Devices should not share both critical and non-critical user credentials.

Защо това е важно

Когато устройствата съхраняват както критични (администраторски), така и некритични потребителски идентификационни данни, компрометирането на некритичния акаунт може да послужи като трамплин към по-ценни цели. Тази практика увеличава повърхността за атаки и улеснява страничното придвижване на нападателите. Разделянето на типовете идентификационни данни е фундаментална защитна граница, която помага за ограничаване на пробивите и защита на чувствителни системи.

Какво проверява Aether365

Тази проверка сканира вашия Microsoft 365 клиент, за да идентифицира устройства, на които критичните и некритичните потребителски идентификационни данни се съхраняват заедно, без разделение. Тя се появява в таблото Aether365 под microsoft-365 проверки, отбелязани със средна тежест.

Как да коригирате

1. Прегледайте устройствата във вашата среда, които обслужват както критични (административни), така и некритични (стандартни потребителски) функции.
2. Идентифицирайте конкретните акаунти с критични привилегии, които са влезли или са кеширани на многоцелеви устройства.
3. Премахнете кешираните идентификационни данни за критични акаунти от устройства, които също обработват некритични задачи. В Windows използвайте диспечера на идентификационни данни (Credential Manager) или cmdkey /list за преглед и cmdkey /delete за премахване на конкретни идентификационни данни.
4. Преконфигурирайте устройството, така че критичните акаунти да се използват само от специални, защитени работни станции или чрез работни станции с привилегирован достъп (PAWs).
5. За устройства, присъединени към Azure AD, наложете политики за условен достъп, които блокират несъвместими устройства от достъп до критични ресурси.

Съответствие

• В изходните данни не е предоставено конкретно картографиране на рамка за съответствие

Свързани ресурси

• В изходните данни не са предоставени справки