待啟用的非特權使用者

LOW

說明

有鑑於 Microsoft 的資料可用性限制,本曝險指標 (IoE) 若缺少 Microsoft Entra ID P1 或 P2 授權則無法運作。

待啟用使用者是指在 Entra ID 中建立以後,在特定時間內 (預設為 90 天,可自訂) 從未完成驗證的使用者帳戶。

出於多種原因,這類帳戶會增加攻擊破綻,例如:

  • 後門程式帳戶讓不再有需要的個人 (例如從未使用過此帳戶的前員工或實習生) 得以獲得存取權。
  • 持續沿用預設密碼,使帳戶面臨更高的入侵風險。舉例來說,CISA 警示指出: 攻擊者也鎖定了屬於受害組織已離職員工、但仍存在於系統中的休眠帳戶,

而且

在資安事端期間強制要求所有使用者重設密碼後,也發現有 SVR 攻擊者登入非作用中帳戶,並按照說明重設密碼,導致採取資安事端回應的驅逐入侵者措施後,攻擊者能夠重新取得存取權。

  • 浪費授權等資源。組織可以透過定期識別、停用或移除不必要的使用者,改善資源分配並省下不必要的支出。

此外,也請您考慮使用相關的曝險指標 (IoE)「休眠使用者」,這項指標會識別所有曾經活躍但後來陷入沉寂的使用者。 如需特權使用者的資訊,另請參閱相關的曝險指標 (IoE)「待啟用的特權使用者」。

請注意:

  1. 此曝險指標 (IoE) 的基礎是使用者物件中 signInActivity 內的 lastSuccessfulSignInDateTime 屬性。其優點在於僅報告成功登入的情況,以避免像 lastSignInDateTime 屬性那樣因失敗的嘗試而干擾分析結果。 lastSuccessfulSignInDateTime 屬性已於 2023 年 12 月推出。
  2. 如要存取 signInActivity 資源類型,則每個租用戶皆需要擁有 Microsoft Entra ID P1 或 P2 授權 。否則,此曝險指標 (IoE) 會因為無法偵測到待啟用使用者而跳過整個分析。
  3. 由於對從未登入或最後登入時間早於 2023 年 12 月的使用者而言,該屬性仍為未填寫狀態,因此無法取得所需的資料以評估間隔時間。因此,Tenable Identity Exposure 無法正確偵測上次登入日期,可能會導致誤報。

解決方案

Tenable 建議您定期檢查,並停用或刪除從未使用的使用者。找出這類使用者後,請採取以下動作:

  1. 停用。
  2. 請等待一段充足時間 (例如數個月),確保沒有任何非預期的影響。
  3. 在這段延遲期後,如果沒有回報任何問題,即可在貴組織資安政策允許的情況下繼續刪除。

指標詳細資料

名稱: 待啟用的非特權使用者

代碼名稱: NEVER-USED-NON-PRIVILEGED-USER

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: