休眠设备
LOW
语言:
描述
休眠或过时设备是指在指定时间段(默认为 90 天,可通过选项自定义)未完成任何登录,而处于非活动状态的设备帐户。
休眠设备可能会带来以下安全风险和操作上的复杂性:
- 攻击面增加:过时的配置和未修补的漏洞使休眠设备容易受到最近更新已解决的漏洞的影响。
- 更容易遭入侵:威胁制造者可借此全面入侵租户,并在未经授权的情况下访问敏感信息。
- 审计:在合规性审计过程中引发问题。
- 资源消耗:导致不必要的许可证开销,增加成本。
- 性能下降:不必要的设备回写会延长 Microsoft Entra Connect 同步所需的时间。
此外,还应考虑相关的 IoE“从未使用的设备”,这一指标能够识别所有预先创建但从未投入使用的设备。
注意:
- 此 IoE 依赖于
approximateLastSignInDateTime属性,该属性并非实时更新。当前值仅在差异超过 14 天(+/-5 天)时才会更新。 - 因此,Microsoft 承认“一些处于活动状态的设备可能会有空白的时间戳”。在这种情况下,有必要借助登录审计日志进行进一步调查,以确定设备上更频繁的更新记录。
解决方案
Tenable 建议定期审查,并禁用或删除休眠设备。识别出这些用户后,请执行以下操作:
- 禁用这些设备。
- 等待足够长的时间,例如几个月,以确保不会产生意外影响。
- 经过这段等待期后,如果未报告任何问题,并且组织的信息安全策略允许,则可以删除这些设备。
Microsoft 发布了关于如何管理 Microsoft Entra ID 中过期设备的指南,该指南深入介绍了如何根据设备的加入类型(例如,Microsoft Entra 注册、Microsoft Entra 加入等)来管理过期设备。我们建议在删除任何设备之前先查阅该指南。
指标详细信息
名称: 休眠设备
代码名称: DORMANT-DEVICE
严重性: Low
类型: Microsoft Entra ID Indicator of Exposure