Devices with critical credentials should be protected by Credential Guard.
Dlaczego to jest ważne
Kradzież poświadczeń to wiodący wektor ataku, a napastnicy często celują w poświadczenia przechowywane w pamięci, takie jak skróty NTLM i bilety Kerberos. Bez ochrony Credential Guard krytyczne poświadczenia przechowywane w pamięci procesu Local Security Authority (LSA) są narażone na wyodrębnienie poprzez ataki pass-the-hash lub pass-the-ticket. Ochrona urządzeń za pomocą Credential Guard znacząco zmniejsza powierzchnię ataku poprzez izolowanie tajemnic w środowisku wirtualizowanym.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy urządzenia przechowujące krytyczne poświadczenia w środowisku Microsoft 365 mają włączoną funkcję Credential Guard. Pojawia się na pulpicie nawigacyjnym Aether365 w sekcji sprawdzeń microsoft-365.
Jak naprawić
- Upewnij się, że urządzenia spełniają minimalne wymagania sprzętowe: UEFI Secure Boot, obsługa Virtualization-Based Security (VBS) oraz TPM 2.0.
- Włącz Credential Guard za pomocą Group Policy: Przejdź do Computer Configuration > Administrative Templates > System > Device Guard > "Turn On Virtualization Based Security."
- Ustaw opcję zasad na "Enabled with UEFI lock" i wybierz "Credential Guard" w obszarze "Select Platform Security Level."
- Alternatywnie skonfiguruj ustawienie za pomocą następującego polecenia cmdlet PowerShell na każdym urządzeniu:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All, a następnie włącz VBS. - Uruchom ponownie urządzenie, aby wymusić nową konfigurację, i zweryfikuj, czy Credential Guard działa, używając
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Zgodność
- Inne: Nie powiązane z konkretnym frameworkiem zgodności (CIS, EIDSCA, CISA)