休眠特權使用者

有鑑於 Microsoft 的資料可用性限制，本曝險指標 (IoE) 若缺少 Microsoft Entra ID P1 或 P2 授權則無法運作。

休眠使用者是指在特定時間內 (預設為 90 天，可透過選項自訂) 從未完成驗證，因此被判定為非作用中的使用者帳戶。

休眠使用者可能會帶來下列安全風險，並導致營運流程複雜化:

• 如果這些帳戶使用脆弱或未更新的密碼，則可能成為攻擊者用於入侵的目標。舉例來說，CISA 警示指出：

攻擊者也鎖定了屬於受害組織已離職員工、但仍存在於系統中的休眠帳戶

• 製造潛在弱點，增加 Entra 租用戶的攻擊破綻。例如，同一則 CISA 警示 也指出：

在資安事端期間強制要求所有使用者重設密碼後，也發現有 SVR 攻擊者登入非作用中帳戶，並按照說明重設密碼，導致採取資安事端回應的驅逐入侵者措施後，攻擊者能夠重新取得存取權。

• 為不再有需要的個人提供存取權，例如前員工或實習生。
• 浪費授權等資源。組織可以透過定期識別、停用或移除休眠使用者，改善資源分配並省下不必要的支出。

另請考慮相關的曝險指標 (IoE)「待啟用的特權使用者」，該指標會識別所有預先建立但從未啟用的使用者。 對於特權使用者而言，風險又會更高。如需非特權使用者的資訊，另請參閱相關的曝險指標 (IoE)「非特權」。

請注意:

1. 此曝險指標 (IoE) 的基礎是使用者物件中 signInActivity 內的 lastSuccessfulSignInDateTime 屬性。其優點在於僅報告成功登入的情況，以避免像 lastSignInDateTime 屬性那樣因失敗的嘗試而干擾分析結果。 lastSuccessfulSignInDateTime 屬性已於 2023 年 12 月推出。
2. 如要存取 signInActivity 資源類型，則每個租用戶皆需要擁有 Microsoft Entra ID P1 或 P2 授權 。否則，此曝險指標 (IoE) 會因為無法偵測到休眠使用者而跳過整個分析。
3. 由於對從未登入或最後登入時間早於 2023 年 12 月的使用者而言，該屬性仍為未填寫狀態，因此無法取得所需的資料以評估間隔時間。因此，Tenable Identity Exposure 無法正確偵測上次登入日期，可能會導致誤報。

Tenable 建議您定期檢查，以便停用或刪除休眠使用者，尤其是特權使用者。識別完成後，請採取以下動作:

1. 將其停用。
2. 等待幾個月。
3. 在等待一段時間後，如果沒有報告任何問題，請在組織資安原則允許的前提下將該裝置刪除。

名稱: 休眠特權使用者

代碼名稱: DORMANT-PRIVILEGED-USER

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure