Devices with critical credentials should be protected by Credential Guard.
Miksi Tämä on Tärkeää
Henkilötietojen varastaminen on johtava hyökkäysvektori, ja hyökkääjät kohdistavat usein muistipohjaisia tunnistetietoja, kuten NTLM-tiivisteitä ja Kerberos-lippuja. Ilman Credential Guard -suojausta Local Security Authority (LSA) -prosessimuistiin tallennetut kriittiset tunnistetiedot ovat haavoittuvia pass-the-hash- tai pass-the-ticket-hyökkäyksille. Credential Guard -suojauksen käyttöönotto laitteissa vähentää merkittävästi hyökkäyspintaa eristämällä salaisuudet virtualisoituun ympäristöön.
Mitä Aether365 Tarkistaa
Tämä tarkistus varmistaa, että laitteissa, jotka hallinnoivat kriittisiä tunnistetietoja Microsoft 365 -ympäristössäsi, on käytössä Credential Guard. Se näkyy Aether365-työpöydällä microsoft-365-tarkistusten alla.
Korjausohjeet
- Varmista, että laitteesi täyttävät vähimmäisvaatimukset: UEFI Secure Boot, Virtualization-Based Security (VBS) -tuki ja TPM 2.0.
- Ota Credential Guard käyttöön ryhmäkäytännön kautta: Siirry kohtaan Computer Configuration > Administrative Templates > System > Device Guard > "Turn On Virtualization Based Security."
- Aseta käytäntövaihtoehdoksi "Enabled with UEFI lock" ja valitse "Credential Guard" kohdasta "Select Platform Security Level."
- Vaihtoehtoisesti määritä asetus seuraavalla PowerShell-komennolla jokaisella laitteella:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Allja ota tämän jälkeen VBS käyttöön. - Käynnistä laite uudelleen uuden määrityksen voimaansaattamiseksi ja varmista, että Credential Guard on käynnissä käyttämällä komentoa
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Vaatimustenmukaisuus
- Muu: Ei linkitetty tiettyyn vaatimustenmukaisuuskehykseen (CIS, EIDSCA, CISA)