Devices should not share both critical and non-critical user credentials.

Miks see on oluline

Kui seadmed salvestavad nii kriitilisi (administraatoriõigustega) kui ka mittekriitilisi kasutajamandaate, võib mittekriitilise konto kompromiteerimine anda juurdepääsu kõrgema väärtusega sihtmärkidele. See praktika suurendab ründepinda ja hõlbustab ründajatel külgsuunas liikumist. Mandaatide tüüpide eraldamine on põhiline turvapiir, mis aitab piirata lekkeid ja kaitsta tundlikke süsteeme.

Mida Aether365 kontrollib

See kontroll skannib teie Microsoft 365 rentnikku, et tuvastada seadmeid, kus kriitilisi ja mittekriitilisi kasutajamandaate hoitakse koos eraldamata. See kuvatakse Aether365 armatuurlaual microsoft-365 kontrollide all, mis on märgitud keskmise raskusastmega.

Kuidas parandada

1. Vaadake üle oma keskkonnas olevad seadmed, mis täidavad nii kriitilisi (administraatori) kui ka mittekriitilisi (tavakasutaja) funktsioone.
2. Tuvastage konkreetsed kriitiliste õigustega kontod, mis on mitmeotstarbelistes seadmetes sisse logitud või vahemällu salvestatud.
3. Eemaldage kriitiliste kontode vahemällu salvestatud mandaadid seadmetest, mis tegelevad ka mittekriitiliste ülesannetega. Windowsis kasutage mandaadihaldurit (Credential Manager) või käsku cmdkey /list mandaatide vaatamiseks ja cmdkey /delete konkreetsete mandaatide eemaldamiseks.
4. Seadistage seade ümber nii, et kriitilisi kontosid kasutatakse ainult spetsiaalsetest, turvatud tööjaamadest või priviligeeritud juurdepääsuga tööjaamadest (PAWs).
5. Azure AD-ga ühendatud seadmete puhul rakendage tingimusliku juurdepääsu poliitikaid, mis blokeerivad mittevastavate seadmete juurdepääsu kriitilistele ressurssidele.

Vastavus

• Allikas ei sisalda konkreetset raamistiku vastendust

Seotud ressursid

• Allikas ei sisalda viiteid