Devices with critical credentials should be protected by Credential Guard.
De ce conteaza acest lucru
Furtul de credențiale reprezintă un vector principal de atac, atacatorii vizând frecvent credențiale bazate pe memorie, precum hash-urile NTLM și tichetele Kerberos. Fără Credential Guard, credențialele critice stocate în memoria procesului Local Security Authority (LSA) sunt vulnerabile la extragere prin atacuri de tip pass-the-hash sau pass-the-ticket. Protejarea dispozitivelor cu Credential Guard reduce semnificativ suprafața de atac prin izolarea secretelor într-un mediu virtualizat.
Ce verifică Aether365
Această verificare confirmă că dispozitivele care dețin credențiale critice în mediul dumneavoastră Microsoft 365 au Credential Guard activat. Apare în tabloul de bord Aether365, în secțiunea de verificări microsoft-365.
Cum se remediază
- Asigurați-vă că dispozitivele îndeplinesc cerințele hardware minime: UEFI Secure Boot, suport pentru Virtualization-Based Security (VBS) și TPM 2.0.
- Activați Credential Guard prin Politica de grup: Navigați la Computer Configuration > Administrative Templates > System > Device Guard > "Turn On Virtualization Based Security."
- Setați opțiunea politicii la "Enabled with UEFI lock" și selectați "Credential Guard" în cadrul opțiunii "Select Platform Security Level."
- Alternativ, configurați setarea utilizând următoarea comandă PowerShell pe fiecare dispozitiv:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All, urmată de activarea VBS. - Reporniți dispozitivul pentru a aplica noua configurație și verificați dacă Credential Guard rulează utilizând
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Conformitate
- Altele: Nu este conectat la un cadru de conformitate specific (CIS, EIDSCA, CISA)
Resurse conexe
- Microsoft Learn: Prezentare generală Credential Guard
- Microsoft Learn: Activarea Credential Guard prin Politica de grup