与 Active Directory 域集成

Tenable Identity Exposure 可在连接到 Active Directory (AD) 域的 Microsoft Server 操作系统上运行。以下指南关于是否将这些服务器连接到 AD 域。

• 由于 Tenable Identity Exposure 提供的安全信息较为敏感，Tenable 不建议将其服务器加入任何 AD 域。实际上，在隔离的环境中工作有助于明确区分受监控的边界和监控实体（即 Tenable Identity Exposure）。在此配置中，在受监控的域上拥有初始访问权限或有限权限的攻击者无法直接访问 Tenable Identity Exposure 及其安全分析结果。

• 如果有受信任的基础设施，您可以选择在域加入服务器上运行 Tenable Identity Exposure。此方法可以改进服务器管理，因为它是用于每个域加入服务器的常规流程的一部分。特别是，Tenable Identity Exposure 服务器应用的强化政策与其他公司服务器的强化政策相同。Tenable 建议仅在安全的 AD 环境中使用此架构，并且您必须考虑 AD 遭到入侵时带来的以下风险：

  • 拥有服务器管理权限的攻击者可以使用来自 Tenable Identity Exposure 的数据分析，收集有关入侵系统的方式的更多信息。

  • 对域加入服务器实施安全策略可禁止向 Tenable 支持团队或其认证合作伙伴授予管理员权限。

  • 攻击者可通过隐藏安全事件来破坏 Tenable Identity Exposure 的安全监控。