Tenable Identity Exposure 2024 本地版本说明
这些版本说明会按时间倒序排列。
Tenable Identity Exposure 3.77.3 (2024-11-06)
-
攻击指标 (IoA)
-
新的基本模式和激进模式:基本模式专为喜欢简化设置的客户而设计,可最大程度地减少配置时间并减少误报,从而降低不必要的警报噪音。这适用于以下 IoA:
-
DCSync
-
可疑的 DC 密码更改
-
Golden Ticket(黄金票据)
-
NTDS 提取
-
OS 凭据转储:LSASS 内存
-
本地管理员枚举
-
SAMAccountName 冒充
-
-
-
风险暴露指标 (IoE)
-
新 IoE
- 影子凭据:新 IoE 可检测“Windows Hello for Business”功能及其关联密钥凭据中的后门程序和配置错误。
-
托管服务帐户中存在风险的错误配置:新 IoE 可确保正确部署和配置托管服务帐户。
-
特权身份验证孤岛配置:协助 AD 管理员为第 0 层帐户安装和设置身份验证孤岛。
-
属性集完整性:Microsoft Active Directory (AD) 中的“属性集”整合了多种属性,让 ACL 管理更轻松、更高效。此风险暴露指标可检查这些 AD 对象及其属性,以确定其中是否存在错误配置或潜在后门程序。
-
已同步到 Microsoft Entra ID 的特权 AD 用户帐户:检查特权 Active Directory 用户帐户是否未同步到 Microsoft Entra ID。
-
已启用来宾帐户:检查内置的来宾帐户是否已禁用。
-
存在冲突的安全主体:检查是否存在重复(存在冲突)的用户、计算机或组。
-
基于 RSOP 的 IoE:为增强性能,Tenable Identity Exposure 不再进行实时的 RSoP(策略结果集)检查,而是每 30 分钟安排一次 RSoP 安全检查,以便在 RSoP 过程期间更好地管理必要的相关检查。有关更多信息,请参阅“基于 RSOP 的风险暴露指标”。
-
KRBTGT 帐户上次更改密码的时间:增加了对 Windows Hello for Business(云信任部署)中 krbtgt_AzureAD 帐户的支持。
-
可逆密码:现在包括对由 PSO 定义且具有 msDS-PasswordReversibleEncryptionEnabled 属性的可逆密码的验证。
-
本地管理帐户管理:支持新的 Windows LAPS。引入名为“已安装 LAPS 版本”的新选项,并根据用户的选择验证 LAPS 版本的配置。
-
- 代理:能够在 Tenable Identity Exposure 安装或升级期间定义代理连接。此代理连接使本地环境能够使用 Tenable One 功能。
-
安全中继安装:当您在单独的计算机(独立计算机)上安装安全中继时,增强的安装程序有助于您从目录侦听器上传自签名证书。
-
电子邮件警报现在仅支持安全的加密协议,具体而言如 TLS 1.2 和 1.3。如果客户使用已弃用的 SMTP 加密标准(如 SSLv3)覆盖了安全中继设置,则必须移除该覆盖设置。唯一允许的值是“Tls12”、“Tls13”或“TLS12,Tls13”(用于根据服务器版本进行自动切换)。使用不受支持的值会阻止中继启动。
-
新增 10 小时的“延迟时间”(黄金票据 IoA),以便在这段时间内将合法用户列入白名单,从而减少误报的数量。
-
IoA 设置:能够在触发事件分析之前选择事件收集的持续时间。值介于 30 秒到 9 分钟之间。
-
Active Directory:Tenable Identity Exposure 增加了受其管理的 AD 对象的大小限制。
-
风险暴露指标
-
存在风险的 Kerberos 委派
-
不再将拥有智能卡的用户视为安全问题,因为他们不受 AS-REP Roasting 攻击的影响。
-
不会再因为“未受保护以防委托”的原因将计算机标记为异常,而是会解决任何现有的异常行为。
-
新增一个报告原因,报告满足以下条件的所有帐户,即用于约束委派 (msDS-AllowedToDelegateTo) 的属性引用了不存在的服务主体名称 (SPN)。
-
新增一个原因,用于检测 Microsoft Entra Connect 帐户上当前的 Kerberos 委派配置 (AZUREADSSOACC)。
-
-
“用户主要组”IoE:新增一个报告原因,报告所有因权限不足而导致 primaryGroupID 属性显示为空的帐户。
密码永不过期的帐户:新增一个原因,用于区分特权用户和普通用户。
存在冲突的安全主体:新的 IoE 会检查是否存在重复(存在冲突)的对象,如用户、计算机或组。
使用旧密码的用户帐户、运行过时操作系统的计算机及休眠帐户:新增两个原因,用于区分特权用户和普通用户。
没有计算机加固 GPO 的域
新的检查,确保所有域计算机上明确禁用了空会话。
与为域控制器(SYSVOL/NETLOGON 共享)配置的加固 UNC 路径相关的新检查。
新的检查,确保在所有域控制器上禁用打印后台处理程序服务。
SMB 签名强制执行:Tenable Identity Exposure 可确保在域控制器和其他服务器上正确强制执行 SMB 签名。该功能会验证“默认域控制器策略”参数,并检查其他服务器上的 GPO 配置是否正确。
Tenable Identity Exposure 的 3.77.x 版本修复了以下错误:
错误修复 |
---|
“未使用 Protected Users 组”风险暴露指标中的“允许的用户”选项现在允许您按 UserPrincipalName (UPN)、SID 和 sAMAccountName 将用户加入白名单,而不是像以前一样只能按标识名操作。 |
攻击指标侦听器现在支持非 ASCII 编码。 |
Tenable Identity Exposure 不会因已列入白名单的容器(在配置文件中配置)内的计算机触发“对用户应用弱密码策略”异常行为。 |
Tenable Identity Exposure 会显示一条警告消息,建议您在升级之前拍摄系统快照。 |
Tenable Identity Exposure 通过删除残余项目改进了回滚进程。 |
Tenable Identity Exposure 解决了在查看只读配置文件详细信息时会显示风险暴露指标的问题。 |
Envoy 现在会优先使用 IPv4 解析,然后回退到 IPv6,从而修正当前配置(当前配置会优先使用 IPv6)。 |
能够保护登录会话 Cookie,以确保会话 Cookie 仅通过 HTTPS 发送,从而增强 Web 应用程序的安全性。 |
安全中继计划任务现在具有有效的参数 -AfadRolePath。在升级期间,Tenable Identity Exposure 会删除并重新创建计划任务。 |
Tenable Identity Exposure 现可确保成功构建 Tier0 资产图。 |
安全分析服务在高 CPU 峰值期间(例如安全检查期间)处理其输入。 |
对于状态未知的运行状况检查问题,Tenable Identity Exposure 现在能够成功地给出描述。 |
即使在极少数情况下信任属性缺失,Tenable Identity Exposure 也能正确解析这些属性,从而无误地显示拓扑视图。 |
托管安全分析服务的计算机不再会发生攻击指标 (IoA) 死锁问题。 |
AD 数据收集器服务的运行状况检查现在报告为 true。 |
对用户应用弱密码策略 IoE 添加了增强功能,可以更好地处理与选项限制相关的边缘情况。 |
安全中继安装程序在目录侦听器升级和重启后不再触发。 |
Tenable Identity Exposure 现在可防止安全中继重复发送安全分析服务不再需要的 LDAP 查询结果。 |
DCSync IoA 现在会考虑 Tenable 服务帐户的“samAccountName”超过 20 个字符的边缘情况,从而确保在启用特权分析功能时不触发警报。 |
使用本地化版本的安装程序时,上传无效证书时会显示英语错误消息。 |
“同步到 Microsoft Entra ID 的特权 AD 用户帐户”IoE 不再需要使用“将计算机列入白名单”选项。 |
“密码猜测”IoA 的选项“检测时间间隔”现可显示正确的标签。 |
Tenable Identity Exposure 用户界面在访问 Tenable Identity Exposure 环境的基本 URL 时不再加载两次。 |
Tenable Identity Exposure 更新了与“风险暴露指标”页面相关的权限行为。 |
Tenable Identity Exposure 增强了相关功能,以防止在小型 SaaS 平台上无限期执行 SQL 查询,从而确保能以可靠方式访问数据库。 |
Tenable Identity Exposure 现在会在 IoE 窗格中显示所有 Entra ID IoE。 |
Tenable Identity Exposure 修复了由密码喷洒攻击指标(以及可能的其他 IoA)引起的误报。 |
对于某些边缘情况,Tenable Identity Exposure 为已加入域的计算机更新了安全中继安装流程:使用域管理员帐户的客户现在会收到提示,建议其改用本地管理员帐户。 |
Tenable Identity Exposure 在中继启动期间引入了一种机制,以在中继和平台之间执行网络检查。如果平台尚未运行,中继启动进程会等待,以确保建立稳定连接后再继续进行。 |
如果您有 Tenable One 许可证,用户创建将在 Tenable Vulnerability Management 中进行并传播到 Tenable Identity Exposure。在这种情况下,当您点击 Tenable Identity Exposure 中的“创建用户”按钮时,页面会出现一条消息,将您引导至 Tenable Vulnerability Management 以创建用户。 |
Tenable Identity Exposure 安装程序现在在本地化版本能正确运行。 |
Tenable Identity Exposure 会在进行主要升级时卸载旧版本的 .NET。 |
Tenable Identity Exposure 解决了“NTDS 提取”IoA 中的一个日志记录问题,确保其在所有情况下均能正常运行。 |
对“密码猜测”IoA 进行了更新,新增“检测时间间隔”选项,该选项之前被错误地标记为“密码喷洒”IoA。 |
优化“黄金票据”IoA,以消除 IoA 和 IoE 分析中以前会持续一个小时或更长时间的偶尔暂停。 |
“黄金票据”IoA 中的增强检测算法减少了漏报和误报。 |
Tenable Identity Exposure 增强了相关功能,以防止在小型平台上无限期执行 SQL 查询,从而确保能以可靠方式访问数据库。 |
公共 API 端点 /export/profile/:profileId/checkers/:checkerId 现在无需选项即可正常工作。 |
安装或升级后,MSI 日志文件现位于 C:\Tenable\Logs 中。 |
软件名称 | 升级前 | 升级前 | 升级后 |
---|---|---|---|
Tenable Identity Exposure | 3.42.20 | 3.59.8 | 3.77.3 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 | 14.38.33135.0 |
.NET Windows Server Hosting | 6.0.35 | 6.0.35 | 8.0.10.24468 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
NodeJS | 18.20.4 | 20.18.0 | 20.18.0 |
Erlang OTP | 26.2.5.4 | 26.2.5.4 | 26.2.5.4 |
Rabbit MQ | 3.12.14 | 3.12.4 | 3.12.14(降级) |
SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
OpenSSL | 1.1t | 3.2.0 | 3.3.2 |
Envoy | -- | 1.29.9 | 1.29.9 |
Handle | 5.0.0 | 5.0.0 | 5.0.0 |
Curl | 8.10.1 | 8.10.1 | 8.10.1 |
Tenable Identity Exposure 3.59.8 (2024-10-23)
Tenable Identity Exposure 的 3.59.8 版本修复了以下缺陷:
错误修复 |
---|
安全中继计划任务现在具有有效的参数 -AfadRolePath。在升级期间,Tenable Identity Exposure 会删除并重新创建计划任务。 |
Tenable Identity Exposure 将 RabbitMQ 降级到更稳定的版本。 |
在 Tenable Identity Exposure 安装程序的本地化版本中,无效的证书上传会触发英语错误消息。 |
软件名称 | 升级前 | 升级后 |
---|---|---|
Tenable Identity Exposure | 3.59.7 | 3.59.8 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.32 | 6.0.35 |
.NET Runtime | 6.0.32 | 6.0.35 |
.Net Core | 6.0.32 | 6.0.35 |
ASP.NET Core | 6.0.32 | 6.0.35 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
NodeJS | 20.14.0 | 20.18.0 |
Erlang OTP | 26.2.5.2 | 26.2.5.4 |
Rabbit MQ | 3.13.6 | 3.12.4 |
SQL Server | 15.0.4385.2 | 15.0.4385.2 |
OpenSSL | 3.3.0 | 3.3.2 |
Envoy | 1.29.5 | 1.29.9 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.9.1 | 8.10.1 |
Tenable Identity Exposure 3.42.20 (2024-10-23)
软件名称 | 升级前 | 升级后 |
---|---|---|
Tenable Identity Exposure | 3.42.19 | 3.42.20 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.32 | 6.0.35 |
.NET Runtime | 6.0.32 | 6.0.35 |
.Net Core | 6.0.32 | 6.0.35 |
ASP.NET Core | 6.0.32 | 6.0.35 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
NodeJS | 18.20.3 | 18.20.4 |
Erlang OTP | 26.2.5.2 | 26.2.5.4 |
MSSQL | 15.0.4385.2 | 15.0.4385.2 |
RabbitMQ | 3.12.14 | 3.12.14 |
OpenSSL(未更改) | 1.1.1t | 1.1.1t |
SysInternals Handle | 5.0.0 | 5.0.0 |
cUrl | 8.91 | 8.10.1 |
Tenable Identity Exposure 3.59.7 (2024-08-14)
Tenable Identity Exposure 版本 3.59.7 修复了以下缺陷:
错误修复 |
---|
当 Windows 服务器上的代理更改时,.NET 组件现在会关闭并重新打开其连接,而不是断开连接。 |
在目录侦听器与中继之间的线程数量出现峰值的特定情况下,这两个服务之间的连接不再丢失。 |
注册监听器现在可以处理帐户 samaccountname 中的空格。 |
软件名称 | 升级前 | 升级后 |
---|---|---|
Tenable Identity Exposure | 3.59.6 | 3.59.7 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.32 | 6.0.32 |
.NET Runtime | 6.0.32 | 6.0.32 |
.Net Core | 6.0.32 | 6.0.32 |
ASP.NET Core | 6.0.32 | 6.0.32 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
NodeJS | 20.14.0 | 20.14.0 |
Erlang OTP | 26.2.5.2 | 26.2.5.2 |
Rabbit MQ | 3.13.6 | 3.13.6 |
SQL Server | 15.0.4375.4 | 15.0.4385.2 |
OpenSSL | 3.3.0 | 3.3.0 |
Envoy | 1.29.5 | 1.29.5 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.7.1 | 8.9.1 |
Tenable Identity Exposure 3.42.19 (2024-08-14)
Tenable Identity Exposure 版本 3.42.19 修复了以下缺陷:
错误修复 |
---|
Tenable Identity Exposure 增强了跟踪事件流查询引擎对 SQL 注入攻击的防御能力,极大地降低了用户利用此漏洞转储数据库的风险。 |
现已正确显示针对“使用 Windows 2000 以前版本兼容访问控制的帐户”IoE 的异常行为修复。 |
“凭据转储:LSASS 内存”攻击指标:针对此 IoA 攻击向量中进程名称的相关性进行了调整,以减少未知项的数量。 |
一种新机制,可确保数据库对于 badPwdCount 属性频繁修改具有恢复能力。在某些边缘情况下,负责管理错误密码计数事件速率的服务会与消息队列管理器发生断开连接,从而导致事件处理中断。 |
软件名称 | 升级前 | 升级后 |
---|---|---|
Tenable Identity Exposure | 3.42.18 | 3.42.19 |
cUrl | 8.4.0 | 8.91 |
SysInternals Handle | 5.0 | 5.0.0 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
.net 运行时 |
6.0.28 6.0.28 |
6.0.32 6.0.32 |
NodeJS | 18.19.1 | 18.20.3 |
MSSQL | 15.0.4355.3 | 15.0.4385.2 |
RabbitMQ | 3.12.13 | 3.12.14 |
Erlang OTP | 26.2.3 | 26.2.5.2 |
OpenSSL(未更改) | 1.1.1t | 1.1.1t |
C++ 2105-2022 Redistributable(未更改) | 14.38.33130.0 | 14.40.33810.0 |
ASP.NET Core | 6.0.28 | 6.0.32 |
Tenable Identity Exposure 3.59.6 (2024-08-05)
Tenable Identity Exposure 版本 3.59.6 修复了以下缺陷:
错误修复 |
---|
安全中继安装程序现在会检查当前用户是否为本地管理员。 |
使用域管理员帐户在已加入域的计算机上安装安全中继时,会出现弹出消息,指示您使用本地管理员帐户。 |
托管安全分析服务 (Cygni) 的计算机上的代理更改不再导致死锁问题。 |
软件名称 | 升级前 | 升级后 |
---|---|---|
Tenable Identity Exposure | 3.59.5 | 3.59.6 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.31 | 6.0.32 |
.NET Runtime | 6.0.31 | 6.0.32 |
.Net Core | 6.0.31 | 6.0.32 |
ASP.NET Core | 6.0.31 | 6.0.32 |
IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
NodeJS | 20.14.0 | 20.14.0 |
Erlang OTP | 26.2.5 | 26.2.5.2 |
Rabbit MQ | 3.13.3 | 3.13.6 |
SQL Server | 15.0.4375.4 | 15.0.4375.4 |
OpenSSL | 3.3.0 | 3.3.0 |
Envoy | 1.29.5 | 1.29.5 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.7.1 | 8.7.1 |
Tenable Identity Exposure 3.59.5 (2024-07-02)
-
OpenSSL 3.0 支持 — 此版本将 OpenSSL 升级到 3.0.x 版。因此,以 SHA1 签名的 X.509 证书在第 1 级或更高的安全级别下不再有效。TLS 默认为第 1 级的安全级别,这使 SHA1 签名的证书不受信任,无法对服务器或客户端进行身份验证。
您必须升级证书以响应此变更。如果继续安装而不将证书更新为使用 OpenSSL 3.0,则 Tenable Identity Exposure 安装程序会返回以下错误消息和建议的补丁:
-
有关更多信息,请参阅“OpenSSL 3.0 版本说明”。
-
要升级到版本 3.59.5,请参阅《Tenable Identity Exposure 用户指南》中的“升级要求和流程”。
Tenable Identity Exposure 版本 3.59.5 修复了以下缺陷:
错误修复 |
---|
SAML 生成的 Tenable 证书现在使用 4096 位长度的密钥(之前为 1024 位)和 SHA-256 加密算法。 |
实施安全机制,解决帐户锁定期间的用户枚举功能问题。 |
更新 TLS 加密套件列表,确保与面向 Windows Server 2022 的 Azure ARC 更新管理器兼容。 |
在 Tenable Identity Exposure 升级失败后,现在可以继续安装安全中继。 |
现已正确显示针对“使用 Windows 2000 以前版本兼容访问控制的帐户”风险暴露指标的异常行为修复。 |
现在,中继可确保在有延迟的网络间可靠地传递 Syslog 消息。 |
对“凭据转储:LSASS 内存”攻击指标攻击向量中进程名称的相关性进行了调整,减少了未知项的数量。 |
一种新机制,可确保数据库对于 badPwdCount 属性频繁修改具有恢复能力。在某些边缘情况下,负责管理错误密码计数事件速率的服务会与消息队列管理器发生断开连接,从而导致事件处理中断。 |
Web 应用程序现在支持上传 ECC CA 证书,以用于 TLS 连接的验证,包括 LDAPS 身份验证、SMTPS 等。 |
活动日志不再报告内部服务活动。 |
现已增强升级失败后的回滚恢复能力,确保环境变量保持不变。 |
对安装程序在中继与平台之间的通信测试失败时所显示的错误消息进行了优化,以提供更清晰的指导。 |
安全中继安装过程中:“代理配置”屏幕显示空白的可编辑框,以免可能回滚到默认设置。 |
软件名称 | 升级前 | 升级后 |
---|---|---|
Tenable Identity Exposure | 3.59.4 | 3.59.5 |
C++ 2015-2019 Redistributable | 14.24.28127.4 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.27 | 6.0.31 |
.NET Runtime | 6.0.27 | 6.0.31 |
ASP.NET Core | 6.0.27 | 6.0.31 |
IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.05311 | 3.0.5311 |
NodeJS | 18.19.0 | 20.14.0 |
Erlang OTP | 26.2.2 | 26.2.5 |
Rabbit MQ | 3.12.12 | 3.13.3 |
SQL Server | 15.0.4335.1 | 15.0.4375.4 |
OpenSSL | 1.1.1t | 3.3.0 |
Envoy | 1.29.4 | 1.29.5 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.4 | 8.7.1 |
Tenable Identity Exposure 3.59.4 (2024-02-20)
- 安全中继:引入一种使用传输层安全 (TLS) 而非高级消息队列协议 (AMQP) 将 Active Directory 数据从网络传输到 Tenable Identity Exposure 的新模式。有关更多信息,请参阅《安装指南》中的“升级以使用安全中继”和《 管理指南》中的“配置中继”。
警报和身份验证:安全中继支持 Syslog 和 SMTP 警报。有关更多信息,请参阅《Tenable Identity Exposure 管理员指南》中的“安全中继”。
身份验证:您可选择“安全中继”来配置 LDAP 身份验证。此中继会连接到您的 LDAP 服务器以对用户进行身份验证。
警报:Syslog 和 SMTP 警报功能可通过安全中继向私人服务器发送警报。当您创建警报时,安全中继平台会要求您选择中继。您可以设置中继并将其用于域监控和/或警报。
如果您使用安全中继并拥有现有警报,Tenable Identity Exposure 3.45 更新会自动为其分配中继以实现服务连续性。您可以出于与 Relay-VM 网络规则或您的偏好相关的原因编辑此中继。
基本身份验证和未经身份验证的 HTTP 代理支持:中继功能也支持通过基本身份验证使用 HTTP 代理(若您的网络需要代理服务器才能访问目录侦听器服务器,也可不使用身份验证)。有关更多信息,请参阅《Tenable Identity Exposure 管理员指南》中的“安全中继”。
- Entra ID 支持:此功能会将 Tenable Identity Exposure 的使用范围扩展至 Microsoft Entra ID(原名 Azure AD)以及 Active Directory。下列是现可用于识别 Entra ID 中漏洞、侧重于 Entra ID 的新风险暴露指标 (IoE):
已知联合后门程序:Microsoft Entra 租户可以与外部域联合,以便与另一个域建立信任,从而进行身份验证和授权。组织使用联合功能,将 Active Directory 用户的身份验证委派到本地 Active Directory 联合服务 (AD FS)。(请注意:外部域不是 Active Directory“域”。)但是,如果恶意攻击者在 Microsoft Entra ID 中获得了更高的特权,他们可以添加自己的联合域或编辑现有的联合域来添加由自己设置的辅助设置,从而滥用这种联合机制来创建后门程序。
具有凭据的第一方服务主体:第一方服务主体(企业应用程序)来自 Microsoft 的应用程序(应用程序注册)。大多数主体在 Microsoft Entra ID 中拥有一些在安全检查过程中经常被忽略的敏感权限。攻击者可以借此向这些主体添加凭据,以隐蔽的方式利用主体的特权获益。
与 AD 同步的特权 Entra 帐户(混合):适用于混合帐户的检查,特别是那些从 Active Directory 同步且在 Entra ID 中具有特权角色的帐户。这些帐户会带来安全风险,因为它们允许攻击者入侵 AD,转而攻击 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。
影响租户的危险 API 权限:部分 Microsoft API 的一些权限可能对整个 Microsoft Entra 租户造成严重威胁,因为具有这些权限的服务主体会拥有很高的权限,同时也比高权限的管理员角色(例如,全局管理员)等更加谨慎。滥用这些权限可能导致攻击者绕过多因素身份验证 (MFA) 并阻止用户密码重置。
特权帐户缺少 MFA:多因素身份验证 (MFA) 可为帐户提供强大的保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您启用 MFA,即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。在特权帐户没有已注册的 MFA 方法,或者您在没有注册 MFA 方法的情况下强制执行 MFA (上述两种情况可能会允许具有密码的攻击者注册他们自己的 MFA 方法并造成安全风险)时,此 IoE 会向您发出警报。
非特权帐户缺少 MFA:多因素身份验证 (MFA) 可为帐户提供强大的保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您启用 MFA,即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。在非特权帐户没有已注册的 MFA 方法,或者您在没有注册 MFA 方法的情况下强制执行 MFA (上述两种情况可能会允许具有密码的攻击者注册他们自己的 MFA 方法并造成安全风险)时,此 IoE 会向您发出警报。
管理员数量太多:根据定义,管理员具有更高的特权。管理员数量太多会增加管理员帐户被入侵的几率,导致攻击面增加,从而造成安全风险。这也是最低特权原则未受到遵循的表现。
- 新攻击指标 (IoA)
-
DC 密码变更 — 此 IoA 与 Zerologon 相关,主要关注攻击者在利用 Netlogon 漏洞后经常会伴随实施的特定攻击后活动:修改域控制器计算机帐户密码。有关更多信息,请参阅《Tenable Identity Exposure 攻击指标参考指南》。
-
Zerologon:可检测 Netlogon 身份验证进程是否失败,失败则表明攻击者正试图利用 Zerologon 漏洞获取域上的特权。有关更多信息,请参阅《Tenable Identity Exposure 攻击指标参考指南》。
-
域备份密钥提取:可检测多种使用 LSA RPC 调用访问备份密钥的攻击工具。有关更多信息,请参阅《Tenable Identity Exposure 攻击指标参考指南》。
-
-
风险暴露指标 (IoE)
-
新 IoE:
-
允许不安全的动态 DNS 区域更新:可识别动态 DNS 区域更新的不安全配置,这可能导致 DNS 记录受到未经身份验证的编辑,从而遭遇恶意 DNS 记录的攻击。
-
属性集合理性:可用于检查 AD 架构中的属性集及其属性中是否存在任何错误配置,或恶意执行者安装的后门程序。虽然目前还没有与使用属性集相关的已知公共攻击向量,但此 IoE 主要侧重于识别由使用此功能的第三方产品引起的错误配置或特性问题。
-
存在风险的 WSUS 错误配置:检查 Windows Server Update Services (WSUS),该 Microsoft 产品可将 Windows 更新部署到工作站和服务器,从而解决错误配置的设置会导致标准帐户的管理员权限升级的问题。
-
密码缺陷检测:可检查密码是否健全,以确保 Active Directory 身份验证的安全性。弱密码的产生原因有很多,例如复杂性不足、哈希算法过时、为共享密码以及暴露在遭泄露的数据库中。攻击者会利用这些漏洞来冒充帐户,特别是涉及特权帐户的帐户,从而在 Active Directory 中进行未经授权的访问。
-
DFS 错误配置:可检查 SYSVOL 是否使用分布式文件系统复制 (DFSR),这是一种取代文件复制服务 (FRS) 的机制,具有更好的稳健性、扩展性和复制性能。
-
异常对象排除:Tenable Identity Exposure 允许在所选 IoE 中排除异常对象,包括:
-
组:特权用户登录限制
-
操作系统:运行过时操作系统的计算机
-
组织单位:特权用户登录限制、运行过时操作系统的计算机、对用户应用弱密码策略、休眠帐户、使用旧密码的用户帐户
-
-
IoE 分析 — 本地用户现在可在默认 Tenable 安全配置文件上禁用 IoE 分析,以在安全分析中减少资源使用并实现较低的延迟。要实现此目的,请将安全引擎节点 (SEN) 上的 ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile 环境变量设置为 true 并重新启动 Cygni 服务。
-
-
报告中心:此功能提供一种通过简化的报告创建过程向组织中的关键利益相关者导出重要数据的方式。有关更多信息,请参阅《Tenable Identity Exposure 管理员指南》中的“报告中心”。
-
仪表盘模板:一个即用型模板,可帮助您专注于和组织有关的首要问题,例如合规性、风险、密码管理和用户/管理员监控。如需了解更多信息,请参阅《Tenable Identity Exposure 用户指南》中的“仪表盘”。
-
平台运行状况检查功能:Tenable Identity Exposure 会在一个合并视图中列出其执行的平台运行状况检查,以便您及时调查和解决配置异常。有关更多信息,请参阅《Tenable Identity Exposure 管理员指南》中的“运行状况检查”。
- 注册:为增强安全性,注册流程现在要求用户在首次登录时更改针对初始登录提供的默认凭据。Tenable Identity Exposure 还增强了新密码的规则。
-
可扩展性:Tenable Identity Exposure 改进了服务端的攻击指标性能,以便更大规模地处理相关事件,从而使 IoA 更准确,延迟更低。有关更多信息,请参阅《Tenable Identity Exposure 安装指南》中的“扩展 Tenable Identity Exposure 服务”。
-
跟踪事件流
-
Tenable Identity Exposure 会在变更出现时立即接收来自 Active Directory 的事件。但是,对于大型组中的高频率更改,它会在通知系统其余部分之前对聚合事件应用 10 分钟的延迟,从而防止出现性能问题。
-
您现在可按日期和时间筛选跟踪流事件。
-
Tenable Identity Exposure 3.59.4 版本修复了自版本 3.42 以来的所有缺陷。
Tenable Identity Exposure 本地版本 3.59.4 增加重要的增强功能以保护您的 Active Directory 基础设施。此版本包括某些依存关系的更新,以优先考虑软件安全并确保使用最新组件以增强保护。这些组件是:
-
存储管理器 (SM)
-
安全引擎节点 (SEN)
-
目录侦听器 (DL)
软件名称 | 组件 | 升级前版本 | 升级后版本 |
---|---|---|---|
Tenable Identity Exposure | 3.42 | 3.59 | |
C++ 2015-2019 Redistributable | 所有(未更改) | 14.24.28127.4 | 14.24.28127.4 |
.NET Windows Server Hosting | SEN、DL | 6.0.22.23424 | 6.0.27 |
.NET Runtime | SEN、DL | 6.0.22.32824 | 6.0.27 |
ASP.NET Core | SEN、DL | 6.0.22.23424 | 6.0.27 |
IIS URL Rewrite Module 2 | SEN(未更改) | 7.2.1993 | 7.21993 |
Application Request Routing 3.0 | SEN(未更改) | 3.0.05311 | 3.0.05311 |
NodeJS | SM、SEN | 18.18.0 | 18.19.0 |
Erlang OTP | SEN | 26.1.1 | 26.2.2 |
Rabbit MQ |
SEN |
3.12.6 | 3.12.12 |
SQL Server | SM | 15.0.4322.2 | 15.0.4335.1 |
Tenable Identity Exposure 3.42.18 (2024-04-18)
请参阅 Tenable Identity Exposure 3.42 (2023-04-06) 本地版本说明,获取新功能、缺陷修复和补丁的完整列表。
Tenable Identity Exposure 版本 3.42.18 包含以下补丁:
补丁 | 缺陷 ID |
---|---|
SAML 生成的 Tenable 证书现在使用健全的 4096 SHA256 密钥大小,这是对之前 1024 大小的增强。 | 不适用 |
攻击路径增强功能:
|
不适用 |
Tenable Identity Exposure 现在会在 Syslog 警报配置更新后正确刷新 CA 证书。 | 不适用 |
Tenable Identity Exposure 现在在 CSV 文件中应用公式元素失效,通常称为 CSV 注入。 | 不适用 |
若 Tenable Identity Exposure 分析缺少主机名,导致来源显示为“未知”的 4776 事件时,它现在会根据“密码猜测”攻击指标中的“允许未知来源”选项筛选掉此异常行为。 | 不适用 |
DCSync 攻击指标增强功能:
|
不适用 |
攻击指标事件侦听器现在可以再次在 Windows Server 2016 之前的版本上运行。 | 不适用 |
一种新机制可确保数据库对于许多 badPwdCount 属性修改具有弹性。 | 不适用 |
Tenable Identity Exposure 本地版本 3.42.11 增加重要的增强功能以保护您的 Active Directory 基础设施。此版本包括某些依存关系的更新,以优先考虑软件安全并确保使用最新组件以增强保护。
Tenable Identity Exposure | 版本 3.42.3 | 版本 3.42.11 | 版本 3.42.17 | 版本 3.42.18 | |
---|---|---|---|---|---|
软件名称 | 文件名 | 版本 | 版本 | 版本 | 版本 |
cUrl | curl.exe | 7.66.0 | 8.0.1 | 8.4.0 | 8.4.0 |
SysInternals Handle | handle.exe | 4.22.0 | 5.0.0 | 5.0 | 5.0 |
IIS URL Rewrite Module 2 | rewrite_amd64_en-US.msi | 7.2.1980 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
.net 运行时 |
dotnet-hosting-6.0.14-win.exe | 6.0.14 | 6.0.16 |
6.0.22.32824 |
6.0.28 |
NodeJS | node-x64.msi | 16.19.1 | 16.20.0 | 18.18.0 | 18.19.1 |
MSSQL | setup.exe | 2019.150.2000.5 | 2019.150.4312.2 | 15.0.4322.2 | 15.0.4355.3 |
RabbitMQ | rabbitmq-server.exe | 3.10.11 | 3.10.19 | 3.12.6 | 3.12.13 |
Erlang OTP | otp_win64.exe | 25.1.2 | 25.1.2 | 26.1.1 | 26.2.3 |
C++ 2105-2022 Redistributable(未更改) | vcredist_2015_x64.exe | 14.24.28127.4 | 14.24.28127.4 | 14.24.28127.4 | 14.38.33130.0 |
ASP.NET Core | dotnet-hosting-win.exe | 6.0.14 | 6.0.16 | 6.0.22.23424 | 6.0.28 |