Devices with critical credentials should be protected by Credential Guard.
Perché è Importante
Il furto di credenziali è un vettore di attacco primario, con gli aggressori che prendono di frequente di mira le credenziali basate su memoria come gli hash NTLM e i ticket Kerberos. Senza Credential Guard, le credenziali critiche memorizzate nella memoria del processo Local Security Authority (LSA) sono vulnerabili all'estrazione tramite attacchi pass-the-hash o pass-the-ticket. Proteggere i dispositivi con Credential Guard riduce significativamente la superficie di attacco isolando i segreti in un ambiente virtualizzato.
Cosa Controlla Aether365
Questo controllo verifica che i dispositivi contenenti credenziali critiche nell'ambiente Microsoft 365 siano abilitati con Credential Guard. Viene visualizzato nella dashboard di Aether365 sotto i controlli di microsoft-365.
Come Risolvere
- Assicurati che i tuoi dispositivi soddisfino i requisiti hardware minimi: UEFI Secure Boot, supporto per Virtualization-Based Security (VBS) e TPM 2.0.
- Abilita Credential Guard tramite Criteri di gruppo: Vai su Configurazione computer > Modelli amministrativi > Sistema > Device Guard > "Attiva sicurezza basata sulla virtualizzazione."
- Imposta l'opzione del criterio su "Abilitato con blocco UEFI" e seleziona "Credential Guard" sotto "Seleziona livello di sicurezza della piattaforma."
- In alternativa, configura l'impostazione utilizzando il seguente cmdlet di PowerShell su ciascun dispositivo:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Allseguito dall'abilitazione di VBS. - Riavvia il dispositivo per applicare la nuova configurazione e verifica che Credential Guard sia in esecuzione utilizzando
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Conformità
- Altro: Non collegato a uno specifico framework di conformità (CIS, EIDSCA, CISA)
Risorse Correlate
- Microsoft Learn: Panoramica di Credential Guard
- Microsoft Learn: Abilitare Credential Guard tramite Criteri di gruppo