Devices with critical credentials should be protected by Credential Guard.
Por Que Isso é Importante
O roubo de credenciais é um dos principais vetores de ataque, com invasores frequentemente alvejando credenciais baseadas em memória, como hashes NTLM e tickets Kerberos. Sem o Credential Guard, as credenciais críticas armazenadas na memória do processo Local Security Authority (LSA) ficam vulneráveis a extração por meio de ataques pass-the-hash ou pass-the-ticket. Proteger dispositivos com o Credential Guard reduz significativamente a superfície de ataque ao isolar segredos em um ambiente virtualizado.
O que o Aether365 Verifica
Esta verificação confirma que dispositivos que armazenam credenciais críticas em seu ambiente Microsoft 365 estão habilitados com o Credential Guard. Ela aparece no painel do Aether365 sob as verificações microsoft-365.
Como Corrigir
- Garanta que seus dispositivos atendam aos requisitos mínimos de hardware: UEFI Secure Boot, suporte a Virtualization-Based Security (VBS) e TPM 2.0.
- Habilite o Credential Guard via Group Policy: Navegue até Computer Configuration > Administrative Templates > System > Device Guard > "Turn On Virtualization Based Security".
- Defina a opção de política como "Enabled with UEFI lock" e selecione "Credential Guard" em "Select Platform Security Level".
- Alternativamente, configure a opção usando o seguinte cmdlet PowerShell em cada dispositivo:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Allseguido da habilitação do VBS. - Reinicie o dispositivo para aplicar a nova configuração e verifique se o Credential Guard está em execução usando
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Conformidade
- Outro: Não vinculado a um framework de conformidade específico (CIS, EIDSCA, CISA)
Recursos Relacionados
- Microsoft Learn: Visão geral do Credential Guard
- Microsoft Learn: Habilitar o Credential Guard via Group Policy