Beschreibung

Ein inaktives oder veraltetes Gerät ist ein Gerätekonto, das inaktiv geblieben ist, indem es sich für einen bestimmten Zeitraum (standardmäßig 90 Tage, anpassbar über eine Option) nicht angemeldet hat.

Inaktive Geräte können die folgenden Sicherheitsrisiken und betrieblichen Komplikationen mit sich bringen:

  • Größere Angriffsfläche: Veraltete Konfigurationen und ungepatchte Schwachstellen machen inaktive Geräte anfällig für Exploits, die von aktuellen Updates behoben wurden.
  • Leichtere Kompromittierung: Bedrohungsakteure können eine vollständige Kompromittierung des Mandanten erreichen und sich nicht autorisierten Zugriff auf sensible Informationen verschaffen.
  • Audits: Bei Compliance-Audits treten Probleme zutage.
  • Ressourcenverbrauch: Lizenzen, die unnötige Kosten verursachen.
  • Leistungsverschlechterung: Unnötige Geräterückschreibungen, die die für Microsoft Entra Connect-Synchronisierungen erforderliche Zeit verlängern.

Beachten Sie auch den zugehörigen IoE „Nie verwendetes Gerät“, der alle Geräte identifiziert, die vorab erstellt, aber nie verwendet wurden.

Hinweis:

  1. Dieser IoE stützt sich auf die Eigenschaft approximateLastSignInDateTime, die nicht in Echtzeit aktualisiert wird. Der aktuelle Wert wird nur aktualisiert, wenn die Differenz 14 Tage (+/-5 Tage) überschreitet.
  2. Aus diesem Grund warnt Microsoft, dass „einige aktive Geräte möglicherweise über einen leeren Zeitstempel verfügen“. In solchen Fällen sind weitere Untersuchungen mit Audit-Protokollen für die Anmeldung erforderlich, um häufigere Updates auf dem Gerät zu identifizieren.

Lösung

Tenable empfiehlt, regelmäßig auf inaktive Geräte zu prüfen und sie zu deaktivieren oder zu löschen. Nachdem sie identifiziert wurden, führen Sie die folgenden Aktionen aus:

  1. Deaktivieren Sie die Geräte.
  2. Warten Sie eine angemessene Zeit lang, etwa einige Monate, um unbeabsichtigte Auswirkungen auszuschließen.
  3. Wenn nach dieser Wartezeit keine Probleme gemeldet wurden und die Informationssicherheitsrichtlinie der Organisation dies zulässt, löschen Sie sie.

Microsoft hat den Leitfaden Vorgehensweise: Verwalten veralteter Geräte in Microsoft Entra ID veröffentlicht, der erläutert, wie veraltete Geräte verwaltet werden können – abhängig von der Registrierungsart(z. B. Microsoft Entra registriert, Microsoft Entra beigetreten usw.). Wir empfehlen, diesen Leitfaden zu lesen, bevor Sie Geräte löschen.

Indikatordetails

Name: Inaktives Gerät

Codename: DORMANT-DEVICE

Schweregrad: Low

Typ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK-Informationen: