升级 Tenable Identity Exposure

所需用户角色:本地计算机上的管理员

事先说明

  • Tenable 的下载站点下载 Tenable Identity Exposure 和安全中继的可执行程序

  • 查看部署前要求是否满足 TLS 证书、帐户特权、杀毒软件 (AV) 及端点检测和响应 (EDR) 等升级要求。

从之前的版本升级到 Tenable Identity Exposure 版本 3.77 需要调整之前的架构,以包含安全中继组件。升级之前,请仔细检查并了解以下部分中说明的变更

注意:从 Tenable Identity Exposure 3.59.5 版开始,请确保您的 TLS 证书使用 OpenSSL 3.0.x。有关更多信息,请参阅“部署前要求”。

升级路径

要升级到 Tenable Identity Exposure 的最新版本,您必须遵循以下安装路径中的一条:

  • 2.7 -> 3.1 -> 3.11 -> 3.19 -> 3.29 -> 3.42 -> 3.77

  • 3.x -> 3.59 -> 3.77 -> 3.77

    提示:如果您从 v.3.59 升级,系统会自动安装与配置安全中继。
注意:您可以从任何次要版本升级到下一个主要版本。

升级顺序

  • 要从 Tenable Identity Exposure 3.42 升级到 3.77,请按以下顺序操作:

  • 要从Tenable Identity Exposure 3.593.77 升级到 3.77,请按以下顺序操作:

事先说明

  • 请确保您的 TLS 证书使用 OpenSSL 3.0.x。有关更多信息,请参阅“部署前要求”。

  • 在升级之前,为环境拍摄快照。如果升级失败,Tenable Identity Exposure 支持部门无法执行回滚,而这会导致全新安装并造成您丢失之前的数据。请参阅“备份”,以获取完整信息。

  • 备份和还原存储管理器。Tenable 强烈建议您在升级之前备份存储管理器。有关如何备份或还原 MSSQL 的说明,请参阅 Microsoft 官方文档。

  • 考虑停机时间:根据您的环境和升级程度,停机时间从几分钟到几小时不等。请将此因素纳入您的日程安排和通信计划考虑范围中,并将计划的停机时间和可能发生的服务中断消息告知受影响的用户。

  • Tenable 的下载站点下载 Tenable Identity Exposure 和安全中继的可执行程序

  • 在本地计算机上以管理员身份运行安装程序

  • 重新启动服务器,然后再为每个组件启动 Tenable Identity Exposure 安装程序。

升级程序

请按照以下程序,使用“带自动生成证书和自签名证书的 TLS(默认)”升级 Tenable Identity Exposure 组件。有关更多信息,请参阅“TLS Installation Types”。

注意:“无 TLS”的安装默认采用此模式。

目录侦听器

升级目录侦听器:

  1. 在本地计算机上,重新启动服务器并运行 Tenable Identity Exposure 3.77 本地安装程序。

    出现“欢迎”屏幕。

  2. 在设置语言框中,从下拉列表中选择要安装的语言,然后单击“下一步”。

    出现“安装向导”。“专家模式”复选框为默认选中。

  1. 单击“下一步”。

    出现“自定义安装”窗口。

  2. 安装程序会根据之前的安装自动预选目录侦听器组件。单击“下一步”。

    出现“TLS 选项”窗口。

  3. 选择“带有自动生成证书和自签名证书的 TLS(默认)”选项。

    可选:如果您选择“带有自定义证书的 TLS,无需对等验证”或“带有自定义证书的 TLS,需要对等验证”,则下一个“TLS 证书”屏幕会要求您提供以下信息:

    • 在“服务器 PFX 存档”框中,单击“”以导航至“PFX 存档”。

    • 在“PFX 密码”框中,输入 PFX 文件的密码。

    • 在“CA 证书文件”框中,单击“”以导航至 CA 证书文件。

  1. 单击“下一步”。

    出现“安全引擎节点”窗口。

  2. 在 RabbitMQ 的“主机”框中,输入安全引擎节点的 IP 地址(或托管 RabbitMQ 的安全引擎节点的 IP 地址(如果使用拆分架构))。

    注意:如果保留默认值“127.0.0.1”并单击“下一步”,安装程序将失败并执行回滚。

  1. 单击“下一步”。

    出现“目录侦听器”窗口。

  2. 有两个选项可供您选择是否在此目录侦听器上安装安全中继:

    • :在此安装过程完成且目录侦听器重新启动后,安全中继安装程序便会启动。

    • :您选择在以后或在单独的服务器上安装安全中继(请参阅“本地平台的安全中继架构”)。此时会出现一条消息,其中包含安全中继安装程序所在的位置。无论是在目录侦听器计算机还是单独的计算机上,您都必须安装安全中继

  1. 单击“下一步”。

    出现“准备安装”窗口。

  2. 单击“安装”即可开始升级。

    升级完成后,会出现“正在完成 Tenable Identity Exposure 安装向导”窗口。

  3. 单击“完成”。

    此时会出现一个对话框,询问是否要重新启动计算机。

  4. 单击“”。

    注意:暂时不要重新启动计算机。请在升级所有服务器后再重新启动计算机。

  5. 升级安全引擎节点 (SEN)。

安全引擎节点

升级 SEN:

  1. 在本地计算机上,重新启动服务器并运行 Tenable Identity Exposure 3.77 本地安装程序。

    出现“欢迎”屏幕。

  2. 在设置语言框中,单击箭头即可选择要安装的语言,然后单击“下一步”。

    出现“安装向导”。“专家模式”复选框为默认选中。

  3. 单击“下一步”。

    出现“自定义安装”窗口。

  4. 安装程序会根据之前的安装自动预选 SEN 组件。单击“下一步”。

    出现“TLS 选项”窗口。

  5. 选择“带有自动生成证书和自签名证书的 TLS(默认)”选项。

    可选:如果您选择“带有自定义证书的 TLS,无需对等验证”或“带有自定义证书的 TLS,需要对等验证”,则下一个“TLS 证书”屏幕会要求您提供以下信息:

    • 在“服务器 PFX 存档”框中,单击“”以导航至“PFX 存档”。

    • 在“PFX 密码”框中,输入 PFX 文件的密码。

    • 在“CA 证书文件”框中,单击“”以导航至 CA 证书文件。

  6. 单击“下一步”。

    出现“存储管理器”窗口。

  7. 验证或输入以下信息:

    • 在“主机”框中,检查以前安装的 MSSQL 数据库的 FQDN 或 IP 地址是否仍然有效,并根据需要予以更正。

    • 在“事件日志存储”框中,输入存储事件日志的计算机的 IP 地址,该地址通常与 MSSQL 数据库的 IP 地址相同。

    注意:如果您在上次安装后更改了 SA 密码,则安装程序会要求 SQL Server 的 SA 密码只能包含字母数字字符。使用特殊字符会导致安装程序失败。

    注意:切记在此步骤中更新事件日志存储 IP 或主机名地址,否则会导致攻击检测问题。如果您已成功完成此屏幕中的设置并升级了 SEN,则必须将 TENABLE_CASSIOPEIA_CYGNI_Service__EventLogsStorage__HostTENABLE_CASSIOPEIA_EVENT_LOGS_DECODER_Service__EventLogsStorage__Host 的环境变量从当前值更新为 <存储管理器主机名或 IP 地址> 的准确值。有关更多信息,请参阅“故障排除知识库文章”。

  8. 单击“下一步”。

    出现“安全引擎节点”窗口。

  9. 在“DNS 名称或 IP”框中,安装程序会显示最终用户为了访问上次安装的 Tenable Identity Exposure 而输入的 Web 服务器的 DNS 名称(首选)或 IP 地址。如有必要,请检查名称或地址是否仍然正确有效。

  1. 单击“下一步”。

    出现“目录侦听器”窗口。

  2. 在“Ceti”框中,输入目录侦听器的 IP 地址

    此时会出现“代理配置”窗口。

  3. 有以下代理类型可供选择:

    • :从下拉列表框中选择“无”,然后单击“下一步”。

    • 未经身份验证:从下拉列表框中选择“未经身份验证”。

      • 在“代理地址”和“代理端口”框中,输入代理服务器的地址和端口。

    • 基本身份验证:从下拉列表框中选择“基本身份验证”。

      • 在“代理地址”和“代理端口”框中,输入代理服务器的地址和端口。

      • 在“代理用户”和“代理密码”框中,输入被授权访问代理服务器的特定用户帐户的名称以及相关的凭据,以允许通过代理服务器发送请求。

  4. 单击“测试连接”。

  5. 单击“下一步”。

    出现“准备安装”窗口。

  6. 单击“安装”即可开始升级。

    升级完成后,会出现“正在完成 Tenable Identity Exposure 安装向导”窗口。

  7. 单击“完成”。

    此时会出现一个对话框,询问是否要重新启动计算机。

  8. 单击“”。

    注意:暂时不要重新启动服务器。请在升级所有服务器后再重新启动计算机。

  9. 升级存储管理器。

存储管理器

升级存储管理器:

  1. 在本地计算机上,重新启动服务器并运行 Tenable Identity Exposure 3.59 本地安装程序。

    出现“欢迎”屏幕。

  2. 在设置语言框中,单击箭头即可选择要安装的语言,然后单击“下一步”。

    出现“安装向导”。“专家模式”复选框为默认选中。

  1. 单击“下一步”。

    出现“自定义安装”窗口。安装程序会根据之前的安装自动预选存储管理器组件。

  2. 单击“下一步”。

  3. (可选)单击“浏览”,以更改安装文件夹位置。仅更改驱动器号。

    出现“TLS 选项”窗口。

  4. 选择“带有自动生成证书和自签名证书的 TLS(默认)”选项。

    可选:如果您选择“带有自定义证书的 TLS,无需对等验证”或“带有自定义证书的 TLS,需要对等验证”,则“TLS 证书”屏幕会要求您提供以下信息:

    • 在“服务器 PFX 存档”框中,单击“”以导航至“PFX 存档”。

    • 在“PFX 密码”框中,输入 PFX 文件的密码。

  5. 单击“下一步”。

    出现“存储管理器”窗口。

  6. 安装程序会再次使用以前安装的信息。单击“下一步”。

    注意:如果您在上次安装后更改了 SA 密码,则安装程序会要求 SQL Server 的 SA 密码只能包含字母数字字符。使用特殊字符会导致安装程序失败。

  1. 单击“下一步”。

    出现“准备安装”窗口。

  1. 单击“安装”即可开始升级。

    升级完成后,会出现“正在完成 Tenable Identity Exposure 安装向导”窗口。

  2. 单击“完成”。

    此时会出现一个对话框,询问是否要重新启动计算机。

  3. 单击“”。

    计算机重新启动。

  4. 重新启动 SEN。

  5. 重新启动 DL。

  6. 使用单独的安装程序安装 适用于 Tenable Identity Exposure 3.77 的安全中继

  1. 查看安全中继要求

  2. 选择 本地平台的安全中继架构

  3. 安装 适用于 Tenable Identity Exposure 3.77 的安全中继