Devices with critical credentials should be protected by Credential Guard.
Varför detta är viktigt
Stöld av autentiseringsuppgifter är en ledande attackvektor, där angripare ofta riktar in sig på minnesbaserade autentiseringsuppgifter som NTLM-hashar och Kerberos-biljetter. Utan Credential Guard är kritiska autentiseringsuppgifter som lagras i Local Security Authority (LSA)-processminnet sårbara för extrahering genom pass-the-hash- eller pass-the-ticket-attacker. Att skydda enheter med Credential Guard minskar attackytan avsevärt genom att isolera hemligheter i en virtualiserad miljö.
Vad Aether365 kontrollerar
Denna kontroll verifierar att enheter som innehar kritiska autentiseringsuppgifter i din Microsoft 365-miljö är aktiverade med Credential Guard. Den visas i Aether365-instrumentpanelen under microsoft-365-kontroller.
Så här åtgärdar du
- Se till att dina enheter uppfyller de lägsta maskinvarukraven: UEFI Secure Boot, Virtualization-Based Security (VBS)-stöd och TPM 2.0.
- Aktivera Credential Guard via gruppolicy: Navigera till Computer Configuration > Administrative Templates > System > Device Guard > "Turn On Virtualization Based Security."
- Ställ in policyalternativet på "Enabled with UEFI lock" och välj "Credential Guard" under "Select Platform Security Level."
- Alternativt kan du konfigurera inställningen med hjälp av följande PowerShell-cmdlet på varje enhet:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Allföljt av att aktivera VBS. - Starta om enheten för att tillämpa den nya konfigurationen och verifiera att Credential Guard körs med
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Regelefterlevnad
- Övrigt: Inte kopplat till ett specifikt ramverk för regelefterlevnad (CIS, EIDSCA, CISA)