Devices with critical credentials should be protected by Credential Guard.
Waarom dit belangrijk is
Diefstal van inloggegevens is een van de belangrijkste aanvalsvectoren, waarbij aanvallers vaak mikken op op geheugen gebaseerde inloggegevens zoals NTLM-hashes en Kerberos-tickets. Zonder Credential Guard kunnen kritieke inloggegevens die zijn opgeslagen in het geheugen van het Local Security Authority (LSA)-proces worden buitgemaakt via pass-the-hash- of pass-the-ticket-aanvallen. Het beveiligen van apparaten met Credential Guard verkleint het aanvalsoppervlak aanzienlijk door geheimen te isoleren in een gevirtualiseerde omgeving.
Wat Aether365 controleert
Deze controle verifieert of apparaten die kritieke inloggegevens bevatten in uw Microsoft 365-omgeving zijn ingeschakeld met Credential Guard. De controle wordt weergegeven in het Aether365-dashboard onder microsoft-365-controles.
Hoe te herstellen
- Zorg ervoor dat uw apparaten voldoen aan de minimale hardwarevereisten: UEFI Secure Boot, ondersteuning voor Virtualization-Based Security (VBS) en TPM 2.0.
- Schakel Credential Guard in via Groepsbeleid: Navigeer naar Computerconfiguratie > Beheersjablonen > Systeem > Device Guard > "Virtualization-Based Security inschakelen."
- Stel de beleidsoptie in op "Ingeschakeld met UEFI-vergrendeling" en selecteer "Credential Guard" onder "Platformbeveiligingsniveau selecteren."
- U kunt de instelling ook configureren met de volgende PowerShell-cmdlet op elk apparaat:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Allgevolgd door het inschakelen van VBS. - Start het apparaat opnieuw op om de nieuwe configuratie af te dwingen en controleer of Credential Guard actief is met
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Naleving
- Anders: Niet gekoppeld aan een specifiek nalevingskader (CIS, EIDSCA, CISA)
Gerelateerde bronnen
- Microsoft Learn: Overzicht Credential Guard
- Microsoft Learn: Credential Guard inschakelen via Groepsbeleid