Devices with critical credentials should be protected by Credential Guard.
Чому це важливо
Крадіжка облікових даних є провідним вектором атак, причому зловмисники часто націлюються на облікові дані, що зберігаються в пам'яті, такі як хеші NTLM і квитки Kerberos. Без Credential Guard критичні облікові дані, що зберігаються в пам'яті процесу Local Security Authority (LSA), є вразливими до викрадення через атаки pass-the-hash або pass-the-ticket. Захист пристроїв за допомогою Credential Guard значно зменшує поверхню атаки, ізолюючи секрети у віртуалізованому середовищі.
Що перевіряє Aether365
Ця перевірка підтверджує, що на пристроях, які зберігають критичні облікові дані у вашому середовищі Microsoft 365, увімкнено Credential Guard. Вона відображається на панелі керування Aether365 у розділі перевірок microsoft-365.
Як виправити
- Переконайтеся, що ваші пристрої відповідають мінімальним вимогам до апаратного забезпечення: UEFI Secure Boot, підтримка Virtualization-Based Security (VBS) і TPM 2.0.
- Увімкніть Credential Guard через Group Policy: перейдіть до Computer Configuration > Administrative Templates > System > Device Guard > "Turn On Virtualization Based Security."
- Встановіть параметр політики "Enabled with UEFI lock" і виберіть "Credential Guard" у розділі "Select Platform Security Level."
- Або налаштуйте параметр за допомогою наступної команди PowerShell на кожному пристрої:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All, а потім увімкніть VBS. - Перезавантажте пристрій, щоб застосувати нову конфігурацію, і переконайтеся, що Credential Guard працює, за допомогою
Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard.
Відповідність вимогам
- Інше: Не прив'язано до конкретної структури відповідності (CIS, EIDSCA, CISA)