Devices with critical credentials should be protected by Credential Guard.
Kāpēc tas ir svarīgi
Akreditācijas datu zādzība ir viens no galvenajiem uzbrukumu vektoriem, uzbrucējiem bieži vēršoties pret atmiņā glabātiem akreditācijas datiem, piemēram, NTLM hashtiem un Kerberos biļetēm. Bez Credential Guard funkcijas kritiski akreditācijas dati, kas tiek glabāti Local Security Authority (LSA) procesa atmiņā, ir neaizsargāti pret izguvi, izmantojot pass-the-hash vai pass-the-ticket uzbrukumus. Ierīču aizsardzība ar Credential Guard ievērojami samazina uzbrukumu virsmu, izolējot noslēpumus virtualizētā vide.
Ko pārbauda Aether365
Šī pārbaude apstiprina, ka ierīcēs, kas satur kritiskus akreditācijas datus jūsu Microsoft 365 vidē, ir iespējota Credential Guard funkcija. Tā parādās Aether365 informācijas panelī zem microsoft-365 pārbaudēm.
Kā labot
- Pārliecinieties, ka jūsu ierīces atbilst minimālajām aparatūras prasībām: UEFI Secure Boot, Virtualization-Based Security (VBS) atbalsts un TPM 2.0.
- Iespējojiet Credential Guard, izmantojot grupas politiku: Dodieties uz Computer Configuration > Administrative Templates > System > Device Guard > "Turn On Virtualization Based Security."
- Iestatiet politikas opciju uz "Enabled with UEFI lock" un atlasiet "Credential Guard" sadaļā "Select Platform Security Level."
- Alternatīvi, konfigurējiet iestatījumu, izmantojot šādu PowerShell cmdlet katrā ierīcē:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All, pēc tam iespējojiet VBS. - Restartējiet ierīci, lai ieviestu jauno konfigurāciju, un pārbaudiet, vai Credential Guard darbojas, izmantojot
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Atbilstība
- Citi: Nav saistīts ar konkrētu atbilstības sistēmu (CIS, EIDSCA, CISA)
Saistītie resursi
- Microsoft Learn: Credential Guard pārskats
- Microsoft Learn: Iespējot Credential Guard, izmantojot grupas politiku