Devices with critical credentials should be protected by Credential Guard.
Neden Önemli
Kimlik bilgisi hırsızlığı, saldırganların sıklıkla NTLM hash'leri ve Kerberos biletleri gibi bellek tabanlı kimlik bilgilerini hedef aldığı önde gelen bir saldırı vektörüdür. Credential Guard olmadan, Local Security Authority (LSA) işlem belleğinde depolanan kritik kimlik bilgileri, pass-the-hash veya pass-the-ticket saldırıları yoluyla çıkarılmaya karşı savunmasızdır. Cihazları Credential Guard ile korumak, sırları sanallaştırılmış bir ortamda izole ederek saldırı yüzeyini önemli ölçüde azaltır.
Aether365'in Kontrol Ettiği Şeyler
Bu kontrol, Microsoft 365 ortamınızda kritik kimlik bilgilerini barındıran cihazların Credential Guard ile etkinleştirilip etkinleştirilmediğini doğrular. Aether365 panosunda microsoft-365 kontrolleri altında görünür.
Nasıl Düzeltilir
- Cihazlarınızın asgari donanım gereksinimlerini karşıladığından emin olun: UEFI Secure Boot, Virtualization-Based Security (VBS) desteği ve TPM 2.0.
- Credential Guard'ı Group Policy aracılığıyla etkinleştirin: Bilgisayar Yapılandırması > Yönetim Şablonları > Sistem > Device Guard > "Turn On Virtualization Based Security" yolunu izleyin.
- Politika seçeneğini "UEFI kilidi ile etkin" olarak ayarlayın ve "Select Platform Security Level" altında "Credential Guard" seçeneğini belirleyin.
- Alternatif olarak, ayarı her cihazda aşağıdaki PowerShell cmdlet'ini kullanarak yapılandırın:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Allve ardından VBS'yi etkinleştirin. - Yeni yapılandırmayı uygulamak için cihazı yeniden başlatın ve
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuardkullanarak Credential Guard'ın çalıştığını doğrulayın.
Uyumluluk
- Diğer: Belirli bir uyumluluk çerçevesine (CIS, EIDSCA, CISA) bağlı değil
İlgili Kaynaklar
- Microsoft Learn: Credential Guard genel bakış
- Microsoft Learn: Group Policy aracılığıyla Credential Guard'ı etkinleştirme