethoden, die AAL3 erfüllen, gilt Folgendes:

  • Verwenden einen kryptografischen Authentifikator, der verlangt, dass der Prüfmechanismus einen öffentlichen Schlüssel speichert, der einem privaten Schlüssel entspricht, den der Authentifikator besitzt
  • Speichern die erwartete Authentifikatorausgabe mit FIPS-140-validierten Hashalgorithmen

Weitere Informationen finden Sie unter Überlegungen zur Sicherheit von Microsoft Entra-Daten.

Replay-Widerstand

Microsoft Entra-Authentifizierungsmethoden, die AAL3 erfüllen, verwenden Nonce oder Herausforderungen. Diese Methoden sind resistent gegen Replay-Angriffe, da der Prüfmechanismus wiederholte Authentifizierungstransaktionen erkennen kann. Solche Transaktionen enthalten nicht die erforderlichen Nonce- oder Aktualitätsdaten.

Authentifizierungsabsicht

Dadurch, dass die Authentifizierungsabsicht erforderlich ist, wird es schwieriger, direkt verbundene physische Authentifikatoren wie Multi-Factor-Kryptografiehardware ohne das Wissen der betroffenen Person zu verwenden (z. B. durch Malware am Endpunkt). Microsoft Entra-Methoden, die AAL3 erfüllen, erfordern die Eingabe einer PIN oder biometrischer Daten durch den Benutzer, um die Authentifizierungsabsicht zu beweisen.

Nächste Schritte

NIST-Übersicht

Weitere Informationen zu AALs

Authentifizierungsszenarien für Azure AD

NIST-Authentifikatortypen

Erzielen von NIST AAL1 mit Microsoft Entra ID

Erzielen von NIST AAL2 mit Microsoft Entra ID