Devices should not share both critical and non-critical user credentials.
Pourquoi c'est important
Lorsque des appareils stockent à la fois des identifiants critiques (administrateurs privilégiés) et non critiques (utilisateurs standards), la compromission d'un compte non critique peut servir de tremplin vers des cibles de plus grande valeur. Cette pratique augmente la surface d'attaque et facilite les déplacements latéraux des attaquants. Séparer les types d'identifiants constitue une barrière de sécurité fondamentale qui aide à contenir les brèches et à protéger les systèmes sensibles.
Ce que vérifie Aether365
Cette vérification analyse votre locataire Microsoft 365 pour identifier les appareils où des identifiants critiques et non critiques sont stockés ensemble sans séparation. Elle apparaît sur le tableau de bord Aether365 sous les vérifications microsoft-365 signalées avec une sévérité moyenne.
Comment corriger
- Passez en revue les appareils de votre environnement qui remplissent à la fois des fonctions critiques (administratives) et non critiques (utilisateurs standards).
- Identifiez les comptes spécifiques disposant de privilèges critiques qui sont connectés ou mis en cache sur des appareils polyvalents.
- Supprimez les identifiants mis en cache pour les comptes critiques des appareils qui gèrent également des tâches non critiques. Sous Windows, utilisez le Gestionnaire d'identifiants ou
cmdkey /listpour afficher etcmdkey /deletepour supprimer des identifiants spécifiques. - Reconfigurez l'appareil afin que les comptes critiques ne soient utilisés qu'à partir de postes de travail dédiés et sécurisés, ou via des postes de travail à accès privilégié (PAW).
- Pour les appareils joints à Azure AD, appliquez des politiques d'accès conditionnel qui bloquent l'accès aux ressources critiques depuis des appareils non conformes.
Conformité
- Aucun cadre de conformité spécifique n'est associé dans les données source
Ressources associées
- Aucune référence fournie dans les données source