Erkennungen

Nie verwendetes Gerät

LOW

Sprache:

Beschreibung

Ein nie verwendetes Gerät ist ein in Entra ID erstelltes Gerätekonto, das sich seit seiner Erstellung für eine bestimmte Anzahl von Tagen (standardmäßig 90 Tage, anpassbar) nicht authentifiziert hat.

Im Gegensatz zu Active Directory, in dem Administratoren manchmal Computerkonten vorab erstellen können, gibt es in Microsoft Entra ID keine solche Funktion zur Voraberstellung von Gerätekonten. Über Microsoft Entra Connect können jedoch vorab erstellte Gerätekonten in Entra ID vorhanden sein. Wenn die Microsoft Entra-Hybrideinbindung aktiviert ist, erstellt Entra Connect die Computerkonten, die den Active Directory-Konten entsprechen, vorab in Entra ID.

Nie verwendete Gerätekonten können von einfach unhygienisch bis hin zu uneingeschränkt verdächtig reichen, was möglicherweise ein Hinweis auf die Verwendung Angriffstools wie AADInternals durch Angreifer ist.

Beachten Sie auch den zugehörigen IoE „Inaktives Gerät“, der alle zuvor aktiven Geräte identifiziert, die seitdem inaktiv geworden sind.

Hinweis:

  1. Dieser IoE stützt sich auf die Eigenschaft approximateLastSignInDateTime, die nicht in Echtzeit aktualisiert wird. Der aktuelle Wert wird nur aktualisiert, wenn die Differenz 14 Tage (+/-5 Tage) überschreitet.
  2. Aus diesem Grund warnt Microsoft, dass „einige aktive Geräte möglicherweise über einen leeren Zeitstempel verfügen“. In solchen Fällen sind weitere Untersuchungen mit Audit-Protokollen für die Anmeldung erforderlich, um häufigere Updates auf dem Gerät zu identifizieren.

Lösung

Tenable empfiehlt, regelmäßig nach nie verwendeten Geräten zu suchen und diese zu deaktivieren oder zu löschen. Führen Sie nach ihrer Identifizierung die folgenden Aktionen aus:

  1. Deaktivieren Sie sie.
  2. Warten Sie einige Monate.
  3. Wenn nach dieser Wartezeit keine Probleme gemeldet wurden und die Informationssicherheitsrichtlinie der Organisation dies zulässt, löschen Sie sie.

Microsoft hat den Leitfaden Vorgehensweise: Verwalten veralteter Geräte in Microsoft Entra ID veröffentlicht, der Einblicke in die Verwaltung veralteter Geräte basierend auf ihrem Einbindungstyp (z. B. in Microsoft Entra registriert, in Microsoft Entra eingebunden usw.) bietet. Wir empfehlen, diesen Leitfaden zu lesen, bevor Sie Geräte löschen.

Indikatordetails

Name: Nie verwendetes Gerät

Codename: NEVER-USED-DEVICE

Schweregrad: Low

Typ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK-Informationen: