Usuario privilegiado inactivo

Este IoE no puede funcionar sin una licencia de Microsoft Entra ID P1 o P2 debido a restricciones de disponibilidad de datos por parte de Microsoft.

Un usuario inactivo es una cuenta de usuario que ha permanecido inactiva al no completar ningún inicio de sesión correcto durante un período específico (90 días de manera predeterminada, pero se puede personalizar mediante una opción).

Los usuarios inactivos pueden introducir los siguientes riesgos de seguridad y complicaciones operativas:

• Como objetivos potenciales para los atacantes si estas cuentas tienen contraseñas débiles o que no se han cambiado, lo que facilita una vulneración. Por ejemplo, una alerta de CISA informó lo siguiente:

también se han dirigido campañas a cuentas inactivas pertenecientes a usuarios que ya no trabajan en una organización víctima, pero cuyas cuentas permanecen en el sistema.

• Un aumento en la superficie de ataque del inquilino de Entra al crear vulnerabilidades potenciales. Por ejemplo, la misma alerta de CISA informó lo siguiente:

Luego de un restablecimiento de contraseñas obligatorio para todos los usuarios durante un incidente, también se observó que los agentes de SVR iniciaron sesión en cuentas inactivas y siguieron las instrucciones para restablecer la contraseña. Esto permitió que los agentes recuperaran el acceso luego de las actividades de expulsión en respuesta a incidentes.

• Acceso a personas que ya no lo necesitan, como exempleados o becarios.
• Desperdicio de recursos, como licencias. La identificación, desactivación o eliminación periódicas de usuarios inactivos permite a las organizaciones optimizar la asignación de recursos y ahorrar costos innecesarios.

Además, tenga en cuenta el IoE relacionado “Usuario privilegiado no utilizado nunca”, que detecta todos los usuarios que se crearon anteriormente, pero que no se usaron nunca. El riesgo es mayor para los usuarios privilegiados. Consulte también el IoE relacionado para los usuarios sin privilegios.

Nota:

1. Este IoE se basa en la propiedad lastSuccessfulSignInDateTime de la propiedad signInActivity de los objetos de usuario. Su ventaja radica en informar únicamente los inicios de sesión correctos con el fin de evitar interrupciones debido a intentos fallidos, a diferencia de la propiedad lastSignInDateTime. La propiedad lastSuccessfulSignInDateTime está disponible desde diciembre de 2023.
2. Para acceder al tipo de recurso signInActivity, necesita una licencia de Microsoft Entra ID P1 o P2 para cada inquilino. De lo contrario, este IoE no puede detectar usuarios inactivos y, por lo tanto, omite todo el análisis.
3. Dado que esta propiedad permanece sin rellenar para los usuarios que nunca han iniciado sesión o que iniciaron sesión por última vez antes de diciembre de 2023, los datos necesarios para evaluar el intervalo no están disponibles. En consecuencia, Tenable Identity Exposure no puede detectar correctamente la última fecha de inicio de sesión, lo que puede generar falsos positivos.

Tenable recomienda que revise periódicamente y deshabilite o elimine los usuarios inactivos, en particular los privilegiados. Luego de identificarlos, siga las acciones a continuación:

1. Deshabilítelos.
2. Espere unos meses.
3. Luego de este plazo, si no se informan problemas y si la política de seguridad de la información de la organización lo permite, proceda a eliminarlos.

Nombre: Usuario privilegiado inactivo

Nombre en clave: DORMANT-PRIVILEGED-USER

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure