Inaktiver privilegierter Benutzer

• Dieser IoE funktioniert aufgrund von Datenverfügbarkeitsbeschränkungen von Microsoft nur mit einer Microsoft Entra ID-P1- oder -P2-Lizenz.*

Ein inaktiver Benutzer ist ein Benutzerkonto, das inaktiv geblieben ist, indem es sich für einen bestimmten Zeitraum (standardmäßig 90 Tage, anpassbar über eine Option) nicht erfolgreich angemeldet hat.

Inaktive Benutzer können folgende Sicherheitsrisiken und betriebliche Komplikationen mit sich bringen:

• Sie können ein potenzielles Ziel für Angreifer darstellen, insbesondere wenn diese Konten schwache oder unveränderte Passwörter haben, was einen Kompromittierungsversuch erleichtert. So wurde in einer CISA-Warnung Folgendes gemeldet:

Kampagnen zielten auch auf inaktive Konten ab, die Benutzern gehören, die nicht mehr in der betroffenen Organisation arbeiten, deren Konten aber im System verbleiben.

• Sie vergrößern die Angriffsfläche des Entra-Mandanten, da sie potenzielle Schwachstellen schaffen. Beispielsweise meldete dieselbe CISA-Warnung Folgendes:

Nach einer erzwungenen Zurücksetzung des Passworts für alle Benutzer während eines Vorfalls wurden SVR-Akteure dabei beobachtet, wie sie sich in inaktive Konten einloggten und Anweisungen zum Zurücksetzen des Passworts ausführten. Dadurch war es dem Akteur möglich, sich im Anschluss an Incident Response-Behebungsmaßnahmen erneut Zugriff zu verschaffen.

• Ermöglicht Personen Zugriff, die ihn nicht mehr benötigen, wie z. B. ehemalige Mitarbeiter oder Praktikanten, die dieses Konto nie verwendet haben.
• Verschwendung von Ressourcen, wie z. B. Lizenzen. Durch regelmäßige Identifizierung, Deaktivierung oder Entfernung inaktiver Benutzer können Unternehmen die Ressourcenzuweisung optimieren und unnötige Kosten einsparen.

Beachten Sie auch den zugehörigen IoE „Nie verwendeter privilegierter Benutzer“, der alle Benutzer identifiziert, die vorab erstellt, aber nie verwendet wurden. Für privilegierte Benutzer ist das Risiko höher. Siehe auch den zugehörigen IoE „Inaktiver nicht privilegierter Benutzer“ für nicht privilegierte Benutzer.

Hinweis:

1. Dieser IoE stützt sich auf die Eigenschaft lastSuccessfulSignInDateTime innerhalb der Eigenschaft signInActivity von Benutzerobjekten. Der Vorteil liegt darin, dass im Gegensatz zur Eigenschaft lastSignInDateTime nur erfolgreiche Anmeldungen gemeldet werden, um Unterbrechungen durch fehlgeschlagene Versuche zu vermeiden. Die Eigenschaft lastSuccessfulSignInDateTime ist seit Dezember 2023 verfügbar.
2. Um auf den Ressourcentyp signInActivity zuzugreifen, benötigen Sie für jeden Mandanten eine Microsoft Entra ID-P1- oder -P2-Lizenz. Andernfalls kann dieser IoE inaktive Benutzer nicht erkennen und überspringt daher die gesamte Analyse.
3. Da diese Eigenschaft für Benutzer, die sich noch nie oder zuletzt vor Dezember 2023 angemeldet haben, nicht ausgefüllt ist, sind die zur Auswertung des Intervalls benötigten Daten nicht verfügbar. Folglich kann Tenable Identity Exposure das Datum der letzten Anmeldung nicht korrekt erkennen, was möglicherweise zu falsch positiven Ergebnissen führt.

Tenable empfiehlt, regelmäßig auf inaktive Benutzer zu prüfen und diese zu deaktivieren oder zu löschen, insbesondere privilegierte Benutzer. Nachdem sie identifiziert wurden, führend Sie die folgenden Aktionen aus:

1. Deaktivieren Sie die Benutzer.
2. Warten Sie eine angemessene Zeit lang, etwa einige Monate, um unbeabsichtigte Auswirkungen auszuschließen.
3. Wenn nach dieser Wartezeit keine Probleme gemeldet wurden und die Informationssicherheitsrichtlinie der Organisation dies zulässt, löschen Sie sie.

Name: Inaktiver privilegierter Benutzer

Codename: DORMANT-PRIVILEGED-USER

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure