Devices should not share both critical and non-critical user credentials.

Miksi tämä on tärkeää

Kun laitteet tallentavat sekä kriittisiä (pääkäyttäjän oikeuksilla toimivia) että vähemmän kriittisiä käyttäjätunnuksia, vähemmän kriittisen tilin vaarantuminen voi toimia ponnahduslautana arvokkaampiin kohteisiin. Tämä käytäntö lisää hyökkäyspintaa ja helpottaa hyökkääjien lateraalista liikkumista. Tunnustyyppien erottelu on keskeinen turvaraja, joka auttaa rajoittamaan tietomurtoja ja suojaamaan arkaluonteisia järjestelmiä.

Mitä Aether365 tarkistaa

Tämä tarkistus skannaa Microsoft 365 -vuokraajasi tunnistaakseen laitteet, joissa kriittiset ja vähemmän kriittiset käyttäjätunnukset on tallennettu yhdessä ilman erottelua. Se näkyy Aether365-hallintapaneelissa microsoft-365-tarkistusten alla, ja sen vakavuusaste on keskitaso.

Korjaaminen

1. Tarkista ympäristöstäsi laitteet, jotka palvelevat sekä kriittisiä (pääkäyttäjä) että vähemmän kriittisiä (peruskäyttäjä) toimintoja.
2. Tunnista ne tietyt tilit, joilla on kriittisiä oikeuksia ja jotka on kirjautuneena tai välimuistissa monikäyttölaitteilla.
3. Poista kriittisten tilien välimuistissa olevat tunnukset laitteilta, jotka käsittelevät myös vähemmän kriittisiä tehtäviä. Windowsissa voit tarkastella tunnuksia Credential Managerin tai cmdkey /list -komennon avulla ja poistaa tiettyjä tunnuksia cmdkey /delete -komennolla.
4. Konfiguroi laite uudelleen siten, että kriittisiä tilejä käytetään vain erillisiltä, suojatuilta työasemilta tai etuoikeutettujen käyttöoikeuksien työasemilta (PAW).
5. Azure AD:hen liitetyille laitteille pakota ehdollisen käyttöoikeuden käytännöt, jotka estävät yhteensopimattomien laitteiden pääsyn kriittisiin resursseihin.

Vaatimustenmukaisuus

• Lähdeaineistossa ei ole annettu tiettyä viitekehyskartoitusta

Liittyvät resurssit

• Lähdeaineistossa ei ole annettu viitteitä