Devices should not share both critical and non-critical user credentials.

Чому це важливо

Коли на пристроях зберігаються як критичні (привілейовані адміністраторські), так і некритичні облікові дані користувачів, компрометація некритичного облікового запису може стати трампліном для доступу до більш цінних цілей. Така практика розширює поверхню атаки та полегшує зловмисникам бічне переміщення. Розділення типів облікових даних є фундаментальним кордоном безпеки, який допомагає локалізувати витоки та захищати чутливі системи.

Що перевіряє Aether365

Ця перевірка сканує ваш tenant Microsoft 365, щоб виявити пристрої, на яких критичні та некритичні облікові дані користувачів зберігаються разом без розділення. Вона відображається на панелі Aether365 у розділі перевірок microsoft-365 із позначкою середньої серйозності.

Як виправити

1. Перегляньте пристрої у вашому середовищі, які виконують як критичні (адміністраторські), так і некритичні (звичайні користувацькі) функції.
2. Визначте конкретні облікові записи з критичними привілеями, які ввійшли або кешуються на багатоцільових пристроях.
3. Видаліть кешовані облікові дані для критичних облікових записів із пристроїв, які також обробляють некритичні завдання. У Windows використовуйте "Диспетчер облікових даних" або cmdkey /list для перегляду та cmdkey /delete для видалення конкретних облікових даних.
4. Переналаштуйте пристрій так, щоб критичні облікові записи використовувалися лише на виділених, захищених робочих станціях або через робочі станції з привілейованим доступом (PAW).
5. Для пристроїв, приєднаних до Azure AD, застосуйте політики умовного доступу, які блокують несумісні пристрої від доступу до критичних ресурсів.

Відповідність стандартам

• Жодного конкретного відображення фреймворку не надано у вихідних даних

Пов'язані ресурси

• Посилання не надано у вихідних даних