Devices should not share both critical and non-critical user credentials.

Hvorfor dette er vigtigt

Når enheder gemmer både kritiske (privilegerede administrator-) og ikke-kritiske brugerlegitimationsoplysninger, kan et kompromis af den ikke-kritiske konto fungere som et springbræt til mål af højere værdi. Denne praksis øger angrebsoverfladen og gør lateral bevægelse lettere for angribere. Adskillelse af legitimationsoplysninstyper er en grundlæggende sikkerhedsgrænse, der hjælper med at begrænse brud og beskytte følsomme systemer.

Hvad Aether365 kontrollerer

Denne kontrol scanner din Microsoft 365-lejer for at identificere enheder, hvor kritiske og ikke-kritiske brugerlegitimationsoplysninger gemmes sammen uden adskillelse. Den vises på Aether365-dashboardet under microsoft-365-kontroller markeret med medium alvorlighed.

Sådan løser du det

1. Gennemgå enheder i dit miljø, der fungerer både som kritiske (administrative) og ikke-kritiske (standardbruger) enheder.
2. Identificer de specifikke konti med kritiske privilegier, der er logget ind eller cachet på multifunktionsenheder.
3. Fjern cachede legitimationsoplysninger for kritiske konti fra enheder, der også håndterer ikke-kritiske opgaver. På Windows skal du bruge Credential Manager eller cmdkey /list til at vise og cmdkey /delete til at fjerne specifikke legitimationsoplysninger.
4. Genkonfigurer enheden, så kritiske konti kun bruges fra dedikerede, sikre arbejdsstationer eller via privilegerede adgangsarbejdsstationer (PAW'er).
5. For Azure AD joined enheder skal du håndhæve Conditional Access-politikker, der blokerer ikke-kompatible enheder fra at få adgang til kritiske ressourcer.

Overholdelse

• Ingen specifik rammetilknytning angivet i kildedata

Relaterede ressourcer

• Ingen referencer angivet i kildedata