Inaktiver privilegierter Benutzer

• Dieser IoE funktioniert aufgrund von Datenverfügbarkeitsbeschränkungen von Microsoft nur mit einer Microsoft Entra ID-P1- oder -P2-Lizenz.*

Ein inaktiver Benutzer ist ein Benutzerkonto, das inaktiv geblieben ist, indem es sich für einen bestimmten Zeitraum (standardmäßig 90 Tage, anpassbar über eine Option) nicht erfolgreich angemeldet hat.

Inaktive Benutzer können die folgenden Sicherheitsrisiken und betrieblichen Komplikationen mit sich bringen:

• Sie können potenzielle Ziel für Angreifer darstellen, wenn diese Konten schwache oder unveränderte Passwörter haben, was eine Kompromittierung erleichtert. So meldete eine CISA-Warnung Folgendes:

Kampagnen zielten auch auf inaktive Konten von Benutzern ab, die nicht mehr bei einer Opferorganisation arbeiten, deren Konten jedoch im System verbleiben.

• Sie vergrößern die Angriffsfläche des Entra-Mandanten, da sie potenzielle Schwachstellen schaffen. Beispielsweise meldete dieselbe CISA-Warnung Folgendes:

Nach einer erzwungenen Zurücksetzung des Passworts für alle Benutzer während eines Vorfalls wurden SVR-Akteure dabei beobachtet, wie sie sich in inaktive Konten einloggten und Anweisungen zum Zurücksetzen des Passworts ausführten. Dies ermöglichte es dem Akteur, sich im Anschluss an Incident Response-Behebungsmaßnahmen erneut Zugriff zu verschaffen.

• Ermöglicht Einzelpersonen Zugriff, die ihn nicht mehr benötigen, wie z. B. ehemalige Mitarbeiter oder Praktikanten.
• Verschwendung von Ressourcen wie Lizenzen. Durch die regelmäßige Identifizierung, Deaktivierung oder Entfernung inaktiver Benutzer können Unternehmen die Ressourcenzuweisung optimieren und unnötige Kosten sparen.

Beachten Sie auch den zugehörigen IoE „Nie verwendeter privilegierter Benutzer“, der alle Benutzer identifiziert, die vorab erstellt, aber nie verwendet wurden. Für privilegierte Benutzer ist das Risiko höher. Siehe auch den zugehörigen IoE „Inaktiver nicht privilegierter Benutzer“ für nicht privilegierte Benutzer.

Hinweis:

1. Dieser IoE stützt sich auf die Eigenschaft lastSuccessfulSignInDateTime innerhalb der Eigenschaft signInActivity von Benutzerobjekten. Der Vorteil liegt darin, dass im Gegensatz zur Eigenschaft lastSignInDateTime nur erfolgreiche Anmeldungen gemeldet werden, um Unterbrechungen durch fehlgeschlagene Versuche zu vermeiden. Die Eigenschaft lastSuccessfulSignInDateTime ist seit Dezember 2023 verfügbar.
2. Um auf den Ressourcentyp signInActivity zuzugreifen, benötigen Sie für jeden Mandanten eine Microsoft Entra ID-P1- oder -P2-Lizenz. Andernfalls kann dieser IoE inaktive Benutzer nicht erkennen und überspringt daher die gesamte Analyse.
3. Da diese Eigenschaft für Benutzer, die sich noch nie oder zuletzt vor Dezember 2023 angemeldet haben, nicht ausgefüllt ist, sind die zur Auswertung des Intervalls benötigten Daten nicht verfügbar. Folglich kann Tenable Identity Exposure das Datum der letzten Anmeldung nicht korrekt erkennen, was möglicherweise zu falsch positiven Ergebnissen führt.

Tenable empfiehlt, regelmäßig nach inaktiven Benutzern, insbesondere nach privilegierten, zu suchen und diese zu deaktivieren oder zu löschen. Führen Sie nach ihrer Identifizierung die folgenden Aktionen aus:

1. Deaktivieren Sie sie.
2. Warten Sie einige Monate.
3. Wenn nach dieser Wartezeit keine Probleme gemeldet wurden und die Informationssicherheitsrichtlinie der Organisation dies zulässt, löschen Sie sie.

Name: Inaktiver privilegierter Benutzer

Codename: DORMANT-PRIVILEGED-USER

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure