說明

待啟用裝置是指在 Entra ID 中建立後,在特定天數內 (預設為 90 天,可自訂) 從未進行過驗證的裝置帳戶。

在 Active Directory 中,管理員有時可以預先建立電腦帳戶,但 Microsoft Entra ID 中並沒有此類預先建立裝置帳戶的功能。然而透過 Microsoft Entra Connect,預先建立的裝置帳戶仍然可能存在於 Entra ID 中。啟用 Microsoft Entra 混合加入功能後,Entra Connect 會在 Entra ID 中預先建立與 Active Directory 帳戶對應的電腦帳戶。

待啟用裝置帳戶可能單純反映系統管理不善,也可能表現出明顯的可疑跡象,甚至暗示攻擊者使用了 AADInternals 等攻擊性工具。

此外,也請您考慮使用相關的曝險指標 (IoE)「休眠裝置」,這項指標會識別所有曾經活躍但後來陷入沉寂的裝置。

請注意:

  1. 此曝險指標 (IoE) 的基礎是 approximateLastSignInDateTime 屬性,該屬性不會即時更新。僅在差值超過 14 天 (+/-5 天) 時,目前的值才會更新。
  2. 因此,Microsoft 承認「某些作用中裝置的時間戳記可能是空白的」。在這種情況下,則需要進一步檢查登入稽核記錄,以確認裝置上是否有更頻繁的更新活動。

解決方案

Tenable 建議您定期檢查,並停用或刪除從未使用的裝置。找出這類裝置後,請採取以下動作:

  1. 停用。
  2. 請等待一段充足時間 (例如數個月),確保沒有任何非預期的影響。
  3. 在這段延遲期後,如果沒有回報任何問題,即可在貴組織資安政策允許的情況下繼續刪除。

Microsoft 發布了一份名為「如何管理 Microsoft Entra ID 中的過時裝置」的指南,該指南說明了如何根據裝置的加入類型 (例如 Microsoft Entra 註冊、Microsoft Entra 加入等) 來管理過時裝置。我們建議在刪除任何裝置前進行檢查。

指標詳細資料

名稱: 待啟用裝置

代碼名稱: NEVER-USED-DEVICE

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: