Tenable Identity Exposure 2024 版本说明
这些版本说明会按时间倒序排列。
Tenable Identity Exposure 3.84.7 (2024-12-23)
错误修复
Tenable Identity Exposure 版本 3.84.7 修复了以下错误:
| 错误修复 |
|---|
| 用于访问用户文档的上下文相关帮助徽标(图书图标)现在可见。 |
| 攻击指标侦听器模块中的 audit.csv 文件现在可正确安装。 |
Tenable Identity Exposure 3.84 (2024-12-12)
错误修复
Tenable Identity Exposure 版本 3.84 修复了以下缺陷:
| 错误修复 |
|---|
|
安全中继安装程序会安装 updater.exe 文件以自动更新此模块。Tenable 现在使用文件的代码签名证书对文件进行数字签名,这可防止未经授权的修改,并确保 EDR/AV 解决方案可以授权文件运行。 |
| 即使已注册的林包含带反斜线的用户名,“运行状况检查”页面现在也可正确显示。 |
| “本地管理帐户管理”风险暴露指标 (IoE) 配置文件配置现在同时支持 SID 和 DistinguishedName 格式,从而提升了“允许的对象所有者”允许列表的灵活性。 |
| Tenable Identity Exposure 现在可以解决因“密码在同一域内重复使用”原因而被“密码弱点检测”IoE 标记的异常行为。 |
| Tenable Identity Exposure 现在会考虑安全配置文件中的特权 PSO 列表。若配置此选项,便可解决因“域上没有应用特权 PSO”而产生的“对用户应用弱密码策略”IoE。 |
|
现在,Tenable Identity Exposure 在基本模式下也能更加准确地识别 DCSync 攻击指标的关联性。 |
Tenable Identity Exposure 3.83.3 (2024-12-03)
错误修复
Tenable Identity Exposure 版本 3.83.3 修复了以下缺陷:
| 错误修复 |
|---|
|
与 Microsoft Entra ID 相关的功能现在可在 Web 界面中正常运行。 |
Tenable Identity Exposure 3.83 (2024-11-29)
增强功能
-
Tenable One 容器变更 — 为确保最佳产品体验,Tenable Identity Exposure 现在会在您上传新的许可证文件时,阻止切换到其他 Tenable One 容器。
-
风险暴露指标 (IoE)
-
“运行过时操作系统的计算机”现在仅使用日期显示到期信息,而不是详细的日期和时间。此更新可调整此 IoE 中的所有异常行为。
-
域的功能级别已过时 — 此 IoE 现在集成了在 2024 年 11 月发布的 Windows Server 2025 中引入的新 Active Directory (AD) 功能级别,这是继之前针对 Server 2016 更新后的又一次更新。此次更新还包含了针对各个 IoE 的其他小幅度调整,例如引入了新的架构版本。
注意:此更新不保证在 Windows Server 2025 上托管 Tenable Identity Exposure 的兼容性。请查阅未来的文档或版本说明,了解兼容性详细信息。
-
错误修复
Tenable Identity Exposure 版本 3.83 修复了以下缺陷:
| 错误修复 |
|---|
|
Tenable Identity Exposure 显示 Web 界面与警报关联的域。 |
| Tenable Identity Exposure 解决了使用 Web 界面时不必要的重定向问题。 |
| Tenable Identity Exposure 现在支持额外的反向 DNS 格式,以从 DnsNode 对象中提取 IPv4 地址,从而解决了攻击指标功能中之前的“未知”输出问题。此增强功能改进了警报上下文,并提高了基本模式下相关 IoA 的准确性。 |
| “危险的 ADCS 错误配置”IoE 现在会考虑“列入白名单的受信任方”选项。 |
| 当某些域无法访问时,所有域的连通性测试性能得到提升,从而避免 Web 界面出现意外超时。 |
Tenable Identity Exposure 3.82 (2024-11-13)
新功能
-
仪表盘模板:Tenable Identity Exposure 现提供仪表盘模板,有助于您了解“五眼联盟”及其相关民用机构的近期报告。此报告提供有关检测和缓解 Active Directory 危害的指南。
-
服务帐户错误配置:该全新风险暴露指标列出了可影响域服务帐户的不良做法和错误配置。
增强功能
-
ADCS 危险错误配置:此 IoE 中新增了一项改进,可帮助识别允许主体隐式获取 AD 组成员身份的签发策略(企业 OID)。
错误修复
Tenable Identity Exposure 版本 3.82 修复了以下缺陷:
| 错误修复 |
|---|
| Tenable Identity Exposure 正确重新计算许可证中的活动用户数量。仪表盘中使用此值的小组件不受影响。 |
| “可疑的 DC 密码更改”攻击指标现在会在计算“密码变更间隔”时,考虑之前的“密码上次更改的日期”,前提是 Active Directory 属性可用。 |
| Tenable Identity Exposure 现在可正确测试与 cloud.tenable.com 的连接。 |
| 在多个已配置 Tenable Identity Exposure 租户(AD 目录或 Entra ID 租户)上拥有帐户的身份将不会再从身份列表中消失。 |
| 将 Tenable Identity Exposure 配置为以西班牙语显示时,Entra ID IoE 描述会以英语(美国)显示。 |
| 安全中继计划任务现在具有有效的参数 -AfadRolePath。在升级期间,Tenable Identity Exposure 会删除并重新创建计划任务。 |
| TCP Syslog 警报可在 Windows Server 2016 上按预期工作。 |
| 现在,当中继连接到多个域时,数据收集运行状况检查可准确报告状态。 |
| 在某些边缘情况下,Tenable Identity Exposure 无法分析密码哈希。 |
| Microsoft Entra ID 异常行为的发现结果现可正确匹配所选租户。 |
| 在出现 LDAP 连接问题之后,目录侦听器会在 12 小时后自动重启,以便重新同步可能缺失的任何 ADObject 状态。 |
| 现在,当平台需要安全中继时,LDAP 和 SMTP 配置会强制选择特定安全中继以供使用。 |
| 一旦负载达到 MTU 大小,UDP Syslog 警报就会将其截断。 |
| 本地管理帐户管理 IoE 中的“在计算机对象上设置的权限不安全”原因,现在能够以非英语(美国)语言正确显示。 |
Tenable Identity Exposure 3.81.2 (2024-10-29)
错误修复
Tenable Identity Exposure 版本 3.81.2 修复了以下缺陷:
| 错误修复 |
|---|
| 攻击指标侦听器现在支持非 ASCII 编码。 |
Tenable Identity Exposure 3.81 (2024-10-21)
增强功能
-
“没有计算机加固 GPO 的域”风险暴露指标:
-
新增与用于保护内存中凭据的 Windows Defender Credential Guard 安全功能相关的原因。
-
新增与 Windows“点选打印”功能相关的原因:针对打印驱动程序的安装和更新进行强化。
-
新增与 LDAP 会话签名和通道绑定相关的原因,以缓解 MiTM 和重放攻击。
-
-
“休眠帐户”风险暴露指标新增原因以报告过去 45 天内未执行任何身份验证(基于 lastLogonTimestamp 属性)的域控制器。此期限可通过新选项进行自定义。
-
“根对象权限允许 DCSync 类似攻击”风险暴露指标现在包含新选项:“保留 MSOL_* 帐户”,您可以借此排除这些帐户,并减少误报。默认情况下,此选项在安全配置文件中禁用,因此 IOE 不会将 MSOL_* 帐户标记为异常。
-
“NTDS 提取”攻击指标将“允许的进程”重命名,以明确其仅在“激进”模式下使用,并移除了未使用的“允许的 NTDS 目标路径”选项。
-
性能 — Tenable Identity Exposure 改进了内部监控功能。
错误修复
Tenable Identity Exposure 版本 3.81 修复了以下缺陷:
| 错误修复 |
|---|
| 安全中继计划任务现在具有有效的参数 -AfadRolePath。在升级期间,Tenable Identity Exposure 会删除并重新创建计划任务。 |
| Envoy 现在会首先使用 IPv4,然后回退到 IPv6,从而修正了之前的配置(之前的配置优先使用 IPv6)。 |
| Tenable Identity Exposure 现在能够适应分析延迟摄入的 Windows 事件日志。 |
| Tenable Identity Exposure 现在可确保登录后标头的可见性保持不变。 |
| Tenable Identity Exposure 解决了 Identity Explorer 中的加载错误。 |
| Tenable Identity Exposure 增强了攻击警报边栏选项卡的加载性能。 |
| 安全中继不再在目录侦听器不再需要的循环中发送 LDAP 查询结果。 |
| “未使用 Protected Users 组”风险暴露指标中的“允许的用户”选项现在允许您按用户主体名称 (UPN)、SID 和 sAMAccountName 将用户加入允许列表,而不是像以前一样只能按标识名操作。 |
Tenable Identity Exposure 3.80 (2024-10-03)
新功能
-
基于 RSOP 的风险暴露指标 (IoE):为增强整体产品性能,Tenable Identity Exposure 现在每 30 分钟(而不是实时)对少量 IoE 执行 RSOP 检查。有关更多信息,请参阅“基于 RSOP 的风险暴露指标”。
错误修复
Tenable Identity Exposure 版本 3.80 修复了以下缺陷:
| 错误修复 |
|---|
| “允许的受信任方列表”选项现在除了支持之前的格式(DN 格式)外,还允许使用帐户的 SID 格式。 |
| “存在风险的 Kerberos 委派”风险暴露指标现在会强制将已禁用的对象列入白名单。 |
| 危害认定属性现在会在本地化时显示详细的值。 |
| 风险暴露指标 (IoE) 现已提高显示最近检测日期的准确性。 |
| 对于状态未知的运行状况检查问题,Tenable Identity Exposure 现在能够成功地给出描述。 |
| 即使在极少数情况下信任属性缺失,Tenable Identity Exposure 也能正确解析这些属性,从而无误地显示拓扑视图。 |
| 退出异常行为详细信息视图后,页面会正确返回到之前的 Active Directory 或 Microsoft Entra ID 选项卡。 |
| Tenable Identity Exposure 向 DCSyncData 添加了“UserNameVariants”字段,可将不同格式的用户名(SID、UPN 和 sAMAccountName)列入白名单。目前,此更改仅适用于“DCSync 攻击”攻击指标 (IoA)。 |
| Tenable Identity Exposure 现在通过改进的相关性引擎提供针对 PetitPotam 的正确攻击向量。您必须重新部署 IoA 事件监听器。 |
| DCSync IoA 现在会考虑 Tenable 服务帐户的“samAccountName”超过 20 个字符的边缘情况,从而确保在启用特权分析功能时不触发警报。 |
Tenable Identity Exposure 3.79 (2024-09-16)
错误修复
Tenable Identity Exposure 的 3.79 版本修复了以下缺陷:
| 错误修复 |
|---|
| dnsProperty 属性的解码器现在可以准确解析与动态更新相关的二进制数据。 |
| 未发现异常行为时,系统现在会正确显示风险暴露指标的详细信息窗格。 |
| Tenable Identity Exposure 为不具有 Tenable 云服务编辑权限的用户禁用 Tenable 云配置。 |
| 对于某些边缘情况,Tenable Identity Exposure 现在可确保成功构建 Tier0 资产图。 |
| 在执行密集型任务(例如安全检查)时,安全分析服务遇到高 CPU 使用率问题,因为它会处理大型数据集以确保进行彻底的威胁检测。虽然这可能会造成 CPU 使用率激增,但可确保全面的安全覆盖。 |
| Tenable Identity Exposure 现在可通过对双引号 (") 进行转义来确保正确的 CSV 导出,从而提高导出数据的准确性。 |
| IoE 的最新检测日期的准确性已提高。 |
| Tenable Identity Exposure 现在可正确关闭之前提出的与 OrphanGPO 原因相关的异常行为。 |
| “同步到 Microsoft Entra ID 的特权 AD 用户帐户”IoE 不再需要使用“将计算机列入白名单”选项。 |
| “存在冲突的安全主体”IoE 减少了安全分析服务启动期间过多的检查,以解决高 CPU 消耗的问题。 |
| Tenable Identity Exposure 提高了 RMQ 内存限制,以防性能降低。 |
| Tenable Identity Exposure 对某些 AD 对象的显示名称进行了优化,特别侧重于 GPO 和 dnsNode 等技术对象。 |
| Tenable Identity Exposure 改进了 samAccountName 的显示方式并使其可供搜索。 |
Tenable Identity Exposure 3.78 (2024-08-27)
增强功能
-
风险暴露指标
-
不安全的 Netlogon 协议配置 - Tenable Identity Exposure 现在将“跳过注册表项检查”选项的默认值设置为“true”。此变更假设用户已应用 2021 年 2 月 9 日的更新。此修改仅适用于默认配置文件,自定义配置文件不受影响。
-
运行过时 OS 的计算机 - Tenable Identity Exposure 添加了最后一个活动过时计算机的登录信息。
-
-
Entra ID 的风险暴露指标:以下 Entra ID IoE 现在会忽略已禁用的用户和服务主体。
-
影响租户的危险 API 权限
-
具有凭据的第一方服务主体
-
管理员数量太多
-
缺少针对特权帐户的 MFA
-
缺少针对非特权帐户的 MFA
这是因为攻击者无法立即利用这些漏洞。至于 MFA IoE,Microsoft Graph API 会错误地返回已禁用用户的 MFA 状态。
-
-
攻击指标
-
如果 DCSync 警报的来源来自带有前缀 MSOL_ 的用户名(硬编码,且仅对基本模式有效),则不会触发警报。
-
如果目标 IP 未知,则本地管理员枚举不会触发警报。
-
当攻击者在伪造 TGT 后通过身份验证时,仅黄金票据会触发警报(仅基本模式)。
-
如果该工具属于 Arctic Wolf Network,则 OS 凭据转储:LSASS 内存 不会触发警报(仅基本模式)。
-
-
电子邮件警报现在仅支持有效的加密协议,例如 TLS 1.2 和 1.3。如果已替代安全中继以强制使用已弃用的 SMTP 加密标准(如 SSL v3),则必须删除此替代。现在唯一允许的值是“Tls12”、“Tls13”或“Tls12、Tls13”(用于根据服务器版本进行自动切换)。使用不受支持的值会阻止中继启动。
错误修复
Tenable Identity Exposure 的 3.78 版本修复了以下缺陷:
| 错误修复 |
|---|
| Pendo 功能现在在某些 Tenable Identity Exposure 环境中处于活动状态。 |
| Tenable Identity Exposure 用户界面在访问 Tenable Identity Exposure 环境的基本 URL (<environment> .tenable.ad)时不再加载两次。 |
| Tenable Identity Exposure 更新了安全中继安装程序,以改进其检查当前用户是否为本地管理员的方式,从而使安装程序能够在已加入域的计算机上正常工作。 |
| Tenable Identity Exposure 改进了服务之间的内部请求/响应流以防止事件引入期间死锁。 |
|
现在,关闭 Entra ID 风险暴露指标 (IoE) 中的“异常对象”窗格时,系统会正确地将您重定向到适当的 Entra ID IoE 列表,并保留筛选首选项。提供此增强功能的原因是,异常对象的 URL 结构有变更,根据您最初访问 IoE 列表时查看的选项卡,现在该结构会包含“ad”或“meid”。 |
| 托管安全分析服务的计算机不再会发生攻击指标 (IoA) 死锁问题。 |
| 对于入站信任,Tenable Identity Exposure 计算所需的数据未存储在本地,而是存储在其他域中。产品中如果包含此其他域,则会受到适当的监控和“保护”。从该域的角度而言,此信任关系将被视为出站信任。如果此信任被认为是危险的,Tenable Identity Exposure 将在此特定信任的域中检测异常行为。 |
| “未链接、禁用或孤立 GPO”风险暴露指标 (IoE) 现在可以更有效地应对涉及已删除 GPO 的场景。 |
| Tenable Identity Exposure 减少了安全中继和目录侦听器之间的 504 错误,以增强性能并防止产品中断。 |
Tenable Identity Exposure 3.76 (2024-07-25)
新功能
-
存在冲突的安全主体风险暴露指标 (IoE) – 新的 IoE 会检查是否存在重复(存在冲突)的对象,如用户、计算机或组。
增强功能
-
存在风险的 Kerberos 委派 IoE – 新的原因会报告满足条件的所有帐户,即约束委派 (msDS-AllowedToDelegateTo) 使用的属性引用不存在的服务主体名称 (SPN)。
-
Active Directory:Tenable Identity Exposure 增加了受其管理的 AD 对象的大小限制。
错误修复
Tenable Identity Exposure 版本 3.76 修复了以下缺陷:
| 错误修复 |
|---|
| 在身份资源管理器中,“搜索租户”标签现在会以法语显示正确的本地化内容。 |
| 影子凭据 IoE 现在可正确处理孤立密钥凭据误报问题。 |
| 使用域管理员帐户在已加入域的计算机上安装安全中继时,会出现弹出消息,指示您使用本地管理员帐户。 |
| Tenable Identity Exposure 更新了与“风险暴露指标”页面相关的权限行为。 |
| NTDS 提取攻击指标 (IoA) 中不再存在阻止其在某些边缘情况下正常运行的日志记录问题。 |
Tenable Identity Exposure 3.75 (2024-07-16)
新功能
-
“影子凭据”风险暴露指标 (IoE) — 新 IoE 可检测“Windows Hello for Business”功能及其关联密钥凭据中的后门程序和配置错误。
增强功能
-
“用户主要组”IoE — 新增一个报告原因,报告所有因权限不足而导致 primaryGroupID 属性显示为空的帐户。
-
“密码喷洒”攻击指标 (IoA) — 在某些情况下,此 IoA 会造成内存过载等系统性能问题。但该指标现在会将与同一攻击相关的多个警报合并成一个警报,以解决性能问题。
-
在以下情况下,这些 IoA 不再触发警报:
-
DC 同步 — 当来源是与 Azure AD Connect 工具相关的用户或主机名时(仅限基本模式)。
-
NTDS 提取 — 当来源工具为 VSS Requestor 或 Veeam(合法备份工具)时。
-
本地管理员枚举 — 当 IoA 找不到来源用户 SID 时(仅限基本模式)。
-
Petit Potam — 当 IoA 无法检索关联的登录事件时。
-
黄金票据 — 当 IoA 无法获取来源矢量时(仅基本模式)。
-
错误修复
Tenable Identity Exposure 版本 3.75 修复了以下缺陷:
| 错误修复 |
|---|
| “密码猜测”IoA 的选项“检测时间间隔”现在显示正确的标签。 |
| “对用户应用弱密码策略”IoE 现在链接到以正确语言显示的资源。 |
| “身份资源管理器”页面现在更快速地加载身份数据。 |
Tenable Identity Exposure 3.74 (2024-06-26)
增强功能
-
“DC 同步、NTDS 提取、本地管理员枚举”攻击指标 (IoA):在“基本”模式下,系统不再针对以下情况发出警报:
-
IoA 在事件摄入过程中检测到事件丢失或明显延迟。
-
IoA 因缺少事件数据而无法识别攻击来源。
-
-
“NTDS 提取”IoA:在“基本”和“激进”模式下新增名为“白名单进程”的活动选项,可用于免除合法进程在攻击期间被标记。
错误修复
Tenable Identity Exposure 版本 3.74 修复了以下缺陷:
| 错误修复 |
|---|
| 一种新机制,可确保数据库对于 badPwdCount 属性频繁修改具有恢复能力。在某些边缘情况下,负责管理错误密码计数事件速率的服务会与消息队列管理器发生断开连接,从而导致事件处理中断。 |
| 活动日志不再报告内部服务活动。 |
Tenable Identity Exposure 3.73 (2024-06-13)
错误修复
Tenable Identity Exposure 3.73 版修复了以下缺陷:
| 错误修复 |
|---|
| Tenable Identity Exposure 增强了相关功能,以防止在小型 SaaS 平台上无限期执行 SQL 查询,从而确保能以可靠方式访问数据库。 |
| 工作区菜单(应用切换器)目前在用户界面上占据更小的空间,为页面内容展示提供了更多空间。 |
Tenable Identity Exposure 3.72 (2024-05-30)
增强功能
-
用户现在可在触发分析之前,设置攻击指标 (IoA) 事件收集的持续时间,该时间范围可设置为 30 秒至 9 分钟(在延迟和准确性之间做出权衡)。
-
黄金票据 IoA:为减少误报,Tenable Identity Exposure 实施了 10 小时的延迟期,在此期间,该工具会自动将合法用户列入允许列表。
错误修复
Tenable Identity Exposure 版本 3.72 修复了以下缺陷:
| 错误修复 |
|---|
| Tenable Identity Exposure 在中继启动期间引入了一种机制,以在中继和平台之间执行网络检查。如果平台尚未运行,中继启动进程会等待,以确保建立稳定连接后再继续进行。 |
| 身份验证服务现在能够在通信信道发生中断的情况下自动恢复,以确保身份验证功能的可靠性。 |
| Tenable Identity Exposure 实施了一种安全机制来解决帐户锁定期间的用户枚举功能问题。 |
| 租户筛选功能现在正常运行,可让用户在处理与 Entra ID 相关的事件时,筛选和查看特定于其租户的风险暴露指标。 |
Tenable Identity Exposure 3.71 (2024-05-22)
注意:3.71 版本中包含 Tenable Identity Exposure 3.70 的增强功能和缺陷修复。
增强功能
-
攻击指标 (IoA)
DC Sync:
“延迟时间”选项的默认值已从 1 小时增加到 12 小时,以提供更长的时间窗口来筛除合法事件。
“允许未知来源”选项的默认值从“假”更改为“真”,以防止因默认配置文件无法自定义此选项而造成漏报情况。
黄金票据:检测 Windows 事件日志丢失情况,以防止在某些情况下触发误报。
本地管理员枚举:托管服务帐户经过过滤流程,以减少误报检测的发生。
-
风险暴露指标 (IoE)
-
未使用的受保护用户组:IoE 报告中新增了一个原因,列出所有不属于该组的特权用户。
-
KRBTGT 帐户上次更改密码的时间:支持 Windows Hello for Business(云信任部署)中的 krbtgt_AzureAD 帐户。
-
错误修复
Tenable Identity Exposure 版本 3.71 修复了以下缺陷:
| 错误修复 |
|---|
|
攻击指标 (IoA):
|
| “KRBTGT 帐户上次更改密码的时间”风险暴露指标:从安全配置文件自定义中移除了“保留已禁用的帐户”和“保留已删除的帐户”选项。 |
| 不再偶尔出现 IoA 和 IoE 分析中断一小时或更长时间的情况。 |
| Tenable Identity Exposure 改进了 Identity Explorer 页面上的数据质量。 |
| 现在,中继可确保在有延迟的网络间可靠地传递 Syslog 消息。 |
| Web 应用程序现在支持上传 ECC CA 证书,以用于 TLS 连接的验证,包括 LDAPS 身份验证、SMTPS 等。 |
Tenable Identity Exposure 3.69 (2024-04-18)
新功能
- 全新风险暴露指标 (IoE)
托管服务帐户中存在风险的错误配置 — 确保正确部署和配置托管服务帐户。
已启用来宾帐户 — 检查内置的来宾帐户是否已禁用。
-
风险暴露指标增强功能
- 没有计算机加固 GPO 的域:集成了针对 NULL 会话设计的新检查,此类会话应在所有域计算机中明确禁用。
-
本机管理组成员 :在自定义组的允许列表中添加了“Exchange Server”、“Exchange Windows Permissions”和“Exchange Trusted Subsystem”组。此修改仅适用于默认安全配置文件,不适用于现有自定义安全配置文件。
-
使用旧密码的用户帐户 — 添加了两个区分特权用户和普通用户的原因。
-
为提高吞吐量,LDAP 搜索请求现在可在中继和 Ceti 服务之间批量处理结果。
错误修复
Tenable Identity Exposure 的 3.69 版本修复了以下缺陷:
| 错误修复 |
|---|
| “黄金票据”攻击指标中的增强检测算法减少了漏报和误报。 |
| 现已正确显示针对“使用 Windows 2000 以前版本兼容访问控制的帐户”IoE 的异常行为修复。 |
| 没有计算机加固 GPO 的域 IoE 现在可准确检测发现结果。 |
Tenable Identity Exposure 3.68 (2024-04-08)
新功能
风险暴露指标 (IoE) 增强功能:
-
休眠帐户:新增两个区分特权用户和普通用户的原因。
-
运行过时操作系统的计算机:添加新值“lastLogonTimestamp”,用于在“处于非活动状态的过时操作系统”异常行为中显示上次成功用户登录的时间戳。
-
没有计算机加固 GPO 的域
-
与为域控制器(SYSVOL/NETLOGON 共享)配置的加固 UNC 路径相关的新检查。
-
与应在域控制器上保持禁用状态的打印后台处理程序服务相关的新检查。
-
一项增强功能,以确保在域控制器和其他服务器上正确执行服务器消息块 (SMB) 签名增强功能。该功能会验证“默认域控制器策略”参数,并检查其他服务器上的 GPO 配置是否正确。
-
-
策略结果集 (RSoP) IoE — 为了使用最新缓存重新执行 RSoP IoE,Tenable Identity Exposure 现在会在短时间内聚合缓冲事件,以减少要分析的更改数量(默认情况下为 1 分钟,并且仅适用于“特权用户的登录限制”IoE)。
错误修复
Tenable Identity Exposure 的 3.68 版本修复了以下缺陷:
| 错误修复 |
|---|
| 现在可以更新引入新攻击指标 (IoA) 选项之前创建的自定义安全配置文件上的 IoA 选项。 |
| 公共 API 端点 /export/profile/:profileId/checkers/:checkerId 现在无需选项即可正常工作。 |
Tenable Identity Exposure 3.67 (2024-03-21)
新功能
-
计算机不会因为“不受委托防护”而被视为异常对象。Tenable Identity Exposure 解决了与此问题相关的任何现有异常对象。
-
风险暴露指标 (IoE) 增强 — 在“用户帐户的 Kerberos 配置”IoE 中,拥有智能卡的用户不会受到 AS-REP Roasting 攻击,并且 Tenable Identity Exposure 不再将其标记为安全问题。
-
攻击指标 (IoA) 增强功能:
-
密码猜测 — 新选项“密码喷洒检测时间间隔”可指定在多少分钟内,每次失败的登录尝试会被归类为正在进行的潜在攻击。
-
本地管理员枚举
-
新选项“激进模式下经筛选的访问权限”仅考虑指定从“已检查网络共享对象”事件中获取的访问权限,以便对正在进行的潜在攻击进行分类。此列表仅适用于激进模式。
-
“使用 Windows Server 2016 之前版本的域控制器的启发式”的默认值目前为“False”。
-
-
DCSync —“允许未知来源”选项的默认值现在为“False”。
-
NTDS 提取 —“基本模式”中新增“拒绝列表”:diskshadow、ntdsutil、esentutl、esentutldefrag 模式、vssown,copy-vss、基于 wmi 的技术、psexec_ntds_grab、wmiprvse、vssadmin、vss、impacket-secretsdump、vss_requestor、VeeamGuestHelper,以及基于 WMI 的技术。
-
凭据转储 LSASS 内存 —“基本模式”中新增“拒绝列表”:mimikatz、taskmgr、ipconfig、arp、powershell、net、auditpol、whoami、cmd、route、processhacker、net1、csc、procdump,以及 osqueryi。
-
错误修复
Tenable Identity Exposure 3.67 版本修复了以下缺陷:
| 错误修复 |
|---|
|
Tenable Identity Exposure 现在会在您修改下列 IoA 配置的选项时正确更新安全配置文件:
|
| 如果您有 Tenable One 许可证,用户创建将在 Tenable Vulnerability Management 中进行并传播到 Tenable Identity Exposure。在这种情况下,当您点击 Tenable Identity Exposure 中的“创建用户”按钮时,页面会出现一条消息,将您引导至 Tenable Vulnerability Management 以创建用户。 |
| Tenable Identity Exposure 现在会在 IoE 窗格中显示所有 Entra ID IoE。 |
| 安装或升级后,MSI 日志文件现位于 C:\Tenable\Logs 中。 |
Tenable Identity Exposure 3.66 (2024-03-11)
新功能
攻击指标 (IoA) — 为以下 IoA 新增选项,以限制误报。如需更多信息,请参阅《攻击指标参考指南》。
注意:从此版本开始,每个安全配置文件上的所有 IoA 的“激进模式”选项默认设置为“False”。您可以在各个安全配置文件中,为每个 IoA 将此选项切换为“True”。
-
可疑的 DC 密码更改 — 新选项:
-
“激进模式”:
-
True:无论用户是否经过身份认证都检测攻击。
- False(默认):仅检测经过身份验证的用户。
“密码更改间隔”:在“激进模式”下,此选项指定两次密码变更之间的时间段(默认为 30 天)。
-
DCSync — 新选项:
“激进模式”:
True:基于可产生大量误报的 IoA 规则触发所有攻击。
False(默认):仅当计算机不在域中时才触发攻击。这会减少检测的攻击数量,但会避免误报。
增强功能
-
针对依赖于策略结果集 (RSoP) 的风险暴露指标优化了计算耗时,从而导致与 RSoP 相关的异常行为计算速度变慢。有关更多信息,请参阅《Tenable Identity Exposure 用户指南》中的“基于 RSoP 的风险暴露指标”。
-
添加了对在角色权限管理中限制 Entra ID 租户的数据可见性的支持。
错误修复
Tenable Identity Exposure 3.66 版本修复了以下缺陷:
| 错误修复 |
|---|
| “OS 凭据转储 LSASS”IoA:Tenable Identity Exposure 现在会考虑为“激进模式”选项指定的允许列表。 |
| Tenable Identity Exposure 实现了一种新机制,通过使用限制更改的节流措施来增强数据库在处理大量对 badPwdCount 属性的修改时的弹性。 |
| Tenable Identity Exposure 更新了中文的命名约定。 |
Tenable Identity Exposure 3.65 (2024-02-27)
新功能
攻击指标 (IoA):以下 IoA 的新默认值,用于限制误报。如需更多信息,请参阅《攻击指标参考指南》。
-
黄金票据:新的“激进模式”选项:
-
False(基本,默认):仅当目标用户是域控制器或“域管理员”组的用户时才能触发攻击。
-
True:即使目标用户名不是“域管理员”组的成员或域控制器,也允许触发攻击。即使某些域控制器不受监控(换句话说,它们不发出任何 Windows 事件日志),它也会允许攻击。
-
-
SAMAccountName 冒充:新的“激进模式”选项:
-
False(基本,默认):如果 TargetUserName 不是域控制器 (DC),则不会触发攻击。
-
True:基于可产生大量误报的 IoA 规则触发所有攻击。
-
-
OS 凭据转储:LSASS 内存 - 新选项:
-
“激进模式”:
-
False(基本,默认):IoA 可识别工具,并且仅将预定义进程视为非法进程。
-
True:IoA 将所有攻击工具视为非法工具,除非包含在允许列表中。
-
“激进模式中允许的进程”:可选,仅当“激进模式”选项为 True 时适用。
-
“基本模式 - 拒绝列表”:在基本模式下,只有指定的工具才能触发攻击。
-
-
NTDS 提取:新选项:
-
“激进模式”:
-
False(基本,默认):IoA 可识别工具,并且仅将预定义进程视为非法进程。
True:IoA 将所有攻击工具视为非法工具,除非包含在允许列表中。
“基本模式 - 拒绝列表”:在基本模式下,只有指定的工具才能触发攻击。
“基本模式攻击白名单进程”(旧称“白名单进程”):可选,仅在“激进模式”选项为True 时适用。
-
大规模计算机侦查:新的选项默认值:
-
计算机数量:5000
-
最小计算机数量:100
-
计算机百分比:95
-
滑动窗口:240
-
发动攻击的等待间隔时间:240
-
-
密码猜测:新的选项默认值:
-
密码输入错误的帐户数:10000
-
-
本地管理员枚举:默认情况下,“使用 Windows Server 2016 之前版本的域控制器的启发式算法”选项现在被设置为“False”。
风险暴露指标 (IoE)
-
新 IoE
- 特权身份验证孤岛配置:提供有关为特权(第 0 层)帐户配置身份验证孤岛的分步指南。
已同步到 Microsoft Entra ID 的特权 AD 用户帐户:检查特权 Active Directory 用户帐户是否未同步到 Microsoft Entra ID。
-
增强功能
-
存在风险的 Kerberos 委派 IoE:引入新的原因,用于检测 Microsoft Entra Connect 帐户上当前的 Kerberos 委派配置 (AZUREADSSOACC)。
-
可逆密码 IoE:根据密码设置对象 (PSO) 中 msDS-PasswordReversibleEncryptionEnabled 属性定义的设置,验证为了以可逆格式存储而配置的密码。
-
本地管理帐户管理 IoE:通过名为“已安装 LAPS 版本”的新选项,增加对新 Microsoft 本地管理员密码解决方案 (LAPS) 的支持,并根据用户的选择验证 LAPS 版本配置。
-
错误修复
Tenable Identity Exposure 版本 3.65 修复了以下缺陷:
| 错误修复 |
|---|
| Tenable Identity Exposure 解决了与 Microsoft Entra ID 租户删除有关的问题。此前,单击删除箱图标时,之前获取的某些资产可能会持续存在。当前解决方案可确保所有资产在此过程中完全被删除。 |
| Tenable Identity Exposure 修复了低特权本地用户可以修改 Tenable Identity Exposure 安全中继主机上的应用程序文件的注入漏洞。 |
| Tenable Identity Exposure 修复了因空值而导致查询失败的问题,这可能源于数据库中的数据不一致。例如,如果针对资产的授权有限,且该资产尚未达到必要软件工厂 (SF) 资产的标准,则可能出现此问题。 |
| Tenable Identity Exposure 增强了确定攻击路径的功能,以防在初始化过程中发生崩溃(这种情况极少出现)。 |
| Tenable Identity Exposure 实施了新的机制,以确保数据库可处理多项 badPwdCount 属性修改,而不会影响其完整性或性能。 |
Tenable Identity Exposure 3.64 (2024-02-07)
错误修复
Tenable Identity Exposure 版本 3.64 修复了以下缺陷:
| 错误修复 |
|---|
| 解决攻击指标“可疑的 DC 密码更改”解决了与默认每 30 天更改一次密码的 Windows Server 2008 R2 系统有关的误报问题。 |
Tenable Identity Exposure 3.63 (2024-01-24)
新功能
-
攻击指标:攻击指标凭据转储:LSASS 内存和NTDS 提取的“允许的进程”选项包含已知会产生误报问题的进程。
错误修复
Tenable Identity Exposure 3.63 版本修复了以下缺陷:
| 错误修复 |
|---|
| 在删除关联域后,Tenable Identity Exposure 将不再显示拓扑域。 |
| 即使先前的扫描成功,Microsoft Entra ID 的当前扫描状态现在也会显示扫描失败的错误。 |
| Tenable Identity Exposure 现在会在 Syslog 警报配置更新后正确刷新 CA 证书。 |
| 当此功能激活时,Tenable Identity Exposure 的内部技术数据将不再作为资产传输至 Tenable Cloud。 |
| “密码弱点检测”风险暴露指标所检测到的与密码重用相关的异常行为,现在会暴露与危害认定问题相关的密码哈希前缀。 |
| 若分析缺少主机名,导致来源显示为“未知”的 4776 事件时,Tenable Identity Exposure 现在会根据“密码喷洒”攻击指标中的“允许未知来源”选项筛选掉此异常行为。 |
Tenable Identity Exposure 3.62 (2024-01-10)
错误修复
Tenable Identity Exposure 3.62 版本修复了以下缺陷:
| 错误修复 |
|---|
| Tenable Identity Exposure 现在会在创建名称超过 500 个字符的属性时计算 SYSVOL 文件。 |
| 安全中继现在会反映对 SYSLOG 配置所做的修改,以便重新启用 SYSLOG 消息流向 SIEM。 |
| 风险暴露指标 (IoE) 针对勒索软件的加固不足现在可以正确管理白名单排除项。 |
| Tenable Identity Exposure 解决了一个曾导致无法准确识别以下 IoE 中的特权组资格的问题:标准用户中设置的 AdminCount 属性、特权组中的禁用帐户、运行 Kerberos 服务的特权帐户以及帐户上的映射证书。 |
| Microsoft EntraID 扫描状态现在更加准确,可在出现问题时提供更清晰的指示。 |