Devices with critical credentials should be protected by Credential Guard.
Kodėl tai svarbu
Slaptažodžių vagystės yra pagrindinis atakos vektorius, kai užpuolikai dažnai taikosi į atmintyje saugomus kredencialus, tokius kaip NTLM maišos ir Kerberos bilietai. Be Credential Guard, kritiniai kredencialai, saugomi vietinės saugos institucijos (LSA) proceso atmintyje, yra pažeidžiami išgavimui per pass-the-hash ar pass-the-ticket atakas. Apsaugodami įrenginius su Credential Guard, žymiai sumažinate atakos paviršių, izoliuodami paslaptis virtualizuotoje aplinkoje.
Ką tikrina Aether365
Šis patikrinimas patvirtina, ar įrenginiai, saugantys kritinius kredencialus jūsų Microsoft 365 aplinkoje, yra įjungę Credential Guard. Jis rodomas Aether365 prietaisų skydelyje pagal microsoft-365 patikrinimus.
Kaip ištaisyti
- Įsitikinkite, kad jūsų įrenginiai atitinka minimalius aparatinės įrangos reikalavimus: UEFI Secure Boot, Virtualization-Based Security (VBS) palaikymas ir TPM 2.0.
- Įjunkite Credential Guard per grupės politiką: Eikite į Computer Configuration > Administrative Templates > System > Device Guard > "Turn On Virtualization Based Security."
- Nustatykite politikos parinktį į "Enabled with UEFI lock" ir pasirinkite "Credential Guard" po "Select Platform Security Level."
- Arba sukonfigūruokite nustatymą naudodami šią PowerShell komandą kiekviename įrenginyje:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All, po to įjunkite VBS. - Paleiskite įrenginį iš naujo, kad būtų pritaikyta nauja konfigūracija, ir patikrinkite, ar Credential Guard veikia, naudodami
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Atitiktis
- Kita: Nesusieta su konkrečia atitikties sistema (CIS, EIDSCA, CISA)
Susiję ištekliai
- Microsoft Learn: Credential Guard apžvalga
- Microsoft Learn: Credential Guard įjungimas per grupės politiką