Inaktiver nicht privilegierter Benutzer

• Dieser IoE funktioniert aufgrund von Datenverfügbarkeitsbeschränkungen von Microsoft nur mit einer Microsoft Entra ID-P1- oder -P2-Lizenz.*

Ein inaktiver Benutzer ist ein Benutzerkonto, das inaktiv geblieben ist, indem es sich für einen bestimmten Zeitraum (standardmäßig 90 Tage, anpassbar über eine Option) nicht erfolgreich angemeldet hat.

Inaktive Benutzer können folgende Sicherheitsrisiken und betriebliche Komplikationen mit sich bringen:

• Sie können ein potenzielles Ziel für Angreifer darstellen, insbesondere wenn diese Konten schwache oder unveränderte Passwörter haben, was einen Kompromittierungsversuch erleichtert. So meldete eine CISA-Warnung beispielsweise Folgendes:

Kampagnen zielten auch auf inaktive Konten ab, die Benutzern gehören, die nicht mehr in der betroffenen Organisation arbeiten, deren Konten aber im System verbleiben.

• Sie vergrößern die Angriffsfläche des Entra-Mandanten, da sie potenzielle Schwachstellen schaffen. Beispielsweise meldete dieselbe CISA-Warnung Folgendes:

Nach einer erzwungenen Zurücksetzung des Passworts für alle Benutzer während eines Vorfalls wurden SVR-Akteure dabei beobachtet, wie sie sich in inaktive Konten einloggen und Anweisungen zum Zurücksetzen des Passworts ausführen. Dadurch war es dem Akteur möglich, sich im Anschluss an Incident Response-Behebungsmaßnahmen erneut Zugriff zu verschaffen.

• Ermöglicht Personen Zugriff, die ihn nicht mehr benötigen, wie z. B. ehemalige Mitarbeiter oder Praktikanten, die dieses Konto nie verwendet haben.
• Verschwendung von Ressourcen, wie z. B. Lizenzen. Durch regelmäßige Identifizierung, Deaktivierung oder Entfernung inaktiver Benutzer können Unternehmen die Ressourcenzuweisung optimieren und unnötige Kosten einsparen.

Beachten Sie auch den zugehörigen IoE „Nie verwendeter nicht privilegierter Benutzer“, der alle Benutzer identifiziert, die vorab erstellt, aber nie verwendet wurden. Siehe auch den zugehörigen IoE „Inaktiver privilegierter Benutzer“ für privilegierte Benutzer.

Hinweis:

1. Dieser IoE stützt sich auf die Eigenschaft lastSuccessfulSignInDateTime innerhalb der Eigenschaft signInActivity von Benutzerobjekten. Der Vorteil liegt darin, dass im Gegensatz zur Eigenschaft lastSignInDateTime nur erfolgreiche Anmeldungen gemeldet werden, um Unterbrechungen durch fehlgeschlagene Versuche zu vermeiden. Die Eigenschaft lastSuccessfulSignInDateTime ist seit Dezember 2023 verfügbar.
2. Um auf den Ressourcentyp signInActivity zuzugreifen, benötigen Sie für jeden Mandanten eine Microsoft Entra ID-P1- oder -P2-Lizenz. Andernfalls kann dieser IoE inaktive Benutzer nicht erkennen und überspringt daher die gesamte Analyse.
3. Da diese Eigenschaft für Benutzer, die sich noch nie oder zuletzt vor Dezember 2023 angemeldet haben, nicht ausgefüllt ist, sind die zur Auswertung des Intervalls benötigten Daten nicht verfügbar. Folglich kann Tenable Identity Exposure das Datum der letzten Anmeldung nicht korrekt erkennen, was möglicherweise zu falsch positiven Ergebnissen führt.

Tenable empfiehlt, regelmäßig auf inaktive Benutzer zu prüfen und sie zu deaktivieren oder zu löschen. Nachdem sie identifiziert wurden, führend Sie die folgenden Aktionen aus:

1. Deaktivieren Sie die Benutzer.
2. Warten Sie eine angemessene Zeit lang, etwa einige Monate, um unbeabsichtigte Auswirkungen auszuschließen.
3. Wenn nach dieser Wartezeit keine Probleme gemeldet wurden und die Informationssicherheitsrichtlinie der Organisation dies zulässt, löschen Sie sie.

Name: Inaktiver nicht privilegierter Benutzer

Codename: DORMANT-NON-PRIVILEGED-USER

Schweregrad: Low

Typ: Microsoft Entra ID Indicator of Exposure