Devices should not share both critical and non-critical user credentials.
Warum das wichtig ist
Wenn auf Geräten sowohl kritische (privilegierte Administrator-) als auch nicht kritische Benutzeranmeldeinformationen gespeichert werden, kann die Kompromittierung des nicht kritischen Kontos als Sprungbrett zu wertvolleren Zielen dienen. Diese Praxis vergrößert die Angriffsfläche und erleichtert Angreifern die laterale Bewegung. Die Trennung von Anmeldeinformationstypen ist eine grundlegende Sicherheitsgrenze, die dazu beiträgt, Sicherheitsverletzungen einzudämmen und sensible Systeme zu schützen.
Was Aether365 prüft
Diese Prüfung durchsucht Ihren Microsoft 365 Mandanten, um Geräte zu identifizieren, auf denen kritische und nicht kritische Benutzeranmeldeinformationen gemeinsam ohne Trennung gespeichert werden. Sie wird im Aether365 Dashboard unter microsoft-365 Prüfungen mit mittlerem Schweregrad angezeigt.
So beheben Sie das Problem
- Überprüfen Sie die Geräte in Ihrer Umgebung, die sowohl kritische (Administrator-) als auch nicht kritische (Standardbenutzer-) Funktionen erfüllen.
- Identifizieren Sie die spezifischen Konten mit kritischen Berechtigungen, die auf Mehrzweckgeräten angemeldet oder zwischengespeichert sind.
- Entfernen Sie zwischengespeicherte Anmeldeinformationen für kritische Konten von Geräten, die auch nicht kritische Aufgaben ausführen. Verwenden Sie unter Windows den Credential Manager oder
cmdkey /listzum Anzeigen undcmdkey /deletezum Entfernen bestimmter Anmeldeinformationen. - Konfigurieren Sie das Gerät neu, sodass kritische Konten nur von dedizierten, gesicherten Arbeitsstationen oder über privilegierte Zugriffsarbeitsstationen (PAWs) verwendet werden.
- Erzwingen Sie für Azure AD verbundene Geräte Conditional Access Richtlinien, die nicht konformen Geräten den Zugriff auf kritische Ressourcen blockieren.
Compliance
- Im Quelldaten wurde keine spezifische Framework-Zuordnung bereitgestellt
Verwandte Ressourcen
- Im Quelldaten wurden keine Referenzen bereitgestellt