說明

休眠或過時的裝置是指在指定時間 (預設為 90 天,可透過選項自訂) 內未登入而一直處於非作用中狀態的裝置帳戶。

休眠裝置可能會帶來下列安全風險,並導致營運流程複雜化:

  • 攻擊破綻增加: 過時的設定和未修補的弱點會使休眠裝置容易受到攻擊,而這些弱點可能已在近期更新中解決。
  • 更容易受到入侵: 威脅執行者可能全面入侵租用戶,並在未授權的情況下存取敏感資訊。
  • 稽核: 在合規性稽核期間產生問題。
  • 資源消耗: 授權閒置,產生不必要的支出。
  • 效能降低: 多餘的裝置回寫會延長 Microsoft Entra Connect 同步所需的時間。

另請考慮相關的曝險指標 (IoE)「待啟用裝置」,該指標會識別所有預先建立但從未使用過的裝置。

請注意:

  1. 此曝險指標 (IoE) 的基礎是 approximateLastSignInDateTime 屬性,該屬性不會即時更新。僅在差值超過 14 天 (+/-5 天) 時,目前的值才會更新。
  2. 因此,Microsoft 承認「某些作用中裝置的時間戳記可能是空白的」。在這種情況下,則需要進一步檢查登入稽核記錄,以確認裝置上是否有更頻繁的更新活動。

解決方案

Tenable 建議您定期檢查,並停用或刪除休眠裝置。找出這類裝置後,請採取以下動作:

  1. 停用。
  2. 請等待一段充足時間 (例如數個月),確保沒有任何非預期的影響。
  3. 在這段延遲期後,如果沒有回報任何問題,即可在貴組織資安政策允許的情況下繼續刪除。

Microsoft 發布了一份名為「如何管理 Microsoft Entra ID 中的過時裝置」的指南,該指南說明了如何根據裝置的加入類型 (例如 Microsoft Entra 註冊、Microsoft Entra 加入等) 來管理過時裝置。我們建議在刪除任何裝置前進行檢查。

指標詳細資料

名稱: 休眠裝置

代碼名稱: DORMANT-DEVICE

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: