Tenable Identity Exposure 2025 版本说明

• “危险的 Kerberos 委派”风险暴露指标：更改与 Kerberos 委派相关的理由说明，以提高准确性并使其相关风险更加清晰。

  旧名称	更新后的名称
  已允许 RBCD 控制	基于资源的约束委派 (RBCD) 属性中存在不安全权限
  RBCD 后门程序	基于资源的约束委派属性中存在可疑主体
  存在风险的 Kerberos 委派	具有协议转换功能的危险 Kerberos 约束委派
  约束委派中使用的孤立 SPN	Kerberos 约束委派中使用的孤立 SPN
  敏感对象上的 Kerberos 委派	敏感对象上的 Kerberos 约束委派
  未受到委派保护	特权帐户未受到委派保护
  无约束委派	危险的 Kerberos 无约束委派

• 密码弱点检测：此风险暴露指标 (C-PASSWORD-HASHES-ANALYSIS) 已更新，新增了相关内容。

• 针对勒索软件的强化不足：此风险暴露指标会指示“危险文件关联”的修复位置。

• 见解：改善了在“见解”页面上按身份提供程序进行的身份计数，增强了用户体验。

• 为用户应用弱密码策略：此风险暴露指标改进了检测逻辑，能够在启用密码复杂性或禁用可逆加密时防止出现误报。

• 风险暴露中心 ：风险暴露中心通过将风险暴露概览和风险暴露实例页面合并为单一视图，提供更简单、更统一的体验。更新后的页面引入了快速筛选选项，以便您可以更快地应用筛选条件，并专注于最相关的数据。

• 改进了 IoA 部署流程：将计划任务中的长命令块替换为专用的 PowerShell 脚本：

  • 专用的侦听器启动程序：新部署使用已签名的监听器 launcher.ps1 脚本，该脚本存储在 SYSVOL 中。此脚本可简化计划任务并提高安全性。

  • 证书部署：Tenable 证书现在通过运行签名脚本所必需的组策略 (GPO) 自动部署。

  注意：此增强功能需要重新安装 IoA 模块。

• 安全配置文件：标题栏中新增了一个安全配置文件开关，显示处于活动状态的 Tenable 安全配置文件。此标题仅在您激活 Tenable 云服务时可见。请参阅 Tenable Cloud 数据收集 获取相关说明。

• 风险暴露指标

  • 弱密码策略的应用：改进了漏洞详细信息和建议。

  • 存在风险的 ADCS 错误配置：更新了描述，以显示每个原因的 ESC 引用。

• 见解：新增了在未启用 Tenable Cloud 时对“见解”这一新功能的可见性。

• RabbitMQ：通过自动恢复中断的连接来提高弹性，以确保持续的消息处理并防止服务中断。

• 身份 360：从身份 360 视图中移除了“已授权”和“授权到期时间”属性，以提高清晰度，因为这些属性与 Tenable Identity Exposure 无关。

• 风险暴露中心排除项 — 此功能可让您将特定资产组加入允许列表，以防止已知的低风险配置出现在弱点报告中。这有助于减少干扰信息，并确保安全发现结果保持相关性和可操作性。

• SMB 文件共享 — 攻击指标 (IoA) 模块中现在推出了一种新的可选文件共享模式，用于收集 Windows 事件日志文件。它利用了一个专用的 SMB 共享，该共享由 Tenable Identity Exposure 在基础设施中进行安全保护。

Entra ID 风险暴露指标

• 已强制实施密码过期策略：此 IoE 会检测强制实施密码过期策略的域。该策略会削弱安全性，因为系统会频繁提示用户更改密码，这通常会导致用户使用弱密码、可预测的密码或重复使用的密码，从而降低整体的帐户防护水平。

• 不需要使用托管设备进行 MFA 注册：此 IoE 会检测未启用条件访问策略的租户，以要求使用托管设备进行 MFA 注册。要求使用托管设备进行 MFA 注册会额外增加一层安全保障，使攻击者更难以注册恶意 MFA 方法（即使他们窃取了凭据），除非他们也拥有托管设备。

Tenable Identity Exposure 版本 3.96 修复了以下错误：

Active Directory (AD) 风险暴露指标

• BadSuccessor 存在风险的 dMSA 权限：此 IoE 会检测 BadSuccessor，这是随 Windows Server 2025 dMSA 一起引入 Active Directory 中的特权提升漏洞。此漏洞允许攻击者通过滥用 dMSA 继承来获取高特权访问权限，可能导致整个域遭到入侵。攻击者需要借助 Windows Server 2025 域控制器才能利用此漏洞。

• Tenable Identity Exposure 重命名了设置菜单，以更好地反映其用途。此外，Tenable Identity Exposure 现在通过齿轮图标让身份提供程序菜单（启用之后可用于配置 Entra ID 租户）更易于访问。

Tenable Identity Exposure 版本 3.95 修复了以下错误：

Tenable Identity Exposure 版本 3.92 修复了以下错误：

Tenable Identity Exposure 版本 3.91.1 修复了以下错误：

• 非必要组：这一新的风险暴露指标 (IoE) 会报告空组和只有一个成员的组。

  注意：非必要组 IoE 最初于 2025 年 2 月 5 日与风险暴露中心一起作为两个单独的 IoE（即空 AD 组和单成员 AD 组）发布。这两个 IoE 随后移至风险暴露指标视图中，以与其他 AD 相关的 IoE 保持一致。新的非必要组 IoE 将这些以前的 IoE 合并到单个实体中。

• 删除风险暴露实例名称中的 /Default 后缀，因为 Tenable Identity Exposure 认为所有漏洞都来自一个实例。

• 在深入了解相关漏洞后，身份 360 和风险暴露概述页面现在会重定向到风险暴露实例页面。

Tenable Identity Exposure 版本 3.91 修复了以下错误：

• 不受支持或过时的 Exchange 服务器：这个全新的风险暴露指标 (IoE) 可以检测 Microsoft 不再支持的过时 Exchange 服务器，以及缺少最新累积更新的 Exchange 服务器。为了维护安全且全面受支持的 Exchange 环境，请及时处理过时或未修补的服务器。如果不这样做，将会增加漏洞遭到利用的风险，从而导致您的组织面临数据外泄或勒索软件攻击。

• 存在风险的 ADCS 错误配置 IoE 现在会报告 ESC9 漏洞，并将具有不安全 CT_FLAG_NO_SECURITY_EXTENSION 的证书模板标记为异常行为。

• 风险暴露概览和风险暴露实例页面现在会显示在其中检测到安全发现结果的身份数据提供程序租户（AD 域、Entra ID 租户等）的名称。

Tenable Identity Exposure 版本 3.90 修复了以下错误：

• 身份 360

  • 改进了各种身份 360 页面的加载时间，尤其是在查看资产的“访问和授权”选项卡时。

  • Tenable Identity Exposure 现在可以更快地收集 Active Directory 授权，从而在资产详细信息的“授权”选项卡下的身份 360 页面中进行产品设置后，尽早提供数据。Tenable Identity Exposure 仅侧重于影响客户安全环境的授权。

• 风险暴露指标 (IoE)

  • 帐户上的映射证书：此 IoE 之前报告的特权用户只有两种映射类型：X509IssuerSubject 和 X509SubjectOnly。它现在已扩展其原始范围，以包括其他映射：X509RFC822、X509IssuerSerialNumber、X509SKI 和 X509SHA1PublicKey。

  • 帐户上的映射证书：Tenable Identity Exposure 改进了此 IoE，以报告弱的显式证书映射，并解决 AD CS ESC14 滥用技术问题。

  • 单成员 AD/Entra 组：IoE 现在会在“为何重要”描述中显示组成员。

  • 具有凭据的第一方服务主体：IoE 现在会在“为何重要”描述中显示已识别凭据的详细信息。

  • 单成员 AD/Entra 组和空组：这些 IoE 现在仅计算直接成员数量，以确保结果更准确、更有意义。

  • 安全配置文件自定义：针对适用的 IoE，改进了关于“允许的对象所有者（按组成员身份）”选项的描述。

• 运行状况检查

  • 收集 AD 域数据的权限：现在，如果用户界面中的“特权分析”功能停用，系统则会隐藏“已授予收集特权数据的权限”详细信息。确保您的中继是最新版本，以便此功能运行。

  • 域可访问性：现在，系统会更准确地给出域无法访问的原因。

Tenable Identity Exposure 版本 3.89 修复了以下错误：

• 风险暴露指标 (AD)：“存在风险的 Exchange 错误配置”会列出影响 Exchange 资源或其底层 Active Directory 架构对象的错误配置。

Tenable Identity Exposure 版本 3.88 修复了以下缺陷：

• 风险暴露中心：从风险暴露概览中移除了对漏洞优先级评级 (VPR) 的引用，因为 Tenable Identity Exposure 不会为与身份相关的风险暴露指标提供这些分数。

Tenable Identity Exposure 版本 3.87 修复了以下错误：

• 风险暴露中心：风险暴露中心是 Tenable Identity Exposure 中的一项功能，旨在增强您组织的身份安全状况。该功能可以识别不同身份风险面上的弱点和错误配置，既涵盖诸如 Entra ID 等基础身份系统，也包括这些系统中的身份。

  此功能的用户体验围绕三个相互关联的概念展开：风险暴露概览、风险暴露实例和发现结果。Tenable Research 通过新的安全引擎和专门开发的风险暴露指标 (IoE) 来支持这些概念，以实现其功能。

  有关更多信息，请参阅《Tenable Identity Exposure 用户指南》中的“风险暴露中心”部分。

• 新 Entra ID 风险暴露指标

  名称	描述
  标准帐户注册应用程序的能力	默认情况下，任何 Entra 用户均可在租户内注册应用程序。尽管此功能使用方便且不会立即造成安全漏洞，但也确实存在一定的风险。因此，根据最佳实践，Tenable 建议禁用此功能。
  允许多租户身份验证的应用程序	如果 Entra 应用程序在操作者未具备充分认知的情况下启用了允许多租户身份验证配置，且未在应用程序代码中实施足够的授权检查，可能导致恶意用户获得未经授权的访问权限。
  条件访问策略禁用持续访问评估	持续访问评估是 Entra ID 的一项安全功能，可对安全策略变更或用户状态更新做出快速反应。因此，请勿禁用此功能。
  影响租户的危险应用程序权限	Microsoft 在 Entra ID 中公开 API，以允许第三方应用程序自行对 Microsoft 服务执行操作（这被称为“应用程序权限”）。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。
  影响租户的危险委派权限	Microsoft 在 Entra ID 中公开 API，以允许第三方应用程序自行对 Microsoft 服务执行操作（这被称为“应用程序权限”）。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。
  禁用的帐户被分配给特权角色	要拥有健全的帐户管理流程，便需要监控对特权角色的分配。
  休眠设备	休眠设备会带来安全风险，如过时的配置和未修补的漏洞。如果不定期监控和更新，这些过期设备可能会成为潜在的攻击目标，从而破坏租户的完整性和数据机密性。
  休眠的非特权用户	休眠的非特权用户会带来安全风险，因为攻击者可以利用这些用户进行未经授权的访问。如果不定期监控和停用，这些过期用户会通过扩大攻击面，为恶意活动创建潜在的入口点。
  休眠的特权用户	休眠的特权用户会带来安全风险，因为攻击者可以利用这些用户进行未经授权的访问。如果不定期监控和停用，这些过期用户会通过扩大攻击面，为恶意活动创建潜在的入口点。
  具有可利用规则的动态组	攻击者可以通过操纵可自行修改的属性来利用 Microsoft Entra ID 中的动态组，将自己添加为组成员。这种操纵使得攻击者能够提升特权，并在未经授权的情况下访问与组相关的敏感资源。
  空 Entra 组	空组可导致混淆、影响安全性，并造成资源闲置。通常建议为组设定明确的用途，并确保组中包含相关成员。
  Entra 安全默认设置未启用	Entra ID 安全默认设置提供预配置、Microsoft 建议的设置，以增强租户保护。
  联合域列表	恶意联合域配置是一种常见威胁，攻击者将其用作进入 Entra ID 租户的身份验证后门程序。验证现有和新添加的联合域对于确保其配置可靠且合法至关重要。此风险暴露指标提供了联合域及其相关属性的完整列表，有助于您对其安全状态做出明智决定。
  联合签名证书不匹配	Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而，有更高特权的攻击者可以通过添加恶意的令牌签名证书来利用该功能，从而实现持久性和特权提升。
  具有凭据的第一方服务主体	第一方服务主体拥有强大的权限，但由于其数量庞大、可见性差，并且为 Microsoft 所有，常常被忽视。攻击者会通过向这些主体添加凭据来利用此漏洞，以隐蔽的方式利用主体的特权进行特权提升和长期潜伏。
  具有特权角色的来宾帐户	来宾帐户是外部身份，当获得特权角色分配时，可能会造成安全风险。这会将租户内的大量特权授予组织外部的个人。
  来宾帐户与普通帐户具有相同的访问权限	不建议将 Entra ID 配置为将来宾视为普通用户，因为这可能会使恶意来宾对租户的资源进行全面侦查。
  管理员数量太多	管理员拥有更高的特权，因此当管理员数量太多时，可能会增加攻击面，并因此造成安全风险。此做法亦表明未遵循最小特权原则。
  已知的联合域后门程序	Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而，有更高特权的攻击者可以通过添加恶意联合域来利用该功能，从而实现持久性和特权提升。
  未阻止旧版身份验证	旧版身份验证方法不支持多因素身份验证 (MFA)，这使得攻击者可以继续进行暴力破解、凭据填充和密码喷洒攻击。
  非特权帐户缺少多因素身份验证	MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。
  特权帐户缺少多因素身份验证	MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。
  针对特权角色未要求进行多因素身份验证	MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，尤其是对于具有特权角色分配的特权帐户。
  针对有风险的登录未要求进行多因素身份验证	MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您对存在风险的登录要求进行 MFA，例如怀疑身份验证请求并非来自合法的身份拥有者时。
  从未使用的设备	请勿使用预先创建但从未使用的设备帐户，因为这不仅反映了安全管理上的不足，还可能带来安全风险。
  从未使用的非特权用户	从未使用的非特权用户帐户容易遭到入侵，因为它们通常能够逃避防御措施的检测。此外，此类帐户的默认密码也使其成为攻击者的主要目标。
  从未使用的特权用户	从未使用的特权用户帐户容易遭到入侵，因为它们通常能够逃避防御措施的检测。此外，此类帐户的默认密码也使其成为攻击者的主要目标。
  未对本地环境启用密码保护	Microsoft Entra 密码保护是一项安全功能，可防止用户设置容易被猜中的密码，以增强组织的整体密码安全性。
  特权帐户命名约定	Entra ID 中特权用户的命名约定对于安全性、规范性、审计合规性至关重要，并且有助于管理。
  与 Active Directory（混合帐户）同步的特权 Entra 帐户	混合帐户（即从 Active Directory 同步的帐户）如果在 Entra ID 中具有特权角色，则会构成安全风险，因为此类帐户允许入侵 AD 的攻击者转而入侵 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。
  可访问 Microsoft 365 服务的特权 Entra 帐户	维护用于管理任务的独立 Entra 帐户：一个用于日常使用的标准帐户，以及一个专门用于管理活动的特权帐户。此方法可最大程度地减少特权帐户的攻击面，从而增强安全性。
  公共 Microsoft 365 组	存储在 Entra ID 中的 Microsoft 365 组可以是公共组，也可以是私有组。公共组会带来安全风险，因为租户中的任何用户都可以加入这些组并访问其数据（Teams 聊天/文件、电子邮件等）
  在 Microsoft Authenticator 通知中显示额外上下文	为了提高可见性，请启用 Microsoft Authenticator 通知以显示额外的上下文，例如应用程序名称和地理位置。这有助于用户识别并拒绝潜在的恶意 MFA 请求或无密码身份验证请求，从而有效降低遭受 MFA 疲劳攻击的风险。
  单成员 Entra 组	不建议创建只有一个成员的组，因为这会增加不必要的冗余和复杂性。此做法增加了额外的管理层次，可能会削弱使用组来简化访问控制和管理的预期效率。
  可疑的目录同步帐户角色分配	“目录同步帐户”是 Azure 和 Entra ID 门户中隐藏的特权 Entra 角色，通常指定给 Microsoft Entra Connect（之前称为 Azure AD Connect）服务帐户使用。然而，恶意攻击者可能会利用该角色进行隐蔽攻击。
  已启用临时访问通行证功能	临时访问通行证 (TAP) 功能是一种临时的身份验证方法，使用有时限或限制使用的通行码。虽然这是合法功能，但如果您的组织不需要，禁用此功能以减少攻击面会更安全。
  不受限的来宾帐户	默认情况下，Entra ID 会限制来宾用户的访问权限，以降低其在租户中的可见性。您可以通过加强这些限制来进一步增强安全性和隐私性。
  应用程序的不受限用户同意	用户可以凭借 Entra ID 自主同意外部应用程序访问组织的数据，此漏洞可能会被攻击者利用来进行“非法同意授予”攻击。将访问限制于经验证的发布者或要求管理员批准，便可以防止这种情况发生。
  联合签名证书有效期异常	如果联合签名证书的有效期异常长，则需要警惕，因为这可能表明攻击者在 Entra ID 中获得了更高的特权，并通过联合信任机制创建了后门程序。
  未经验证的域	确认 Entra ID 中所有自定义域的所有权。仅暂时保留未经验证的域：您应该验证或移除此类域，以保持域列表的整洁，并促进高效的审核。

• 风险暴露指标：新的 IoE“混合 Entra ID 信息”可提供对复制到本地 Active Directory 的 Microsoft Entra ID 数据的洞察，使组织能够识别潜在的安全风险并解决策略不一致问题。

• 风险暴露指标

  • 托管服务帐户中存在风险的错误配置：此 IoE 中的改进包括增加对组的支持，从而实现对 gMSA 访问的简化控制。

  • 确保 SDProp 一致性：优化了建议。

  • 影子凭据：优化了针对 Coppersmith 攻击重现 (ROCA) 修复的建议。引入新选项，用于在“设备回写”功能已禁用的情况下，移除与使用 Entra ID 的混合环境相关的潜在误报。这会影响此 IoE 中的“孤立密钥凭据”原因。

  • 通过组成员身份增强对对象所有权和权限控制的两个新选项：

  • 允许的对象所有者（按组成员身份）：允许通过组成员身份指定安全主体作为对象所有者。

  • 允许的受信任方列表（按组成员身份）：根据安全主体的组成员身份，启用对安全主体的特殊权限分配。

• 攻击指标：“黄金票据”IoA 改进了攻击向量文本。

• 目录服务中的信任属性和类型

  • trustType 属性现在支持 TTAAD (TRUST_TYPE_AAD) 值。

  • trustAttributes 属性现在支持 TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION) 值。

• 导出功能：用户可以在执行 CSV 导出时选择分隔符（逗号或分号），从而灵活适应各种使用场景。浏览器会记住上次使用的分隔符，以便在将来执行导出时使用。

Tenable Identity Exposure 版本 3.86 修复了以下缺陷：

• 身份 360：Tenable Identity Exposure 中的一项以身份为中心的新功能，该功能提供了一个全面而详细的清单，列出了组织内所有身份在其身份风险表面上的情况。

  此功能可集中 Active Directory 和 Entra ID 中的身份，并根据其风险进行排序，从而使您能够按照从最高风险到最低风险的顺序对组织内的身份进行排名。

  此外，用户可利用身份 360 通过与给定身份相关联的各种上下文因素（例如帐户、弱点和设备）来深入了解每个身份，从而全面了解该身份的全貌。

  有关更多信息，请参阅《Tenable Identity Exposure 用户指南》中的“身份 360”部分。

• 运行状况检查：新的域运行状况检查通过识别和解决每个域的已知错误，增强了攻击指标部署的可信度。

  有关更多信息，请参阅《Tenable Identity Exposure 用户指南》中的“运行状况检查”部分。

Tenable Identity Exposure 版本 3.85 修复了以下缺陷：