Nie verwendeter privilegierter Benutzer

• Dieser IoE funktioniert aufgrund von Datenverfügbarkeitsbeschränkungen von Microsoft nur mit einer Microsoft Entra ID-P1- oder -P2-Lizenz.*

Ein nie verwendeter Benutzer ist ein in Entra ID erstelltes Benutzerkonto, das seit einer bestimmte Anzahl von Tagen (standardmäßig 90 Tage, Wert kann angepasst werden) seit seiner Erstellung nie erfolgreich authentifiziert wurde.

Diese Benutzerkonten vergrößern aus verschiedenen Gründen die Angriffsfläche, unter anderem:

• Ein Backdoor-Konto, das Einzelpersonen Zugriff ermöglicht, die ihn nicht mehr benötigen, z. B. ehemalige Mitarbeiter oder Praktikanten.
• Weiterverwendung des Standardpassworts, wodurch das Konto einem höheren Kompromittierungsrisiko ausgesetzt wird. So wurde in einer CISA-Warnung Folgendes gemeldet:

  Kampagnen zielten auch auf inaktive Konten ab, die Benutzern gehören, die nicht mehr in der betroffenen Organisation arbeiten, deren Konten aber im System verbleiben

Außerdem:

Nach einer erzwungenen Passwortrücksetzung für alle Benutzer während eines Vorfalls wurden SVR-Akteure auch dabei beobachtet, wie sie sich in inaktive Konten einloggten und die Anweisungen zum Zurücksetzen des Passworts befolgten. Dies ermöglichte es dem Akteur, sich nach Incident Response-Behebungsmaßnahmen erneut Zugriff zu verschaffen.

• Verschwendung von Ressourcen wie Lizenzen. Durch regelmäßige Identifizierung, Deaktivierung oder Entfernung unnötiger Benutzer können Unternehmen die Ressourcenzuweisung optimieren und unnötige Kosten sparen.

Beachten Sie auch den zugehörigen IoE „Inaktiver Benutzer“, der alle zuvor aktiven Benutzer identifiziert, die seitdem inaktiv geworden sind. Für privilegierte Benutzer ist das Risiko höher. Siehe auch den zugehörigen IoE „Nie verwendeter nicht privilegierter Benutzer“ für nicht privilegierte Benutzer.

Hinweis:

1. Dieser IoE stützt sich auf die Eigenschaft lastSuccessfulSignInDateTime innerhalb der Eigenschaft signInActivity von Benutzerobjekten. Der Vorteil liegt darin, dass im Gegensatz zur Eigenschaft lastSignInDateTime nur erfolgreiche Anmeldungen gemeldet werden, um Unterbrechungen durch fehlgeschlagene Versuche zu vermeiden. Die Eigenschaft lastSuccessfulSignInDateTime ist seit Dezember 2023 verfügbar.
2. Um auf den Ressourcentyp signInActivity zuzugreifen, benötigen Sie für jeden Mandanten eine Microsoft Entra ID-P1- oder -P2-Lizenz. Andernfalls kann dieser IoE nie verwendete Benutzer nicht erkennen und überspringt daher die gesamte Analyse.
3. Da diese Eigenschaft für Benutzer, die sich noch nie oder zuletzt vor Dezember 2023 angemeldet haben, nicht ausgefüllt ist, sind die zur Auswertung des Intervalls benötigten Daten nicht verfügbar. Folglich kann Tenable Identity Exposure das Datum der letzten Anmeldung nicht korrekt erkennen, was möglicherweise zu falsch positiven Ergebnissen führt.

Tenable empfiehlt, regelmäßig auf nie verwendete Benutzer zu prüfen und diese zu deaktivieren oder zu löschen, insbesondere privilegierte Benutzer. Führen Sie nach ihrer Identifizierung die folgenden Aktionen aus:

1. Deaktivieren Sie sie.
2. Warten Sie einige Monate.
3. Wenn nach dieser Wartezeit keine Probleme gemeldet wurden und die Informationssicherheitsrichtlinie der Organisation dies zulässt, löschen Sie sie.

Name: Nie verwendeter privilegierter Benutzer

Codename: NEVER-USED-PRIVILEGED-USER

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure