Devices should not share both critical and non-critical user credentials.

Dlaczego to ma znaczenie

Gdy urządzenia przechowują zarówno krytyczne (administracyjne), jak i niekrytyczne poświadczenia użytkownika, naruszenie tego drugiego konta może stanowić krok do ataku na bardziej wartościowe cele. Taka praktyka zwiększa powierzchnię ataku i ułatwia atakującym ruch boczny. Rozdzielanie typów poświadczeń stanowi fundamentalną granicę bezpieczeństwa, która pomaga ograniczyć skutki naruszeń i chronić wrażliwe systemy.

Co sprawdza Aether365

Ta kontrola skanuje twoją dzierżawę Microsoft 365 w celu zidentyfikowania urządzeń, na których krytyczne i niekrytyczne poświadczenia użytkownika są przechowywane razem bez separacji. Pojawia się na pulpicie nawigacyjnym Aether365 w ramach kontroli microsoft-365 oznaczonych jako średniego ryzyka.

Jak naprawić

1. Przejrzyj urządzenia w swoim środowisku, które pełnią zarówno funkcje krytyczne (administracyjne), jak i niekrytyczne (standardowego użytkownika).
2. Zidentyfikuj konkretne konta z krytycznymi uprawnieniami, które są zalogowane lub buforowane na urządzeniach wielofunkcyjnych.
3. Usuń buforowane poświadczenia dla kont krytycznych z urządzeń obsługujących również zadania niekrytyczne. W systemie Windows użyj menedżera poświadczeń (Credential Manager) lub cmdkey /list, aby wyświetlić, a cmdkey /delete, aby usunąć konkretne poświadczenia.
4. Przekonfiguruj urządzenie tak, aby konta krytyczne były używane tylko z dedykowanych, zabezpieczonych stacji roboczych lub za pośrednictwem stacji roboczych z dostępem uprzywilejowanym (PAW).
5. W przypadku urządzeń dołączonych do Azure AD wymuszaj zasady dostępu warunkowego (Conditional Access), które blokują niezgodne urządzenia przed dostępem do zasobów krytycznych.

Zgodność

• W danych źródłowych nie podano konkretnego mapowania do ram regulacyjnych.

Powiązane zasoby

• W danych źródłowych nie podano żadnych odnośników.