Sprache:
Ein inaktiver Benutzer ist ein Benutzerkonto, das inaktiv geblieben ist, indem es sich für einen bestimmten Zeitraum (standardmäßig 90 Tage, anpassbar über eine Option) nicht erfolgreich angemeldet hat.
Inaktive Benutzer können folgende Sicherheitsrisiken und betriebliche Komplikationen mit sich bringen:
Kampagnen zielten auch auf inaktive Konten ab, die Benutzern gehören, die nicht mehr in der betroffenen Organisation arbeiten, deren Konten aber im System verbleiben.
Nach einer erzwungenen Zurücksetzung des Passworts für alle Benutzer während eines Vorfalls wurden SVR-Akteure dabei beobachtet, wie sie sich in inaktive Konten einloggen und Anweisungen zum Zurücksetzen des Passworts ausführen. Dadurch war es dem Akteur möglich, sich im Anschluss an Incident Response-Behebungsmaßnahmen erneut Zugriff zu verschaffen.
Beachten Sie auch den zugehörigen IoE „Nie verwendeter nicht privilegierter Benutzer“, der alle Benutzer identifiziert, die vorab erstellt, aber nie verwendet wurden. Siehe auch den zugehörigen IoE „Inaktiver privilegierter Benutzer“ für privilegierte Benutzer.
Hinweis:
lastSuccessfulSignInDateTime
innerhalb der Eigenschaft signInActivity
von Benutzerobjekten. Der Vorteil liegt darin, dass im Gegensatz zur Eigenschaft lastSignInDateTime
nur erfolgreiche Anmeldungen gemeldet werden, um Unterbrechungen durch fehlgeschlagene Versuche zu vermeiden. Die Eigenschaft lastSuccessfulSignInDateTime
ist seit Dezember 2023 verfügbar.signInActivity
zuzugreifen, benötigen Sie für jeden Mandanten eine Microsoft Entra ID-P1- oder -P2-Lizenz. Andernfalls kann dieser IoE inaktive Benutzer nicht erkennen und überspringt daher die gesamte Analyse.Tenable empfiehlt, regelmäßig auf inaktive Benutzer zu prüfen und sie zu deaktivieren oder zu löschen. Nachdem sie identifiziert wurden, führend Sie die folgenden Aktionen aus:
Name: Inaktiver nicht privilegierter Benutzer
Codename: DORMANT-NON-PRIVILEGED-USER
Schweregrad: Low
Typ: Microsoft Entra ID Indicator of Exposure