Devices with critical credentials should be protected by Credential Guard.
Miks see on oluline
Identiteedivaramuste vargus on juhtiv ründevektor, kus ründajad sihivad sageli mälupõhiseid identiteedivaramusi nagu NTLM räsid ja Kerberose piletid. Ilma identiteedivaramuste kaitseta on Local Security Authority (LSA) protsessimälus salvestatud kriitilised identiteedivaramused haavatavad pass-the-hash või pass-the-ticket rünnete kaudu eraldamisele. Seadmete kaitsmine identiteedivaramuste kaitsega vähendab oluliselt ründepinda, isoleerides saladused virtualiseeritud keskkonnas.
Mida Aether365 kontrollib
See kontroll veendub, et teie Microsoft 365 keskkonnas kriitilisi identiteedivaramusi omavatel seadmetel on identiteedivaramuste kaitse lubatud. See kuvatakse Aether365 töölaual mikrollase microsoft-365 kontrollide all.
Kuidas parandada
- Veenduge, et teie seadmed vastavad minimaalsele riistvaranõudele: UEFI Secure Boot, Virtualization-Based Security (VBS) tugi ja TPM 2.0.
- Lubage identiteedivaramuste kaitse rühmapoliitika kaudu: navigeerige jaotisse Computer Configuration > Administrative Templates > System > Device Guard > "Turn On Virtualization Based Security."
- Seadistage poliitika valikuks "Enabled with UEFI lock" ja valige "Credential Guard" jaotises "Select Platform Security Level."
- Teise võimalusena konfigureerige seade igas seadmes järgmise PowerShell käsuga:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All, millele järgneb VBS-i lubamine. - Taaskäivitage seade uue konfiguratsiooni jõustamiseks ja veenduge, et identiteedivaramuste kaitse töötab, kasutades käsku
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Vastavus
- Muu: Ei ole seotud konkreetse vastavusraamistikuga (CIS, EIDSCA, CISA)