Tenable Identity Exposure 2025 本地版本说明

• SMTP OAuth 警报：新增了对 OAuth 的支持，即 Microsoft 365 用于警报功能的现代且安全的身份验证协议。

  有关更多信息请参阅《Tenable Identity Exposure 用户指南》中的“Microsoft 365 SMTP OAuth 配置”。

Tenable Identity Exposure 版本 3.77.12 修复了以下错误：

• 风险暴露中心：旨在增强您组织身份安全状况的功能。该功能可以识别不同身份风险面上的弱点和错误配置，既涵盖诸如 Entra ID 等基础身份系统，也包括这些系统中的身份。

  • 风险暴露概览功能现在可与 Active Directory 和/或 Entra ID 数据配合使用。

  • 风险暴露实例功能目前仅支持与 Entra ID 数据配合使用。

• 身份 360：一项以身份为中心的新功能，可提供整个组织身份风险面上所有身份的全面清单。它整合了来自 Active Directory 和 Entra ID 的身份信息，帮助您根据风险对身份进行评估和排序，从而快速识别并优先处理环境中最脆弱的身份。

  • 身份 360 功能现在可与 Active Directory 和/或 Entra ID 数据配合使用。

  提示：要使用 Tenable 基于云的功能，您必须激活特定设置，以将数据共享到 Tenable 云进行分析。请参阅“身份 360、风险暴露中心和 Microsoft Entra ID 支持激活”以及“Tenable 云数据收集”获取操作说明。

Active Directory (AD) 风险暴露指标 (IoE)

• 敏感 Exchange 权限：此 IoE 管理与域内的 Exchange 组和资源相关的权限。它现在只显示所有源自或针对 Exchange 的权限，以增强其他 IoE 的可读性。

• Exchange 组成员：此 IoE 会跟踪敏感 Exchange 组的成员。

• 不受支持或过时的 Exchange 服务器：这个全新的 IoE 可以检测 Microsoft 不再支持的过时 Exchange 服务器，以及缺少最新累积更新的 Exchange 服务器。为了维护安全且全面受支持的 Exchange 环境，请及时处理过时或未修补的服务器。如果不这样做，将会增加漏洞遭到利用的风险，从而导致您的组织面临数据外泄或勒索软件攻击。

• 存在风险的 Exchange 错误配置会列出影响 Exchange 资源或其底层 Active Directory 架构对象的错误配置。

• Exchange 组成员：此 IoE 会跟踪敏感 Exchange 组的成员。

• ADCS 危险错误配置：此 IoE 可帮助识别允许主体隐式获取 AD 组成员身份的签发策略（企业 OID）。

• 没有计算机加固 GPO 的域：此 IoE 会检查 GPO 设置“阻止 SMB 上的 NTLM”。

其他功能

• 运行状况检查：新的域运行状况检查通过识别和解决每个域的已知错误，增强了攻击指标部署的可信度。有关更多信息，请参阅《Tenable Identity Exposure 用户指南》中的“运行状况检查”部分。

• 可用性：Tenable Identity Exposure 现在可帮助客户了解“五眼联盟”或其民用机构最近发布的报告内容。

风险暴露指标

• 单成员 AD/Entra 组：IoE 现在会在“为何重要”描述中显示组成员。

• 具有凭据的第一方服务主体：IoE 现在会在“为何重要”描述中显示已识别凭据的详细信息。

• 单成员 AD/Entra 组和空组：这些 IoE 现在仅计算直接成员数量，以确保结果更准确、更有意义。

• 帐户上的映射证书

  • 此 IoE 现在可以报告弱的显式证书映射，并解决 AD CS ESC14 滥用技术问题。

  • 此 IoE 之前报告仅具有以下两种映射类型的特权用户：X509IssuerSubject 和 X509SubjectOnly。它现在已扩展其原始范围，以包括其他映射：X509RFC822、X509IssuerSerialNumber、X509SKI 和 X509SHA1PublicKey。

• 没有计算机加固 GPO 的域：新增与 Windows Defender 凭据防护安全功能相关的检查项，用于保护内存中的凭据。

• 确保 SDProp 一致性：优化了建议。

• 影子凭据：优化了针对 Coppersmith 攻击重现 (ROCA) 修复的建议。引入新选项，用于在“设备回写”功能已禁用的情况下，移除与使用 Entra ID 的混合环境相关的潜在误报。这会影响此 IoE 中的“孤立密钥凭据”原因。

• 托管服务帐户中存在风险的错误配置：此 IoE 中的改进包括增加对组的支持，从而实现对 gMSA 访问的简化控制。

• 安全配置文件自定义：针对适用的 IoE，改进了关于“允许的对象所有者（按组成员身份）”选项的描述。

• 通过组成员身份增强对对象所有权和权限控制的两个新选项：

  • 允许的对象所有者（按组成员身份）：允许通过组成员身份指定安全主体作为对象所有者。

  • 允许的受信任方列表（按组成员身份）：根据安全主体的组成员身份，启用对安全主体的特殊权限分配。

• 不安全的 Netlogon 协议配置 - Tenable Identity Exposure 现在将“跳过注册表项检查”选项的默认值设置为“true”。此变更假设用户已应用 2021 年 2 月 9 日的更新。此修改仅适用于默认配置文件，自定义配置文件不受影响。

• 密码管理风险：在仪表盘模板中添加了“密码弱点检测”IoE 小组件。

• “根对象权限允许 DCSync 类似攻击”：该指标现在包含新选项“保留 MSOL_* 帐户”，您可以借此排除这些帐户，并减少误报。默认情况下，此选项在安全配置文件中禁用，因此 IOE 不会将 MSOL_* 帐户标记为异常。

攻击指标

• “黄金票据”IoA：改进了攻击向量文本。

• 如果 DCSync 警报的来源来自带有前缀 MSOL_ 的用户名（硬编码，且仅对基本模式有效），则不会触发警报。

• 如果目标 IP 未知，则本地管理员枚举不会触发警报。

• 当攻击者在伪造 TGT 后通过身份验证时，仅黄金票据会触发警报（仅基本模式）。

• 如果该工具属于 Arctic Wolf Network，则 OS 凭据转储：LSASS 内存不会触发警报（仅基本模式）。

• 在以下情况下，这些 IoA 不再触发警报：

  • DC 同步 — 当来源是与 Azure AD Connect 工具相关的用户或主机名时（仅限基本模式）。

  • NTDS 提取 — 当来源工具为 VSS Requestor 或 Veeam（合法备份工具）时。

  • 本地管理员枚举 — 当 IoA 找不到来源用户 SID 时（仅限基本模式）。

  • Petit Potam — 当 IoA 无法检索关联的登录事件时。

  • 黄金票据 — 当 IoA 无法获取来源矢量时（仅基本模式）。

其他增强功能

• 在深入了解相关漏洞时，身份 360 和风险暴露概述页面现在会重定向到风险暴露实例页面

• 目录服务中的信任属性和类型

  • trustType 属性现在支持 TTAAD (TRUST_TYPE_AAD) 值。

  • trustAttributes 属性现在支持 TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION) 值。

• Tenable One 容器变更 — 为确保最佳产品体验，Tenable Identity Exposure 现在会在您上传新的许可证文件时，阻止切换到其他 Tenable One 容器。

• 导出功能：用户可以在执行 CSV 导出时选择分隔符（逗号或分号），从而灵活适应各种使用场景。浏览器会记住上次使用的分隔符，以便在将来执行导出时使用。

• 身份 360：改进了“访问”和“授权”选项卡中资产详细信息等页面的加载时间。

• 收集 AD 域数据的权限：现在，如果用户界面中的“特权分析”功能停用，系统则会隐藏“已授予收集特权数据的权限”详细信息。确保您的中继是最新版本，以便此功能运行。

Tenable Identity Exposure 版本 3.93 修复了以下错误：

Tenable Identity Exposure 版本 3.77.10 修复了以下错误：

• Tenable Identity Exposure 简化了回滚流程，以有效地将环境恢复到之前的状态，确保不留下任何残留的混乱或不一致性。

  新先决条件：在启动回滚程序之前，确保存储管理器至少有 20 GB 的可用磁盘空间。有关更多信息，请参阅《Tenable Identity Exposure 用户指南》中的“资源大小调整”。

Tenable Identity Exposure 的 3.77.9 版本修复了以下缺陷：