从未使用的特权用户

由于 Microsoft 数据可用性限制，此 IoE 必须在具备 Microsoft Entra ID P1 或 P2 许可证的情况下才能运作。

从未使用的用户是指在 Entra ID 中创建后，在特定天数内（默认为 90 天，可自定义）从未成功进行过身份验证的用户帐户。

此类帐户由于各种原因会增加攻击面，例如：

• 后门程序帐户允许不再需要访问权限的人员（如前员工或从未使用过该帐户的实习生）继续访问。
• 继续使用默认密码会增加帐户遭到入侵的风险。例如，CISA 警报指出：

  攻击活动还针对那些不再在受害组织工作但其帐户仍保留在系统中的用户的休眠帐户

，警报还提到：

在某次事件中，所有用户被迫重置密码后，发现 SVR 攻击者登录了处于非活动状态的帐户，并按照指示完成了密码重置。这造成攻击者在事件响应驱逐活动后重新获得访问权限。

• 造成诸如许可证等资源的浪费。通过定期识别、停用或移除不必要的用户，组织可以优化资源分配并节省不必要的成本。

此外，请考虑相关的“休眠用户”IoE，该指标可识别所有以前处于活动状态但现在处于非活动状态的用户。 特权用户面临的风险更高。对于非特权用户，另请参阅相关 IOE“从未使用的非特权用户”。

注意：

1. 此 IoE 依赖用户对象的 signInActivity 属性中的 lastSuccessfulSignInDateTime 属性。与属性 lastSignInDateTime 不同，其优点在于仅报告成功的登录，从而避免因失败的登录尝试而引起的干扰。lastSuccessfulSignInDateTime 属性于 2023 年 12 月开始可用。
2. 要访问 signInActivity 资源类型，每个租户都需要拥有 Microsoft Entra ID P1 或 P2 许可证。否则，此 IoE 将无法检测从未使用的用户，并会因此跳过整个分析过程。
3. 由于这一属性对于从未登录或最后一次登录发生在 2023 年 12 月之前的用户来说是空白的，因此缺少评估间隔所需的必要数据。鉴于此，Tenable Identity Exposure 无法正确检测最后的登录日期，可能会导致误报。

Tenable 建议定期审查，并禁用或删除从未使用的用户，尤其是特权用户。识别出这些用户后，请执行以下操作：

1. 禁用这些帐户。
2. 等待足够长的时间，例如几个月，以确保不会产生意外影响。
3. 经过这段等待期后，如果未报告任何问题，并且组织的信息安全策略允许，则可以删除这些帐户。

名称: 从未使用的特权用户

代码名称: NEVER-USED-PRIVILEGED-USER

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure