特权分析

特权分析是 Tenable Identity Exposure 中的可选功能,与其他功能相反,该功能需要更多权限以便获取本应受到保护的数据并提供更多安全分析。

先决条件

要使用特权分析,必须打开动态 RPC 端口 TCP/49152-65535UDP/49152-65535。有关更多信息,请参阅“网络流矩阵”。

数据获取

注意:特权分析功能需要更高的特权。请参阅特权分析的访问权限

特权分析功能一旦启用,它会额外获取以下数据:

  • 密码哈希 - Tenable Identity Exposure 获取 LM 和 NT 哈希以进行密码分析。Tenable Identity Exposure 获取 LM 哈希只是为了在 LM 哈希使用旧的弱算法时警告其存在,并不会存储它们。哈希集合范围包括:

    • 所有已启用的用户帐户

    • 所有已启用的域控制器计算机帐户

数据保护

Active Directory (AD) 本身不直接存储用户密码,而是仅存储使用不允许恢复原始密码的 LM 或 NT 哈希算法的密码哈希。Tenable Identity Exposure 不存储 LM 哈希。

除了在 SAAS-VPN 平台中托管中继的客户端之外,密码哈希永远不会离开客户端的基础设施,因为只有中继才能处理它们。中继不存储密码或密码哈希,而是在每次需要分析时检索用户的密码哈希,仅将其临时保存在缓存中,通常仅保存几毫秒。

然而,Tenable Identity Exposure 会保留最少位数的密码哈希数据。数据安全地存储在中继的 RAM 中,仅用于执行 K-anonymity 分析以检查具有相同密码的用户。

注意:对于 SaaS-VPN 平台客户端,中继的行为方式是相同的,但托管您的中继的是 Tenable。