Tenable Identity Exposure 2024 版本说明
这些版本说明会按时间倒序排列。
Tenable Identity Exposure 3.69 (2024-04-18)
- 全新风险暴露指标 (IoE)
托管服务帐户中存在风险的错误配置 — 确保正确部署和配置托管服务帐户。
已启用来宾帐户 — 检查内置的来宾帐户是否已禁用。
-
风险暴露指标增强功能
- 没有计算机加固 GPO 的域:集成了专门针对 NULL 会话设计的新检查,此类会话应在所有域计算机中明确禁用。
-
本机管理组成员 :在自定义组的允许列表中添加了“Exchange Server”、“Exchange Windows Permissions”和“Exchange Trusted Subsystem”组。此修改仅适用于默认安全配置文件,不适用于现有自定义安全配置文件。
-
使用旧密码的用户帐户 — 添加了两个区分特权用户和普通用户的原因。
-
为提高吞吐量,LDAP 搜索请求现在可在中继和 Ceti 服务之间批量处理结果。
Tenable Identity Exposure 的 3.69 版本修复了以下缺陷:
缺陷修复 |
---|
黄金票据攻击指标中的增强检测算法减少了漏报和误报。 |
针对使用 Pre-Windows 2000 兼容访问控制的帐户 IoE 的异常行为修复,现在已正确显示。 |
没有计算机加固 GPO 的域 IoE 现在可准确检测发现结果。 |
Tenable Identity Exposure 3.68 (2024-04-08)
风险暴露指标 (IoE) 增强功能:
-
休眠帐户 — 新增两个区分特权用户和普通用户的原因。
-
运行过时操作系统的计算机 — 添加新值“lastLogonTimestamp”,用于在“处于非活动状态的过时操作系统”异常行为中显示上次成功用户登录的时间戳。
-
没有计算机加固 GPO 的域
-
与为域控制器(SYSVOL/NETLOGON 共享)配置的加固 UNC 路径相关的新检查。
-
与应在域控制器上保持禁用状态的打印后台处理程序服务相关的新检查。
-
一项增强功能,以确保在域控制器和其他服务器上正确执行服务器消息块 (SMB) 签名增强功能。该功能会验证“默认域控制器策略”参数,并检查其他服务器上的 GPO 配置是否正确。
-
-
策略结果集 (RSoP) IoE — 为了使用最新缓存重新执行 RSoP IoE,Tenable Identity Exposure 现在会在短时间内聚合缓冲事件,以减少要分析的更改数量(默认情况下为 1 分钟,并且仅适用于“特权用户的登录限制”IoE)。
Tenable Identity Exposure 的 3.68 版本修复了以下缺陷:
缺陷修复 |
---|
现在可以更新引入新攻击指标 (IoA) 选项之前创建的自定义安全配置文件上的 IoA 选项。 |
公共 API 端点 /export/profile/:profileId/checkers/:checkerId 现在无需选项即可正常工作。 |
Tenable Identity Exposure 3.67 (2024-03-21)
-
计算机不会因为“不受委托防护”而被视为异常对象。Tenable Identity Exposure 解决了与此问题相关的任何现有异常对象。
-
风险暴露指标 (IoE) 增强 — 在“用户帐户的 Kerberos 配置”IoE 中,拥有智能卡的用户不会受到 AS-REP Roasting 攻击,并且 Tenable Identity Exposure 不再将其标记为安全问题。
-
攻击指标 (IoA) 增强功能:
-
密码猜测 — 新选项“密码喷洒检测时间间隔”可指定在多少分钟内,每次失败的登录尝试会被归类为正在进行的潜在攻击。
-
本地管理员枚举
-
新选项“激进模式下经筛选的访问权限”仅考虑指定从“已检查网络共享对象”事件中获取的访问权限,以便对正在进行的潜在攻击进行分类。此列表仅适用于激进模式。
-
“使用 Windows Server 2016 之前版本的域控制器的启发式”的默认值目前为“False”。
-
-
DCSync —“允许未知来源”选项的默认值现在为“False”。
-
NTDS 提取 —“基本模式”中新增“拒绝列表”:diskshadow、ntdsutil、esentutl、esentutldefrag 模式、vssown,copy-vss、基于 wmi 的技术、psexec_ntds_grab、wmiprvse、vssadmin、vss、impacket-secretsdump、vss_requestor、VeeamGuestHelper,以及基于 WMI 的技术。
-
凭据转储 LSASS 内存 —“基本模式”中新增“拒绝列表”:mimikatz、taskmgr、ipconfig、arp、powershell、net、auditpol、whoami、cmd、route、processhacker、net1、csc、procdump,以及 osqueryi。
-
Tenable Identity Exposure 3.67 版本修复了以下缺陷:
缺陷修复 |
---|
Tenable Identity Exposure 现在会在您修改下列 IoA 配置的选项时正确更新安全配置文件:
|
如果您有 Tenable One 许可证,用户创建将在 Tenable Vulnerability Management 中进行并传播到 Tenable Identity Exposure。在这种情况下,当您点击 Tenable Identity Exposure 中的“创建用户”按钮时,页面会出现一条消息,将您引导至 Tenable Vulnerability Management 以创建用户。 |
Tenable Identity Exposure 现在会在 IoE 窗格中显示所有 Entra ID IoE。 |
安装或升级后,MSI 日志文件现位于 C:\Tenable\Logs 中。 |
Tenable Identity Exposure 3.66 (2024-03-11)
攻击指标 (IoA) — 为以下 IoA 新增选项,以限制误报。如需更多信息,请参阅《攻击指标参考指南》。
注意:从此版本开始,每个安全配置文件上的所有 IoA 的“激进模式”选项默认设置为“False”。您可以在各个安全配置文件中,为每个 IoA 将此选项切换为“True”。
-
可疑的 DC 密码更改 — 新选项:
-
“激进模式”:
-
True:无论用户是否经过身份认证都检测攻击。
- False(默认):仅检测经过身份验证的用户。
“密码更改间隔”:在“激进模式”下,此选项指定两次密码变更之间的时间段(默认为 30 天)。
-
DCSync — 新选项:
“激进模式”:
True:基于可产生大量误报的 IoA 规则触发所有攻击。
False(默认):仅当计算机不在域中时才触发攻击。这会减少检测的攻击数量,但会避免误报。
增强功能
-
针对依赖于策略结果集 (RSoP) 的风险暴露指标优化了计算耗时,从而导致与 RSoP 相关的异常行为计算速度变慢。有关更多信息,请参阅《Tenable Identity Exposure 用户指南》中的“基于 RSoP 的风险暴露指标”。
-
添加了对在角色权限管理中限制 Entra ID 租户的数据可见性的支持。
Tenable Identity Exposure 3.66 版本修复了以下缺陷:
缺陷修复 |
---|
“OS 凭据转储 LSASS”IoA — Tenable Identity Exposure 现在会考虑为“激进模式”选项指定的允许列表。 |
Tenable Identity Exposure 实现了一种新机制,通过使用限制更改的节流措施来增强数据库在处理大量对 badPwdCount 属性的修改时的弹性。 |
Tenable Identity Exposure 更新了中文的命名约定。 |
Tenable Identity Exposure 3.65 (2024-02-27)
攻击指标 (IoA):以下 IoA 的新默认值,用于限制误报。如需更多信息,请参阅《攻击指标参考指南》。
-
黄金票据:新的“激进模式”选项:
-
False(基本,默认):仅当目标用户是域控制器或“域管理员”组的用户时才能触发攻击。
-
True:即使目标用户名不是“域管理员”组的成员或域控制器,也允许触发攻击。即使某些域控制器不受监控(换句话说,它们不发出任何 Windows 事件日志),它也会允许攻击。
-
-
SAMAccountName 冒充:新的“激进模式”选项:
-
False(基本,默认):如果 TargetUserName 不是域控制器 (DC),则不会触发攻击。
-
True:基于可产生大量误报的 IoA 规则触发所有攻击。
-
-
OS 凭据转储:LSASS 内存 - 新选项:
-
“激进模式”:
-
False(基本,默认):IoA 可识别工具,并且仅将预定义进程视为非法进程。
-
True:IoA 将所有攻击工具视为非法工具,除非包含在允许列表中。
-
“激进模式中允许的进程”:可选,仅当“激进模式”选项为 True 时适用。
-
“基本模式 - 拒绝列表”:在基本模式下,只有指定的工具才能触发攻击。
-
-
NTDS 提取:新选项:
-
“激进模式”:
-
False(基本,默认):IoA 可识别工具,并且仅将预定义进程视为非法进程。
True:IoA 将所有攻击工具视为非法工具,除非包含在允许列表中。
“基本模式 - 拒绝列表”:在基本模式下,只有指定的工具才能触发攻击。
“基本模式攻击白名单进程”(旧称“白名单进程”):可选,仅在“激进模式”选项为True 时适用。
-
大规模计算机侦查:新的选项默认值:
-
计算机数量:5000
-
最小计算机数量:100
-
计算机百分比:95
-
滑动窗口:240
-
发动攻击的等待间隔时间:240
-
-
密码猜测:新的选项默认值:
-
密码输入错误的帐户数:10000
-
-
本地管理员枚举:默认情况下,“使用 Windows Server 2016 之前版本的域控制器的启发式算法”选项现在被设置为“False”。
风险暴露指标 (IoE)
-
新 IoE
- 特权身份验证孤岛配置:提供有关为特权(第 0 层)帐户配置身份验证孤岛的分步指南。
已同步到 Microsoft Entra ID 的特权 AD 用户帐户:检查特权 Active Directory 用户帐户是否已同步到 Microsoft Entra ID。
-
增强功能
-
存在风险的 Kerberos 委派 IoE:引入新的原因,用于检测 Microsoft Entra Connect 帐户上当前的 Kerberos 委派配置 (AZUREADSSOACC)。
-
可逆密码 IoE:根据密码设置对象 (PSO) 中 msDS-PasswordReversibleEncryptionEnabled 属性定义的设置,验证为了以可逆格式存储而配置的密码。
-
本地管理帐户管理 IoE:通过名为“已安装 LAPS 版本”的新选项,增加对新 Microsoft 本地管理员密码解决方案 (LAPS) 的支持,并根据用户的选择验证 LAPS 版本配置。
-
Tenable Identity Exposure 版本 3.65 修复了以下缺陷:
缺陷修复 |
---|
Tenable Identity Exposure 解决了与 Microsoft Entra ID 租户删除有关的问题。此前,单击删除箱图标时,之前获取的某些资产可能会持续存在。当前解决方案可确保所有资产在此过程中完全被删除。 |
Tenable Identity Exposure 修复了低特权本地用户可以修改 Tenable Identity Exposure 安全中继主机上的应用程序文件的注入漏洞。 |
Tenable Identity Exposure 修复了因空值而导致查询失败的问题,这可能源于数据库中的数据不一致。例如,如果针对资产的授权有限,且该资产尚未达到必要软件工厂 (SF) 资产的标准,则可能出现此问题。 |
Tenable Identity Exposure 增强了确定攻击路径的功能,以防在初始化过程中发生崩溃(这种情况极少出现)。 |
Tenable Identity Exposure 实施了新的机制,以确保数据库可处理多项 badPwdCount 属性修改,而不会影响其完整性或性能。 |
Tenable Identity Exposure 3.64 (2024-02-07)
Tenable Identity Exposure 版本 3.64 修复了以下缺陷:
缺陷修复 |
---|
解决攻击指标“可疑的 DC 密码更改”解决了与默认每 30 天更改一次密码的 Windows Server 2008 R2 系统有关的误报问题。 |
Tenable Identity Exposure 3.63 (2024-01-24)
-
攻击指标:攻击指标凭据转储:LSASS 内存和NTDS 提取的“允许的进程”选项包含已知会产生误报问题的进程。
Tenable Identity Exposure 3.63 版本修复了以下缺陷:
缺陷修复 |
---|
在删除关联域后,Tenable Identity Exposure 将不再显示拓扑域。 |
即使先前的扫描成功,Microsoft Entra ID 的当前扫描状态现在也会显示扫描失败的错误。 |
Tenable Identity Exposure 现在会在 Syslog 警报配置更新后正确刷新 CA 证书。 |
当此功能激活时,Tenable Identity Exposure 的内部技术数据将不再作为资产传输至 Tenable Cloud。 |
“密码弱点检测”风险暴露指标所检测到的与密码重用相关的异常行为,现在会暴露与危害认定问题相关的密码哈希前缀。 |
若分析缺少主机名,导致来源显示为“未知”的 4776 事件时,Tenable Identity Exposure 现在会根据“密码喷洒”攻击指标中的“允许未知来源”选项筛选掉此异常行为。 |
Tenable Identity Exposure 3.62 (2024-01-10)
Tenable Identity Exposure 3.62 版本修复了以下缺陷:
缺陷修复 |
---|
Tenable Identity Exposure 现在会在创建名称超过 500 个字符的属性时计算 SYSVOL 文件。 |
安全中继现在会反映对 SYSLOG 配置所做的修改,以便重新启用 SYSLOG 消息流向 SIEM。 |
风险暴露指标 (IoE) 针对勒索软件的加固不足现在可以正确管理白名单排除项。 |
Tenable Identity Exposure 解决了一个曾导致无法准确识别以下 IoE 中的特权组资格的问题:标准用户中设置的 AdminCount 属性、特权组中的禁用帐户、运行 Kerberos 服务的特权帐户以及帐户上的映射证书。 |
Microsoft EntraID 扫描状态现在更加准确,可在出现问题时提供更清晰的指示。 |