休眠的非特权用户

休眠用户是指在指定时间段（默认为 90 天，可通过选项自定义）未成功完成任何登录，而处于非活动状态的用户帐户。

休眠用户可能会带来以下安全风险和操作上的复杂性：

• 如果这些帐户设有弱密码或密码未更改，则可能成为攻击者的潜在目标，从而增加遭入侵的风险。例如，CISA 警报指出：

攻击活动还针对那些不再在受害组织工作但其帐户仍保留在系统中的用户的休眠帐户

• 通过创建潜在的漏洞，扩大了组织的攻击面。例如，同一 CISA 警报 还提到：

在某次事件中，所有用户被迫重置密码后，发现 SVR 攻击者登录了处于非活动状态的帐户，并按照指示完成了密码重置。这使得攻击者可以在事件响应驱逐活动后重新获得访问权限。

• 向不再需要访问权限的人员（如前员工或从未使用过该帐户的实习生）授予访问权限。
• 造成诸如许可证等资源的浪费。通过定期识别、停用或移除休眠用户，组织可以优化资源分配并节省不必要的成本。

此外，还应考虑相关 IoE“从未使用的非特权用户”，这一指标能够识别所有预先创建但从未使用的用户。 对于特权用户，另请参阅相关 IOE“休眠的特权用户”。

注意：IOE 依赖 lastLogin 属性，该属性存在已知限制：Okta 仅在用户访问 Okta 仪表盘时才会更新此值。因此，由 SP 发起的身份验证（例如用户直接访问某个应用程序，并被临时重定向到 Okta 进行身份验证的情况）不会更新此属性。由于这一点，对于那些从未访问过 Okta 仪表盘、但已成功在应用程序上完成身份验证的用户，IOE 可能会产生误报。虽然 Okta 已记录了一种变通解决方案，但该方案目前与 Tenable Identity Exposure 不兼容。因此，您必须手动排除这些误报。

Tenable 建议定期审查，并禁用或删除休眠用户。识别出这些用户后，请执行以下操作：

1. 禁用这些帐户。
2. 等待足够长的时间，例如几个月，以确保不会产生意外影响。
3. 经过这段等待期后，如果未报告任何问题，并且组织的信息安全策略允许，则可以删除这些帐户。

名称: 休眠的非特权用户

代码名称: DORMANT-NON-PRIVILEGED-USER-OKTA

严重性: Low

类型: Okta Indicator of Exposure