Devices with critical credentials should be protected by Credential Guard.
Proč na tom záleží
Krádež přihlašovacích údajů patří mezi hlavní útočné vektory, přičemž útočníci často cílí na přihlašovací údaje uložené v paměti, jako jsou NTLM hashe a Kerberos tickety. Bez Credential Guard jsou kritické přihlašovací údaje uložené v paměti procesu Local Security Authority (LSA) zranitelné vůči extrakci prostřednictvím útoků pass-the-hash nebo pass-the-ticket. Ochrana zařízení pomocí Credential Guard výrazně snižuje útočnou plochu tím, že izoluje tajné údaje ve virtualizovaném prostředí.
Co Aether365 kontroluje
Tato kontrola ověřuje, zda jsou zařízení uchovávající kritické přihlašovací údaje ve vašem prostředí Microsoft 365 povolena pomocí Credential Guard. Zobrazuje se na řídicím panelu Aether365 v rámci kontrol microsoft-365.
Jak opravit
- Zajistěte, aby vaše zařízení splňovala minimální hardwarové požadavky: UEFI Secure Boot, podpora Virtualization-Based Security (VBS) a TPM 2.0.
- Povolte Credential Guard prostřednictvím skupinové politiky: Přejděte na Computer Configuration > Administrative Templates > System > Device Guard > "Turn On Virtualization Based Security."
- Nastavte možnost politiky na "Enabled with UEFI lock" a vyberte "Credential Guard" v části "Select Platform Security Level."
- Alternativně nakonfigurujte nastavení pomocí následujícího PowerShell příkazu na každém zařízení:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Alla poté povolte VBS. - Restartujte zařízení, aby se nová konfigurace uplatnila, a ověřte, zda je Credential Guard spuštěn pomocí příkazu
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Shoda s předpisy
- Ostatní: Není propojeno s konkrétním rámcem shody (CIS, EIDSCA, CISA)