Configurar os controles de IA (Identificação e Autenticação) do Nível 2 da CMMC

O Microsoft Entra ID ajuda você a atender aos requisitos de prática relacionados à identidade em cada nível da CMMC (Certificação de Modelo de Maturidade de Segurança Cibernética). A conclusão de outras configurações ou processos para estar em conformidade com os requisitos do CMMC V2.0 nível 2 é responsabilidade das empresas que realizam o trabalho com o Departamento de Defesa dos EUA (DoD) e em nome dele.

O Nível 2 da CMMC possui 13 domínios com uma ou mais práticas relacionadas à identidade. Os domínios são:

  • Controle de Acesso (AC)
  • Auditoria e responsabilidade (AU)
  • Gerenciamento de Configuração (CM)
  • Identificação e autenticação (IA)
  • IR (Resposta a Incidentes)
  • Manutenção (MA)
  • Proteção de mídia (MP)
  • Segurança de pessoal (PS)
  • Proteção física (PE)
  • Avaliação de risco (RA)
  • Avaliação de segurança (CA)
  • Proteção do sistema e das comunicações (SC)
  • Integridade do sistema e das informações (SI)

O restante deste artigo fornece diretrizes para o domínio de IA (Identificação e Autorização). Há uma tabela com os links para o conteúdo que fornece diretrizes passo a passo para realizar a prática.

Identificação e autenticação

A tabela a seguir fornece uma lista de objetivos e instruções práticas, bem como diretrizes e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.

Instrução prática e objetivos do CMMC Orientações e recomendações do Microsoft Entra
IA.L2-3.5.3

Instrução de prática: use a autenticação multifator para acesso local e de rede a contas com privilégios e para acesso pela rede a contas sem privilégios.

Objetivos:
Determinar se:
[a.] contas privilegiadas estão identificadas;
[b.] a autenticação multifator está implementada para acesso local a contas privilegiadas;
[c.] a autenticação multifator está implementada para acesso de rede a contas privilegiadas; e
[d.] a autenticação multifator está implementada para acesso de rede a contas não privilegiadas.
Os seguintes itens são definições dos termos usados para esta área de controle:
  • Acesso Local: acesso a um sistema de informações organizacionais por um usuário (ou processo atuando em nome de um usuário) comunicando-se por meio de uma conexão direta sem o uso de uma rede.
  • Acesso à rede: acesso a um sistema de informações por um usuário (ou um processo que atua em nome de um usuário) comunicando-se por meio de uma rede (por exemplo, rede de área local, rede de ampla área, Internet).
  • Usuário privilegiado: um usuário autorizado (e, portanto, confiável) a executar funções relevantes de segurança que os usuários comuns não estão autorizados a executar.

    O detalhamento do requisito anterior significa:
  • Todos os usuários precisam de MFA para acesso à rede/remota.
  • Somente usuários privilegiados precisam de MFA para acesso local. Se as contas de usuário regulares tiverem direitos administrativos somente em seus computadores, elas não serão uma "conta privilegiada" e não precisam da MFA para acesso local.

    Você é responsável por configurar o Acesso Condicional para exigir autenticação multifator. Habilite Microsoft Entra métodos de autenticação que atendam à AAL2 e superior.
    Conceder controles na política de Acesso Condicional
    Atingir níveis de garantia do autenticador NIST com o Microsoft Entra ID
    Métodos e recursos de autenticação
  • IA.L2-3.5.4

    Instrução de prática: empregar mecanismos de autenticação resistentes à reprodução para acesso à rede a contas privilegiadas e não privilegiadas.

    Objetivos:
    Determinar se:
    [a.] mecanismos de autenticação resistentes à reprodução são implementados para acesso à rede a contas privilegiadas e não privilegiadas.
    Todos os métodos de Autenticação do Microsoft Entra na AAL2 e superiores são resistentes à reprodução.
    Atingir níveis de garantia do autenticador NIST com o Microsoft Entra ID
    IA.L2-3.5.5

    Instrução de prática: impedir a reutilização de identificadores por um período definido.

    Objetivos:
    Determinar se:
    [a.] um período no qual identificadores não podem ser reutilizados é definido; e
    [b.] a reutilização de identificadores é impedida dentro do período definido.
    Todos os GUIDs (identificadores exclusivos globalmente) de usuário, grupo e objeto de dispositivo são garantidos como exclusivos e não reutilizáveis durante o tempo de vida do locatário do Microsoft Entra.
    tipo de recurso de usuário – Microsoft Graph v1.0
    tipo de recurso de grupo – Microsoft Graph v1.0
    tipo de recurso de dispositivo – Microsoft Graph v1.0
    IA.L2-3.5.6

    Instrução de prática: desabilitar os identificadores após um período de inatividade definido.

    Objetivos:
    Determinar se:
    [a.] um período de inatividade após o qual um identificador é desabilitado é definido; e
    [b.] os identificadores são desabilitados após o período definido de inatividade.
    Implemente a automação de gerenciamento de contas com o Microsoft Graph e o SDK do PowerShell do Microsoft Graph. Use o Microsoft Graph para monitorar a atividade de entrada e o SDK do PowerShell do Microsoft Graph para realizar uma ação em contas dentro do período solicitado.

    Determinar inatividade
    Gerenciar contas de usuário inativas no ID do Microsoft Entra
    Gerenciar dispositivos obsoletos no Microsoft Entra ID

    Remover ou desabilitar contas
    Trabalhar com usuários no Microsoft Graph
    Obter um usuário
    Atualizar usuário
    Excluir um usuário

    Trabalhar com dispositivos no Microsoft Graph
    Obter dispositivo
    Atualizar dispositivo
    Excluir dispositivo

    Usar o SDK do PowerShell do Microsoft Graph
    Get-MgUser
    Update-MgUser
    Get-MgDevice
    Update-MgDevice
    IA.L2-3.5.7

    Instrução de prática:

    Objetivos: impor uma complexidade mínima de senha e uma alteração de caracteres quando senhas são criadas.
    Determine se:
    [a.] requisitos de complexidade de senha são definidos;
    [b.] a alteração de senha dos requisitos de caracteres é definida;
    [c.] os requisitos mínimos de complexidade de senha, conforme definidos, são impostos quando senhas são criadas; e
    [d.] os requisitos mínimos de alteração de caracteres da senha, conforme definidos, são impostos quando senhas são criadas.

    IA.L2-3.5.8

    Instrução de prática: proibir a reutilização de senhas por um número especificado de gerações.

    Objetivos:
    Determinar se:
    [a.] o número de gerações durante as quais uma senha não pode ser reutilizado é especificado; e
    [b.] a reutilização de senhas é proibida durante o número especificado de gerações.
    Nós incentivamos as estratégias sem senha. Esse controle é aplicável somente a autenticadores de senha; portanto, a remoção de senhas como um autenticador disponível torna esse controle não aplicável.

    De acordo com o NIST SP 800-63 B Seção 5.1.1: mantenha uma lista de senhas comumente usadas, esperadas ou comprometidas.

    Com a proteção de senha do Microsoft Entra, as listas globais padrão de senhas banidas são automaticamente aplicadas a todos os usuários em um locatário do Microsoft Entra. Para dar suporte as necessidades de negócios e de segurança, você pode definir entradas em uma lista personalizada de senhas banidas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas banidas são verificadas para impor o uso de senhas fortes.
    Para clientes que exigem alteração estrita de caracteres de senha, os requisitos de reutilização e complexidade de senha usam contas híbridas configuradas com Password-Hash-Sync. Essa ação garante que as senhas sincronizadas para o Microsoft Entra ID herdem as restrições configuradas nas políticas de senha do Active Directory. Proteja ainda mais as senhas locais configurando a Proteção de Senha do Microsoft Entra local para Active Directory Domain Services.
    Publicação especial do NIST 800-63 B
    Publicação especial do NIST 800-53 Revisão 5 (IA-5 – Aprimoramento de controle (1)
    Elimine senhas incorretas usando a proteção por senha do Microsoft Entra
    O que é a sincronização de hash de senha com a ID do Microsoft Entra?
    IA.L2-3.5.9

    Instrução de prática: permitir o uso temporário de senha para logons do sistema com uma alteração imediata para uma senha permanente.

    Objetivos:
    Determinar se:
    [a.] uma alteração imediata para uma senha permanente é necessária quando uma senha temporária é usada para logon no sistema.
    Uma senha inicial de usuário do Microsoft Entra é uma senha temporária de uso único que, uma vez usada com êxito, precisa ser alterada imediatamente para uma senha permanente. A Microsoft incentiva a adoção de métodos de autenticação sem senha. Os usuários podem inicializar métodos de autenticação sem senha usando o TAP (Senha de Acesso Temporária). A TAP é um senha limitada de tempo e uso, emitida por um administrador que atende aos requisitos de autenticação forte. O uso da autenticação sem senha juntamente com o tempo e o uso de TAP limitado elimina completamente o uso de senhas (e sua reutilização).
    Adicionar ou excluir usuários
    Configurar uma passagem de acesso temporária no Azure AD para registrar métodos de autenticação sem senha
    Autenticação sem senha
    IA.L2-3.5.10

    Instrução de prática: armazenar e transmitir apenas senhas protegidas criptograficamente.

    Objetivos:
    Determinar se:
    [a.] as senhas são protegidas criptograficamente no armazenamento; e
    [b.] as senhas são protegidas criptograficamente em trânsito.
    Criptografia de Segredo inativa:
    Além da criptografia em nível de disco, quando inativa, os segredos armazenados no diretório são criptografados usando o DKM (Distributed Key Manager). As chaves de criptografia são armazenadas no armazenamento principal do Microsoft Entra e, por sua vez, são criptografadas com uma chave de unidade de escala. A chave é armazenada em um contêiner protegido com ACLs de diretório, para usuários com privilégios mais altos e serviços específicos. A chave simétrica normalmente é girada a cada seis meses. O acesso ao ambiente é protegido ainda mais com controles operacionais e segurança física.

    Criptografia em Trânsito:
    Para garantir a segurança de dados, os dados de diretório em Microsoft Entra ID são assinados e criptografados em trânsito entre data centers em uma unidade de escala. Os dados são criptografados e descriptografados pela camada do Microsoft Entra Core Store, que reside em áreas seguras de hospedagem de servidores dos data centers associados da Microsoft.

    Os serviços Web voltados para o cliente são protegidos com o protocolo TLS (Transport Layer Security).
    Para obter mais informações, baixe Considerações sobre Proteção de Dados – Segurança de Dados. Na página 15, há mais detalhes.
    Desmistificando a sincronização de hash de senha (microsoft.com)
    Considerações sobre a segurança de dados do Microsoft Entra
    IA.L2-3.5.11

    Instrução de prática: comentários obscuros sobre informações de autenticação.

    Objetivos:
    Determinar se:
    [a.] informações de autenticação são obscurecidas durante o processo de autenticação.
    Por padrão, o ID do Microsoft Entra oculta todos os comentários do autenticador.

    Próximas etapas