休眠的非特权用户

由于 Microsoft 的数据可用性限制，此 IoE 无法在没有 Microsoft Entra ID P1 或 P2 许可证的情况下工作。

休眠用户是指在指定时间段（默认为 90 天，可通过选项自定义）未成功完成任何登录，而处于非活动状态的用户帐户。

休眠用户可能会带来以下安全风险和操作上的复杂性：

• 如果这些帐户设有弱密码或密码未更改，则可能成为攻击者的潜在目标，从而增加遭入侵的风险。例如，CISA 警报指出：

攻击活动还针对那些不再在受害组织工作但其帐户仍保留在系统中的用户的休眠帐户

• 通过创建潜在的漏洞，扩大了 Entra 租户的攻击面。例如，同一 CISA 警报 还提到：

在某次事件中，所有用户被迫重置密码后，发现 SVR 攻击者登录了处于非活动状态的帐户，并按照指示完成了密码重置。这使得攻击者可以在事件响应驱逐活动后重新获得访问权限。

• 向不再需要访问权限的人员（如前员工或从未使用过该帐户的实习生）授予访问权限。
• 造成诸如许可证等资源的浪费。通过定期识别、停用或移除休眠用户，组织可以优化资源分配并节省不必要的成本。

此外，还应考虑相关 IoE“从未使用的非特权用户”，这一指标能够识别所有预先创建但从未使用的用户。 对于特权用户，另请参阅相关 IOE“休眠的特权用户”。

注意：

1. 此 IoE 依赖用户对象的 signInActivity 属性中的 lastSuccessfulSignInDateTime 属性。与属性 lastSignInDateTime 不同，其优点在于仅报告成功的登录，从而避免因失败的登录尝试而引起的干扰。lastSuccessfulSignInDateTime 属性于 2023 年 12 月开始可用。
2. 要访问 signInActivity 资源类型，每个租户都需要拥有 Microsoft Entra ID P1 或 P2 许可证。否则，此 IoE 将无法检测从休眠用户，并会因此跳过整个分析过程。
3. 由于这一属性对于从未登录或最后一次登录发生在 2023 年 12 月之前的用户来说是空白的，因此缺少评估间隔所需的必要数据。鉴于此，Tenable Identity Exposure 无法正确检测最后的登录日期，可能会导致误报。

Tenable 建议定期审查，并禁用或删除休眠用户。识别出这些用户后，请执行以下操作：

1. 禁用这些帐户。
2. 等待足够长的时间，例如几个月，以确保不会产生意外影响。
3. 经过这段等待期后，如果未报告任何问题，并且组织的信息安全策略允许，则可以删除这些帐户。

名称: 休眠的非特权用户

代码名称: DORMANT-NON-PRIVILEGED-USER

严重性: Low

类型: Microsoft Entra ID Indicator of Exposure