Essential Eight 多重身份验证

本文详细介绍了使用 Microsoft 标识平台 实现澳大利亚网络安全中心 (ACSC) 基本八项成熟度模型的方法。

为什么要遵循 ACSC Essential 八项多重身份验证指南?

MFA 是组织可以实施的最有效控制措施之一,以防止攻击者访问设备或网络并访问敏感信息。 如果正确实施,MFA 会使攻击者更难窃取合法凭据,以在网络上执行进一步的恶意活动。 由于其有效性,MFA 是 ACSC 缓解网络安全事件策略到 缓解网络安全事件策略的八大基本策略之一。

攻击者在入侵网络时经常尝试窃取合法用户或管理凭据。 这些凭据允许他们在网络上轻松传播并执行恶意活动,而无需其他攻击,从而降低检测的可能性。 攻击者还会尝试获取远程访问解决方案的凭据,包括虚拟专用网络 (VPN) ,因为这些访问可以进一步屏蔽其活动并减少被检测到的可能性。

正确实现 MFA 后,攻击者更难窃取一组完整的凭据。 多重身份验证要求用户证明他们有权物理访问第二个因素。 他们 (物理令牌、智能卡、手机或软件证书) ,或者 (生物识别(如指纹或虹膜扫描) )。

身份验证基础知识

ACSC Essential 8 Maturity Model for multifactor authentication 基于美国国家标准与技术研究院 (NIST) 特别出版物 800-63 B 数字标识指南:身份验证和生命周期管理 出版物。

以下文章介绍了多重身份验证的概念,以及 NIST 验证器类型如何映射到Microsoft Entra身份验证方法。

验证器类型

ACSC 解决了 有关多重身份验证 (MFA) 的基本八种成熟度模型常见问题解答中的 验证器类型。

  • Windows Hello 企业版使用生物识别 (用户) 或 PIN (用户) 知道的内容。 解锁绑定到设备的受信任平台模块的密钥或证书 (用户) 。 若要了解详细信息,请参阅Windows Hello 企业版概述

ACSC 关于 MFA 的其他参考资料包括 基本八种成熟度模型常见问题解答 ,该常见问题解答参考 NIST SP800-63 B 数字标识指南:身份验证和生命周期管理 出版物中的第 5.1.1 - 5.1.9 节。 这些部分提供有关验证器类型的详细信息。 这些类型可用于用户知道的内容、用户拥有的内容和用户所知道的内容,这些类型可以使用用户知道或存在的内容进行解锁。 ACSC 提供了有关 实现多重身份验证的进一步建议。

网络钓鱼防护

满足成熟度级别 2 和 3 的所有Microsoft Entra身份验证方法都使用加密验证器,将验证器输出绑定到要进行身份验证的特定会话。 他们通过使用由验证者知道公钥的索赔者控制的私钥来执行此绑定。 这满足成熟度级别 2 和 3 的网络钓鱼防护要求。

根据 NIST,涉及手动输入验证器输出的验证器,如带外和 OTP (一次性引脚) 验证器,不应被视为验证器模拟。 原因是手动条目不会将验证器输出绑定到要进行身份验证的特定会话。 在中间人攻击中,冒充验证者可以将 OTP 验证器输出重播给验证程序并成功进行身份验证。

结果是,任何未以加密方式验证登录服务器是否是其所称身份的验证器都可能受到钓鱼。

允许的验证器类型

每个成熟度级别允许的密钥验证器类型的摘要。

每个成熟度级别的身份验证方法的比较。

身份验证

建立防钓鱼的无密码凭据时,身份验证对于确保向正确的个人颁发凭据至关重要。 如果没有适当的身份验证,组织在确认远程用户的标识方面面临重大挑战。

Microsoft Entra 验证 ID为此提供了高保障解决方案。 通过与 IDV) (身份验证合作伙伴 合作,组织可以使用政府颁发的 ID 验证新用户的身份。 然后,IDV 发出验证 ID,用户向组织提供该验证 ID以建立信任。

为了增强此过程,可以使用Microsoft Entra 验证 ID进行人脸检查。 这将添加面部匹配层,确保受信任的用户实时呈现验证 ID,从而提供额外的安全级别。

后续步骤