Tenable Identity Exposure 2024 本地版本说明

• 安全中继：引入一种使用传输层安全 (TLS) 而非高级消息队列协议 (AMQP) 将 Active Directory 数据从网络传输到 Tenable Identity Exposure 的新模式。有关更多信息，请参阅《安装指南》中的“升级以使用安全中继”和《 管理指南》中的“配置中继”。

  • 警报和身份验证：安全中继支持 Syslog 和 SMTP 警报。有关更多信息，请参阅《Tenable Identity Exposure 管理员指南》中的“安全中继”。

    • 身份验证：您可选择“安全中继”来配置 LDAP 身份验证。此中继会连接到您的 LDAP 服务器以对用户进行身份验证。

    • 警报：Syslog 和 SMTP 警报功能可通过安全中继向私人服务器发送警报。当您创建警报时，安全中继平台会要求您选择中继。您可以设置中继并将其用于域监控和/或警报。

      如果您使用安全中继并拥有现有警报，Tenable Identity Exposure 3.45 更新会自动为其分配中继以实现服务连续性。您可以出于与 Relay-VM 网络规则或您的偏好相关的原因编辑此中继。

  • 基本身份验证和未经身份验证的 HTTP 代理支持：中继功能也支持通过基本身份验证使用 HTTP 代理（若您的网络需要代理服务器才能访问目录侦听器服务器，也可不使用身份验证）。有关更多信息，请参阅《Tenable Identity Exposure 管理员指南》中的“安全中继”。

• Entra ID 支持：此功能会将 Tenable Identity Exposure 的使用范围扩展至 Microsoft Entra ID（原名 Azure AD）以及 Active Directory。下列是现可用于识别 Entra ID 中漏洞、侧重于 Entra ID 的新风险暴露指标 (IoE)：

  • 已知联合后门程序：Microsoft Entra 租户可以与外部域联合，以便与另一个域建立信任，从而进行身份验证和授权。组织使用联合功能，将 Active Directory 用户的身份验证委派到本地 Active Directory 联合服务 (AD FS)。（请注意：外部域不是 Active Directory“域”。）但是，如果恶意攻击者在 Microsoft Entra ID 中获得了更高的特权，他们可以添加自己的联合域或编辑现有的联合域来添加由自己设置的辅助设置，从而滥用这种联合机制来创建后门程序。

  • 具有凭据的第一方服务主体：第一方服务主体（企业应用程序）来自 Microsoft 的应用程序（应用程序注册）。大多数主体在 Microsoft Entra ID 中拥有一些在安全检查过程中经常被忽略的敏感权限。攻击者可以借此向这些主体添加凭据，以隐蔽的方式利用主体的特权获益。

  • 与 AD 同步的特权 Entra 帐户（混合）：适用于混合帐户的检查，特别是那些从 Active Directory 同步且在 Entra ID 中具有特权角色的帐户。这些帐户会带来安全风险，因为它们允许攻击者入侵 AD，转而攻击 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。

  • 影响租户的危险 API 权限：部分 Microsoft API 的一些权限可能对整个 Microsoft Entra 租户造成严重威胁，因为具有这些权限的服务主体会拥有很高的权限，同时也比高权限的管理员角色（例如，全局管理员）等更加谨慎。滥用这些权限可能导致攻击者绕过多因素身份验证 (MFA) 并阻止用户密码重置。

  • 特权帐户缺少 MFA：多因素身份验证 (MFA) 可为帐户提供强大的保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。在特权帐户没有已注册的 MFA 方法，或者您在没有注册 MFA 方法的情况下强制执行 MFA （上述两种情况可能会允许具有密码的攻击者注册他们自己的 MFA 方法并造成安全风险）时，此 IoE 会向您发出警报。

  • 非特权帐户缺少 MFA：多因素身份验证 (MFA) 可为帐户提供强大的保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。在非特权帐户没有已注册的 MFA 方法，或者您在没有注册 MFA 方法的情况下强制执行 MFA （上述两种情况可能会允许具有密码的攻击者注册他们自己的 MFA 方法并造成安全风险）时，此 IoE 会向您发出警报。

  • 管理员数量太多：根据定义，管理员具有更高的特权。管理员数量太多会增加管理员帐户被入侵的几率，导致攻击面增加，从而造成安全风险。这也是最低特权原则未受到遵循的表现。

• 新攻击指标 (IoA)

  • DC 密码变更：此 IoA 与 Zerologon 相关，主要关注攻击者通常与 Netlogon 漏洞结合使用的特定漏洞利用后活动：修改域控制器计算机帐户密码。有关更多信息，请参阅《Tenable Identity Exposure 攻击指标参考指南》。

  • Zerologon：可检测 Netlogon 身份验证进程是否失败，失败则表明攻击者正试图利用 Zerologon 漏洞获取域上的特权。有关更多信息，请参阅《Tenable Identity Exposure 攻击指标参考指南》。

  • 域备份密钥提取：可检测多种使用 LSA RPC 调用访问备份密钥的攻击工具。有关更多信息，请参阅《Tenable Identity Exposure 攻击指标参考指南》。

• 风险暴露指标 (IoE)

  • 新 IoE：

  • 允许不安全的动态 DNS 区域更新：可识别动态 DNS 区域更新的不安全配置，这可能导致 DNS 记录受到未经身份验证的编辑，从而遭遇恶意 DNS 记录的攻击。

  • 属性集合理性：可用于检查 AD 架构中的属性集及其属性中是否存在任何错误配置，或恶意执行者安装的后门程序。虽然目前还没有与使用属性集相关的已知公共攻击向量，但此 IoE 主要侧重于识别由使用此功能的第三方产品引起的错误配置或特性问题。

  • 存在风险的 WSUS 错误配置：检查 Windows Server Update Services (WSUS)，该 Microsoft 产品可将 Windows 更新部署到工作站和服务器，从而解决错误配置的设置会导致标准帐户的管理员权限升级的问题。

  • 密码缺陷检测：可检查密码是否健全，以确保 Active Directory 身份验证的安全性。弱密码的产生原因有很多，例如复杂性不足、哈希算法过时、为共享密码以及暴露在遭泄露的数据库中。攻击者会利用这些漏洞来冒充帐户，特别是涉及特权帐户的帐户，从而在 Active Directory 中进行未经授权的访问。

  • DFS 错误配置：可检查 SYSVOL 是否使用分布式文件系统复制 (DFSR)，这是一种取代文件复制服务 (FRS) 的机制，具有更好的稳健性、扩展性和复制性能。

  • 异常对象排除：Tenable Identity Exposure 允许在所选 IoE 中排除异常对象，包括：

    • 组：特权用户登录限制

    • 操作系统：运行过时操作系统的计算机

    • 组织单位：特权用户登录限制、运行过时操作系统的计算机、对用户应用弱密码策略、休眠帐户、使用旧密码的用户帐户

  • IoE 分析 — 本地用户现在可在默认 Tenable 安全配置文件上禁用 IoE 分析，以在安全分析中减少资源使用并实现较低的延迟。要实现此目的，请将安全引擎节点 (SEN) 上的 ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile 环境变量设置为 true 并重新启动 Cygni 服务。

• 报告中心：此功能提供一种通过简化的报告创建过程向组织中的关键利益相关者导出重要数据的方式。有关更多信息，请参阅《Tenable Identity Exposure 管理员指南》中的“报告中心”。

• 仪表盘模板：一个即用型模板，可帮助您专注于和组织有关的首要问题，例如合规性、风险、密码管理和用户/管理员监控。如需了解更多信息，请参阅《Tenable Identity Exposure 用户指南》中的“仪表盘”。

• 平台运行状况检查功能：Tenable Identity Exposure 会在一个合并视图中列出其执行的平台运行状况检查，以便您及时调查和解决配置异常。有关更多信息，请参阅《Tenable Identity Exposure 管理员指南》中的“运行状况检查”。

• 注册：为增强安全性，注册流程现在要求用户在首次登录时更改针对初始登录提供的默认凭据。Tenable Identity Exposure 还增强了新密码的规则。

• 可扩展性：Tenable Identity Exposure 改进了服务端的攻击指标性能，以便更大规模地处理相关事件，从而使 IoA 更准确，延迟更低。有关更多信息，请参阅《Tenable Identity Exposure 安装指南》中的“扩展 Tenable Identity Exposure 服务”。

• 跟踪事件流

  • Tenable Identity Exposure 会在变更出现时立即接收来自 Active Directory 的事件。但是，对于大型组中的高频率更改，它会在通知系统其余部分之前对聚合事件应用 10 分钟的延迟，从而防止出现性能问题。

  • 您现在可按日期和时间筛选跟踪流事件。

Tenable Identity Exposure 3.59.4 版本修复了自版本 3.42 以来的所有缺陷。

Tenable Identity Exposure 本地版本 3.59.4 增加重要的增强功能以保护您的 Active Directory 基础设施。此版本包括某些依存关系的更新，以优先考虑软件安全并确保使用最新组件以增强保护。这些组件是：

• 存储管理器 (SM)

• 安全引擎节点 (SEN)

• 目录侦听器 (DL)

Tenable Identity Exposure 版本 3.42.18 包含以下补丁：

Tenable Identity Exposure 本地版本 3.42.11 增加重要的增强功能以保护您的 Active Directory 基础设施。此版本包括某些依存关系的更新，以优先考虑软件安全并确保使用最新组件以增强保护。