Devices should not share both critical and non-critical user credentials.
Perché è Importante
Quando i dispositivi archiviano sia credenziali critiche (di amministratori con privilegi) che non critiche (di utenti standard), un compromesso dell'account non critico può diventare un trampolino di lancio verso obiettivi di maggior valore. Questa pratica aumenta la superficie di attacco e facilita il movimento laterale per gli attaccanti. Separare i tipi di credenziali è un confine di sicurezza fondamentale che aiuta a contenere le violazioni e proteggere i sistemi sensibili.
Cosa Controlla Aether365
Questo controllo analizza il tuo tenant Microsoft 365 per identificare dispositivi in cui le credenziali di utenti critici e non critici sono archiviate insieme senza separazione. Viene visualizzato nella dashboard di Aether365 sotto i controlli di microsoft-365 segnalati con gravità media.
Come Risolvere
- Esamina i dispositivi nel tuo ambiente che svolgono funzioni sia critiche (amministrative) che non critiche (utente standard).
- Identifica gli account specifici con privilegi critici che sono connessi o memorizzati nella cache su dispositivi polifunzionali.
- Rimuovi le credenziali memorizzate nella cache per gli account critici dai dispositivi che gestiscono anche attività non critiche. Su Windows, usa Gestione Credenziali (Credential Manager) o
cmdkey /listper visualizzare ecmdkey /deleteper rimuovere credenziali specifiche. - Riconfigura il dispositivo in modo che gli account critici vengano utilizzati solo da workstation dedicate e sicure o tramite workstation ad accesso privilegiato (PAW).
- Per i dispositivi aggiunti a Azure AD, applica criteri di accesso condizionale che impediscano ai dispositivi non conformi di accedere a risorse critiche.
Conformità
- Nessuna mappatura specifica a framework fornita nei dati di origine
Risorse Correlate
- Nessun riferimento fornito nei dati di origine