本文詳細介紹了使用 Microsoft 身分識別平台 實現澳大利亞網絡安全中心 (ACSC) 基本八成熟度模型以進行多因素身份驗證的方法。
為什麼要遵循 ACSC Essential Eight 多重要素驗證指南?
MFA 是組織可以實施的最有效的控制措施之一,以防止對手存取裝置或網路並存取敏感資訊。 如果實施得當,MFA 可以使對手更難竊取合法憑證以在網路上進行進一步的惡意活動。 由於其有效性,MFA 是 ACSC 減輕網路安全事件策略中減輕 網路安全事件策略中的基本八項之一。
當敵人破壞網路時,他們經常嘗試竊取合法的使用者或管理憑證。 這些憑證使它們能夠輕鬆地在網路上傳播並進行惡意活動,而無需其他漏洞,從而降低被發現的可能性。 對手還試圖獲取遠程訪問解決方案的憑據,包括虛擬專用網絡 () VPN,因為這些訪問可以進一步掩蓋他們的活動並降低被檢測的可能性。
正確實作 MFA 時,對手更難竊取一組完整的認證。 多重要素驗證要求使用者證明他們具有第二個要素的實體存取權。 他們 (實體令牌、智慧卡、電話或軟體憑證) ,或 (生物辨識技術(例如指紋或虹膜掃描) )的東西。
驗證基本概念
用於多重要素驗證的 ACSC 基本八成熟度模型是根據美國國家標準與技術研究院 (NIST) 特別出版物 800-63 B 數位身分識別指南:驗證和生命週期管理 出版物。
下列文章說明多重要素驗證的概念,以及 NIST 驗證器類型如何對應至 Microsoft Entra 驗證方法。
驗證器類型
ACSC 解決了 基本八成熟度模型常見問題中有關多重要素驗證 (MFA) 的常見實作問題 中的驗證器類型。
- Windows Hello for Business 使用生物識別技術 (用戶) 的內容或 PIN (用戶知道) 的內容。 若要解除鎖定與裝置信任平台模組繫結的金鑰或憑證, (使用者) 的內容。 若要深入瞭解,請參閱 Windows Hello 企業版概觀。
有關 ACSC MFA 的其他參考資料是 基本八成熟度模型常見問題解答 ,請參閱 NIST SP800-63 B 數位身分識別指南:驗證和生命週期管理 出版物中的第 5.1.1 – 5.1.9 節。 這些部分提供有關驗證器型別的更多資訊。 這些類型可用於使用者知道的事物、使用者擁有的事物,以及使用者所擁有的事物,這些專案可以透過使用者知道或現在的事物來解除鎖定。 ACSC 在 實作多重要素驗證中提供了進一步的建議。
網路釣魚防護
符合成熟度層級 2 和 3 的所有 Microsoft Entra 驗證方法都會使用密碼編譯驗證器,將驗證器輸出系結至要驗證的特定會話。 他們使用由宣告者控制的私密金鑰來執行此繫結,驗證者知道公開金鑰。 這滿足成熟度等級 2 和 3 的網路釣魚防護要求。
根據 NIST 的規定,涉及手動輸入驗證器輸出的驗證器,例如帶外和一次性引腳) 驗證器 (OTP,不應被視為驗證器抵禦模擬。 原因是手動輸入不會將驗證器輸出繫結至正在驗證的特定會話。 在中間人攻擊中,冒名頂替驗證者可以將 OTP 驗證器輸出重播給驗證器並成功進行驗證。
結果是,任何未以加密方式驗證登入伺服器是否為其所說身份的驗證器都可能遭到網路釣魚。
允許的驗證器類型
每個成熟度層級允許的金鑰驗證器類型摘要。
身份驗證
在建立防網路釣魚的無密碼憑證時,身份驗證對於確保將憑證頒發給正確的個人至關重要。 如果沒有適當的身份驗證,組織在確認遠端使用者身分方面將面臨重大挑戰。
Microsoft Entra 驗證識別碼為此目的提供高保證解決方案。 透過與 身份驗證合作夥伴 (IDV) 合作,組織可以使用政府核發的身分證件來驗證新使用者的身分。 然後,IDV 會發出驗證識別碼,使用者將其呈現給組織以建立信任。
為了增強此過程,可以使用 Microsoft Entra 驗證識別碼進行臉部檢查。 這增加了一個臉部匹配層,確保受信任的使用者即時出示驗證識別碼,從而提供額外的安全等級。