Tenable Identity Exposure 2024 本地版本说明
这些版本说明会按时间倒序排列。
Tenable Identity Exposure 3.77.6 (2024-12-04)
错误修复
Tenable Identity Exposure 版本 3.77.6 修复了以下缺陷:
| updater.exe 文件现已使用 Tenable 证书进行数字签名。这可确保防止未经授权的修改,并保证文件的真实性。 |
| Tenable Identity Exposure 现在通过改进的相关性引擎提供针对 PetitPotam 的正确攻击向量。您必须重新部署 IoA 事件监听器。 |
| Tenable Identity Exposure 现在支持额外的反向 DNS 格式,以从 DnsNode 对象中提取 IPv4 地址,从而解决了攻击指标功能中之前的“未知”输出问题。此增强功能改进了警报上下文,并提高了基本模式下相关 IOA 的准确性。 |
| TCP Syslog 警报可在 Windows Server 2016 上按预期工作。 |
| 安全中继计划任务现在具有有效的参数 -AfadRolePath。在升级期间,Tenable Identity Exposure 会删除并重新创建计划任务。 |
| “危险的 ADCS 错误配置”IoE 现在会考虑“列入白名单的受信任方”选项。 |
| “存在风险的 Kerberos 委派”IoE 现在会强制将已禁用的对象列入白名单。 |
| “对用户应用弱密码策略”IoE 不再因“域上未应用特权的 PSO”而显示误报。 |
| 危害认定属性现在会在本地化时显示详细的值。 |
| “NTDS 提取”攻击指标将“允许的进程”选项重命名,以明确其仅在“激进”模式下使用,并移除了未使用的“允许的 NTDS 目标路径”选项。 |
| Tenable Identity Exposure 现在可通过对双引号 (") 进行转义来确保正确的 CSV 导出,从而提高导出数据的准确性。 |
| 当某些域无法访问时,所有域的连通性测试性能得到提升,从而避免 Web 界面出现意外超时。 |
| Tenable Identity Exposure 现在能够适应分析延迟摄入的 Windows 事件日志。 |
| 风险暴露指标 (IoE) 现已提高显示最近检测日期的准确性。 |
| Microsoft Entra ID 异常行为的发现结果现可正确匹配所选租户。 |
| 在某些边缘情况下,Tenable Identity Exposure 无法分析密码哈希。 |
| Tenable Identity Exposure 向 DCSyncData 添加了“UserNameVariants”字段,可将不同格式的用户名(SID、UPN 和 sAMAccountName)列入白名单。目前,此更改仅适用于“DCSync 攻击”攻击指标 (IoA)。 |
| Envoy 以加密格式存储 CA 证书,其中默认路由配置的大小从 4 KB 增加到 4 MB,以适应更大的有效负载。 |
| Tenable Identity Exposure 现在可正确测试与 cloud.tenable.com 的连接。 |
| 在出现 LDAP 连接问题之后,目录侦听器会在 12 小时后自动重启,以便重新同步可能缺失的任何 ADObject 状态。 |
| 一旦负载达到 MTU 大小,UDP Syslog 警报就会将其截断。 |
更新了软件依存关系
| 软件名称 | 升级前 | 升级后 |
|---|---|---|
| Tenable Identity Exposure | 3.77.3 | 3.77.6 |
| C++ 2015-2019 Redistributable | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 8.0.10.24468 | 8.0.11.24521 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.0 | 20.18.1.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.5 |
| Rabbit MQ | 3.12.14 | 4.0.3 |
| SQL Server | 15.0.4385.2 | 15.0.4405.4 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.9 | 1.29.10 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.11.0 |
Tenable Identity Exposure 3.77.3 (2024-11-06)
新功能
-
攻击指标 (IoA)
-
新的基本模式和激进模式:基本模式专为喜欢简化设置的客户而设计,可最大程度地减少配置时间并减少误报,从而降低不必要的警报噪音。这适用于以下 IoA:
-
DCSync
-
可疑的 DC 密码更改
-
Golden Ticket(黄金票据)
-
NTDS 提取
-
OS 凭据转储:LSASS 内存
-
本地管理员枚举
-
SAMAccountName 冒充
-
-
-
风险暴露指标 (IoE)
-
新 IoE
- 影子凭据:新 IoE 可检测“Windows Hello for Business”功能及其关联密钥凭据中的后门程序和配置错误。
-
托管服务帐户中存在风险的错误配置:新 IoE 可确保正确部署和配置托管服务帐户。
-
特权身份验证孤岛配置:协助 AD 管理员为第 0 层帐户安装和设置身份验证孤岛。
-
属性集完整性:Microsoft Active Directory (AD) 中的“属性集”整合了多种属性,让 ACL 管理更轻松、更高效。此风险暴露指标可检查这些 AD 对象及其属性,以确定其中是否存在错误配置或潜在后门程序。
-
已同步到 Microsoft Entra ID 的特权 AD 用户帐户:检查特权 Active Directory 用户帐户是否未同步到 Microsoft Entra ID。
-
已启用来宾帐户:检查内置的来宾帐户是否已禁用。
-
存在冲突的安全主体:检查是否存在重复(存在冲突)的用户、计算机或组。
-
基于 RSOP 的 IoE:为增强性能,Tenable Identity Exposure 不再进行实时的 RSoP(策略结果集)检查,而是每 30 分钟安排一次 RSoP 安全检查,以便在 RSoP 过程期间更好地管理必要的相关检查。有关更多信息,请参阅“基于 RSOP 的风险暴露指标”。
-
KRBTGT 帐户上次更改密码的时间:增加了对 Windows Hello for Business(云信任部署)中 krbtgt_AzureAD 帐户的支持。
-
可逆密码:现在包括对由 PSO 定义且具有 msDS-PasswordReversibleEncryptionEnabled 属性的可逆密码的验证。
-
本地管理帐户管理:支持新的 Windows LAPS。引入名为“已安装 LAPS 版本”的新选项,并根据用户的选择验证 LAPS 版本的配置。
-
- 代理:能够在 Tenable Identity Exposure 安装或升级期间定义代理连接。此代理连接使本地环境能够使用 Tenable One 功能。
-
安全中继安装:当您在单独的计算机(独立计算机)上安装安全中继时,增强的安装程序有助于您从目录侦听器上传自签名证书。
增强功能
-
电子邮件警报现在仅支持安全的加密协议,具体而言如 TLS 1.2 和 1.3。如果客户使用已弃用的 SMTP 加密标准(如 SSLv3)覆盖了安全中继设置,则必须移除该覆盖设置。唯一允许的值是“Tls12”、“Tls13”或“TLS12,Tls13”(用于根据服务器版本进行自动切换)。使用不受支持的值会阻止中继启动。
-
新增 10 小时的“延迟时间”(黄金票据 IoA),以便在这段时间内将合法用户列入白名单,从而减少误报的数量。
-
IoA 设置:能够在触发事件分析之前选择事件收集的持续时间。值介于 30 秒到 9 分钟之间。
-
Active Directory:Tenable Identity Exposure 增加了受其管理的 AD 对象的大小限制。
-
风险暴露指标
-
存在风险的 Kerberos 委派
-
不再将拥有智能卡的用户视为安全问题,因为他们不受 AS-REP Roasting 攻击的影响。
-
不会再因为“未受保护以防委托”的原因将计算机标记为异常,而是会解决任何现有的异常行为。
-
新增一个报告原因,报告满足以下条件的所有帐户,即用于约束委派 (msDS-AllowedToDelegateTo) 的属性引用了不存在的服务主体名称 (SPN)。
-
新增一个原因,用于检测 Microsoft Entra Connect 帐户上当前的 Kerberos 委派配置 (AZUREADSSOACC)。
-
-
“用户主要组”IoE:新增一个报告原因,报告所有因权限不足而导致 primaryGroupID 属性显示为空的帐户。
密码永不过期的帐户:新增一个原因,用于区分特权用户和普通用户。
存在冲突的安全主体:新的 IoE 会检查是否存在重复(存在冲突)的对象,如用户、计算机或组。
使用旧密码的用户帐户、运行过时操作系统的计算机及休眠帐户:新增两个原因,用于区分特权用户和普通用户。
没有计算机加固 GPO 的域
新的检查,确保所有域计算机上明确禁用了空会话。
与为域控制器(SYSVOL/NETLOGON 共享)配置的加固 UNC 路径相关的新检查。
新的检查,确保在所有域控制器上禁用打印后台处理程序服务。
SMB 签名强制执行:Tenable Identity Exposure 可确保在域控制器和其他服务器上正确强制执行 SMB 签名。该功能会验证“默认域控制器策略”参数,并检查其他服务器上的 GPO 配置是否正确。
错误修复
Tenable Identity Exposure 3.77.3 版修复了以下缺陷:
| 错误修复 |
|---|
| “未使用 Protected Users 组”风险暴露指标中的“允许的用户”选项现在允许您按 UserPrincipalName (UPN)、SID 和 sAMAccountName 将用户加入白名单,而不是像以前一样只能按标识名操作。 |
| 攻击指标侦听器现在支持非 ASCII 编码。 |
| Tenable Identity Exposure 不会因已列入白名单的容器(在配置文件中配置)内的计算机触发“对用户应用弱密码策略”异常行为。 |
| Tenable Identity Exposure 会显示一条警告消息,建议您在升级之前拍摄系统快照。 |
| Tenable Identity Exposure 通过删除残余项目改进了回滚进程。 |
| Tenable Identity Exposure 解决了在查看只读配置文件详细信息时会显示风险暴露指标的问题。 |
| Envoy 现在会优先使用 IPv4 解析,然后回退到 IPv6,从而修正当前配置(当前配置会优先使用 IPv6)。 |
|
能够保护登录会话 Cookie,以确保会话 Cookie 仅通过 HTTPS 发送,从而增强 Web 应用程序的安全性。 |
| 安全中继计划任务现在具有有效的参数 -AfadRolePath。在升级期间,Tenable Identity Exposure 会删除并重新创建计划任务。 |
| Tenable Identity Exposure 现可确保成功构建 Tier0 资产图。 |
| 安全分析服务在高 CPU 峰值期间(例如安全检查期间)处理其输入。 |
| 对于状态未知的运行状况检查问题,Tenable Identity Exposure 现在能够成功地给出描述。 |
| 即使在极少数情况下信任属性缺失,Tenable Identity Exposure 也能正确解析这些属性,从而无误地显示拓扑视图。 |
| 托管安全分析服务的计算机不再会发生攻击指标 (IoA) 死锁问题。 |
| AD 数据收集器服务的运行状况检查现在报告为 true。 |
| 对用户应用弱密码策略 IoE 添加了增强功能,可以更好地处理与选项限制相关的边缘情况。 |
| 安全中继安装程序在目录侦听器升级和重启后不再触发。 |
| Tenable Identity Exposure 现在可防止安全中继重复发送安全分析服务不再需要的 LDAP 查询结果。 |
| DCSync IoA 现在会考虑 Tenable 服务帐户的“samAccountName”超过 20 个字符的边缘情况,从而确保在启用特权分析功能时不触发警报。 |
| 使用本地化版本的安装程序时,上传无效证书时会显示英语错误消息。 |
| “同步到 Microsoft Entra ID 的特权 AD 用户帐户”IoE 不再需要使用“将计算机列入白名单”选项。 |
| “密码猜测”IoA 的选项“检测时间间隔”现可显示正确的标签。 |
| Tenable Identity Exposure 用户界面在访问 Tenable Identity Exposure 环境的基本 URL 时不再加载两次。 |
| Tenable Identity Exposure 更新了与“风险暴露指标”页面相关的权限行为。 |
| Tenable Identity Exposure 增强了相关功能,以防止在小型 SaaS 平台上无限期执行 SQL 查询,从而确保能以可靠方式访问数据库。 |
| Tenable Identity Exposure 现在会在 IoE 窗格中显示所有 Entra ID IoE。 |
| Tenable Identity Exposure 修复了由密码喷洒攻击指标(以及可能的其他 IoA)引起的误报。 |
| 对于某些边缘情况,Tenable Identity Exposure 为已加入域的计算机更新了安全中继安装流程:使用域管理员帐户的客户现在会收到提示,建议其改用本地管理员帐户。 |
| Tenable Identity Exposure 在中继启动期间引入了一种机制,以在中继和平台之间执行网络检查。如果平台尚未运行,中继启动进程会等待,以确保建立稳定连接后再继续进行。 |
| 如果您有 Tenable One 许可证,用户创建将在 Tenable Vulnerability Management 中进行并传播到 Tenable Identity Exposure。在这种情况下,当您点击 Tenable Identity Exposure 中的“创建用户”按钮时,页面会出现一条消息,将您引导至 Tenable Vulnerability Management 以创建用户。 |
| Tenable Identity Exposure 安装程序现在在本地化版本能正确运行。 |
| Tenable Identity Exposure 会在进行主要升级时卸载旧版本的 .NET。 |
| Tenable Identity Exposure 解决了“NTDS 提取”IoA 中的一个日志记录问题,确保其在所有情况下均能正常运行。 |
| 对“密码猜测”IoA 进行了更新,新增“检测时间间隔”选项,该选项之前被错误地标记为“密码喷洒”IoA。 |
| 优化“黄金票据”IoA,以消除 IoA 和 IoE 分析中以前会持续一个小时或更长时间的偶尔暂停。 |
| “黄金票据”IoA 中的增强检测算法减少了漏报和误报。 |
| Tenable Identity Exposure 增强了相关功能,以防止在小型平台上无限期执行 SQL 查询,从而确保能以可靠方式访问数据库。 |
| 公共 API 端点 /export/profile/:profileId/checkers/:checkerId 现在无需选项即可正常工作。 |
| 安装或升级后,MSI 日志文件现位于 C:\Tenable\Logs 中。 |
更新了软件依存关系
| 软件名称 | 升级前 | 升级前 | 升级后 |
|---|---|---|---|
| Tenable Identity Exposure | 3.42.20 | 3.59.8 | 3.77.3 |
| C++ 2015-2019 Redistributable | 14.38.33135.0 | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 6.0.35 | 6.0.35 | 8.0.10.24468 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.4 | 20.18.0 | 20.18.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.4 | 26.2.5.4 |
| Rabbit MQ | 3.12.14 | 3.12.4 | 3.12.14 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 1.1t | 3.2.0 | 3.3.2 |
| Envoy | -- | 1.29.9 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.10.1 | 8.10.1 |