Tenable Identity Exposure 2025 版本说明

Tenable Identity Exposure 版本 3.91.1 修复了以下错误：

• 非必要组：这一新的风险暴露指标 (IoE) 会报告空组和只有一个成员的组。

  注意：非必要组 IoE 最初于 2025 年 2 月 5 日与风险暴露中心一起作为两个单独的 IoE（即空 AD 组和单成员 AD 组）发布。这两个 IoE 随后移至风险暴露指标视图中，以与其他 AD 相关的 IoE 保持一致。新的非必要组 IoE 将这些以前的 IoE 合并到单个实体中。

• 删除风险暴露实例名称中的 /Default 后缀，因为 Tenable Identity Exposure 认为所有漏洞都来自一个实例。

• 在深入了解相关漏洞后，身份 360 和风险暴露概述页面现在会重定向到风险暴露实例页面。

Tenable Identity Exposure 版本 3.91 修复了以下错误：

• 不受支持或过时的 Exchange 服务器：这个全新的风险暴露指标 (IoE) 可以检测 Microsoft 不再支持的过时 Exchange 服务器，以及缺少最新累积更新的 Exchange 服务器。为了维护安全且全面受支持的 Exchange 环境，请及时处理过时或未修补的服务器。如果不这样做，将会增加漏洞遭到利用的风险，从而导致您的组织面临数据外泄或勒索软件攻击。

• 存在风险的 ADCS 错误配置 IoE 现在会报告 ESC9 漏洞，并将具有不安全 CT_FLAG_NO_SECURITY_EXTENSION 的证书模板标记为异常行为。

• 风险暴露概览和风险暴露实例页面现在会显示在其中检测到安全发现结果的身份数据提供程序租户（AD 域、Entra ID 租户等）的名称。

Tenable Identity Exposure 版本 3.90 修复了以下错误：

• 身份 360

  • 改进了各种身份 360 页面的加载时间，尤其是在查看资产的“访问和授权”选项卡时。

  • Tenable Identity Exposure 现在可以更快地收集 Active Directory 授权，从而在资产详细信息的“授权”选项卡下的身份 360 页面中进行产品设置后，尽早提供数据。Tenable Identity Exposure 仅侧重于影响客户安全环境的授权。

• 风险暴露指标 (IoE)

  • 帐户上的映射证书：此 IoE 之前报告的特权用户只有两种映射类型：X509IssuerSubject 和 X509SubjectOnly。它现在已扩展其原始范围，以包括其他映射：X509RFC822、X509IssuerSerialNumber、X509SKI 和 X509SHA1PublicKey。

  • 帐户上的映射证书：Tenable Identity Exposure 改进了此 IoE，以报告弱的显式证书映射，并解决 AD CS ESC14 滥用技术问题。

  • 单成员 AD/Entra 组：IoE 现在会在“为何重要”描述中显示组成员。

  • 具有凭据的第一方服务主体：IoE 现在会在“为何重要”描述中显示已识别凭据的详细信息。

  • 单成员 AD/Entra 组和空组：这些 IoE 现在仅计算直接成员数量，以确保结果更准确、更有意义。

  • 安全配置文件自定义：针对适用的 IoE，改进了关于“允许的对象所有者（按组成员身份）”选项的描述。

• 运行状况检查

  • 收集 AD 域数据的权限：现在，如果用户界面中的“特权分析”功能停用，系统则会隐藏“已授予收集特权数据的权限”详细信息。确保您的中继是最新版本，以便此功能运行。

  • 域可访问性：现在，系统会更准确地给出域无法访问的原因。

Tenable Identity Exposure 版本 3.89 修复了以下错误：

• 风险暴露指标 (AD)：“存在风险的 Exchange 错误配置”会列出影响 Exchange 资源或其底层 Active Directory 架构对象的错误配置。

Tenable Identity Exposure 版本 3.88 修复了以下缺陷：

• 风险暴露中心：从风险暴露概览中移除了对漏洞优先级评级 (VPR) 的引用，因为 Tenable Identity Exposure 不会为与身份相关的风险暴露指标提供这些分数。

Tenable Identity Exposure 版本 3.87 修复了以下错误：

• 风险暴露中心：风险暴露中心是 Tenable Identity Exposure 中的一项功能，旨在增强您组织的身份安全状况。该功能可以识别不同身份风险面上的弱点和错误配置，既涵盖诸如 Entra ID 等基础身份系统，也包括这些系统中的身份。

  此功能的用户体验围绕三个相互关联的概念展开：风险暴露概览、风险暴露实例和发现结果。Tenable Research 通过新的安全引擎和专门开发的风险暴露指标 (IoE) 来支持这些概念，以实现其功能。

  有关更多信息，请参阅《Tenable Identity Exposure 用户指南》中的“风险暴露中心”部分。

• 新 Entra ID 风险暴露指标

  名称	描述
  标准帐户注册应用程序的能力	默认情况下，任何 Entra 用户均可在租户内注册应用程序。尽管此功能使用方便且不会立即造成安全漏洞，但也确实存在一定的风险。因此，根据最佳实践，Tenable 建议禁用此功能。
  允许多租户身份验证的应用程序	如果 Entra 应用程序在操作者未具备充分认知的情况下启用了允许多租户身份验证配置，且未在应用程序代码中实施足够的授权检查，可能导致恶意用户获得未经授权的访问权限。
  条件访问策略禁用持续访问评估	持续访问评估是 Entra ID 的一项安全功能，可对安全策略变更或用户状态更新做出快速反应。因此，请勿禁用此功能。
  影响租户的危险应用程序权限	Microsoft 在 Entra ID 中公开 API，以允许第三方应用程序自行对 Microsoft 服务执行操作（这被称为“应用程序权限”）。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。
  影响租户的危险委派权限	Microsoft 在 Entra ID 中公开 API，以允许第三方应用程序自行对 Microsoft 服务执行操作（这被称为“应用程序权限”）。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。
  禁用的帐户被分配给特权角色	要拥有健全的帐户管理流程，便需要监控对特权角色的分配。
  休眠设备	休眠设备会带来安全风险，如过时的配置和未修补的漏洞。如果不定期监控和更新，这些过期设备可能会成为潜在的攻击目标，从而破坏租户的完整性和数据机密性。
  休眠的非特权用户	休眠的非特权用户会带来安全风险，因为攻击者可以利用这些用户进行未经授权的访问。如果不定期监控和停用，这些过期用户会通过扩大攻击面，为恶意活动创建潜在的入口点。
  休眠的特权用户	休眠的特权用户会带来安全风险，因为攻击者可以利用这些用户进行未经授权的访问。如果不定期监控和停用，这些过期用户会通过扩大攻击面，为恶意活动创建潜在的入口点。
  具有可利用规则的动态组	攻击者可以通过操纵可自行修改的属性来利用 Microsoft Entra ID 中的动态组，将自己添加为组成员。这种操纵使得攻击者能够提升特权，并在未经授权的情况下访问与组相关的敏感资源。
  空 Entra 组	空组可导致混淆、影响安全性，并造成资源闲置。通常建议为组设定明确的用途，并确保组中包含相关成员。
  Entra 安全默认设置未启用	Entra ID 安全默认设置提供预配置、Microsoft 建议的设置，以增强租户保护。
  联合域列表	恶意联合域配置是一种常见威胁，攻击者将其用作进入 Entra ID 租户的身份验证后门程序。验证现有和新添加的联合域对于确保其配置可靠且合法至关重要。此风险暴露指标提供了联合域及其相关属性的完整列表，有助于您对其安全状态做出明智决定。
  联合签名证书不匹配	Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而，有更高特权的攻击者可以通过添加恶意的令牌签名证书来利用该功能，从而实现持久性和特权提升。
  具有凭据的第一方服务主体	第一方服务主体拥有强大的权限，但由于其数量庞大、可见性差，并且为 Microsoft 所有，常常被忽视。攻击者会通过向这些主体添加凭据来利用此漏洞，以隐蔽的方式利用主体的特权进行特权提升和长期潜伏。
  具有特权角色的来宾帐户	来宾帐户是外部身份，当获得特权角色分配时，可能会造成安全风险。这会将租户内的大量特权授予组织外部的个人。
  来宾帐户与普通帐户具有相同的访问权限	不建议将 Entra ID 配置为将来宾视为普通用户，因为这可能会使恶意来宾对租户的资源进行全面侦查。
  管理员数量太多	管理员拥有更高的特权，因此当管理员数量太多时，可能会增加攻击面，并因此造成安全风险。此做法亦表明未遵循最小特权原则。
  已知的联合域后门程序	Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而，有更高特权的攻击者可以通过添加恶意联合域来利用该功能，从而实现持久性和特权提升。
  未阻止旧版身份验证	旧版身份验证方法不支持多因素身份验证 (MFA)，这使得攻击者可以继续进行暴力破解、凭据填充和密码喷洒攻击。
  非特权帐户缺少多因素身份验证	MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。
  特权帐户缺少多因素身份验证	MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。
  针对特权角色未要求进行多因素身份验证	MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，尤其是对于具有特权角色分配的特权帐户。
  针对有风险的登录未要求进行多因素身份验证	MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您对存在风险的登录要求进行 MFA，例如怀疑身份验证请求并非来自合法的身份拥有者时。
  从未使用的设备	请勿使用预先创建但从未使用的设备帐户，因为这不仅反映了安全管理上的不足，还可能带来安全风险。
  从未使用的非特权用户	从未使用的非特权用户帐户容易遭到入侵，因为它们通常能够逃避防御措施的检测。此外，此类帐户的默认密码也使其成为攻击者的主要目标。
  从未使用的特权用户	从未使用的特权用户帐户容易遭到入侵，因为它们通常能够逃避防御措施的检测。此外，此类帐户的默认密码也使其成为攻击者的主要目标。
  未对本地环境启用密码保护	Microsoft Entra 密码保护是一项安全功能，可防止用户设置容易被猜中的密码，以增强组织的整体密码安全性。
  特权帐户命名约定	Entra ID 中特权用户的命名约定对于安全性、规范性、审计合规性至关重要，并且有助于管理。
  与 Active Directory（混合帐户）同步的特权 Entra 帐户	混合帐户（即从 Active Directory 同步的帐户）如果在 Entra ID 中具有特权角色，则会构成安全风险，因为此类帐户允许入侵 AD 的攻击者转而入侵 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。
  可访问 Microsoft 365 服务的特权 Entra 帐户	维护用于管理任务的独立 Entra 帐户：一个用于日常使用的标准帐户，以及一个专门用于管理活动的特权帐户。此方法可最大程度地减少特权帐户的攻击面，从而增强安全性。
  公共 Microsoft 365 组	存储在 Entra ID 中的 Microsoft 365 组可以是公共组，也可以是私有组。公共组会带来安全风险，因为租户中的任何用户都可以加入这些组并访问其数据（Teams 聊天/文件、电子邮件等）
  在 Microsoft Authenticator 通知中显示额外上下文	为了提高可见性，请启用 Microsoft Authenticator 通知以显示额外的上下文，例如应用程序名称和地理位置。这有助于用户识别并拒绝潜在的恶意 MFA 请求或无密码身份验证请求，从而有效降低遭受 MFA 疲劳攻击的风险。
  单成员 Entra 组	不建议创建只有一个成员的组，因为这会增加不必要的冗余和复杂性。此做法增加了额外的管理层次，可能会削弱使用组来简化访问控制和管理的预期效率。
  可疑的目录同步帐户角色分配	“目录同步帐户”是 Azure 和 Entra ID 门户中隐藏的特权 Entra 角色，通常指定给 Microsoft Entra Connect（之前称为 Azure AD Connect）服务帐户使用。然而，恶意攻击者可能会利用该角色进行隐蔽攻击。
  已启用临时访问通行证功能	临时访问通行证 (TAP) 功能是一种临时的身份验证方法，使用有时限或限制使用的通行码。虽然这是合法功能，但如果您的组织不需要，禁用此功能以减少攻击面会更安全。
  不受限的来宾帐户	默认情况下，Entra ID 会限制来宾用户的访问权限，以降低其在租户中的可见性。您可以通过加强这些限制来进一步增强安全性和隐私性。
  应用程序的不受限用户同意	用户可以凭借 Entra ID 自主同意外部应用程序访问组织的数据，此漏洞可能会被攻击者利用来进行“非法同意授予”攻击。将访问限制于经验证的发布者或要求管理员批准，便可以防止这种情况发生。
  联合签名证书有效期异常	如果联合签名证书的有效期异常长，则需要警惕，因为这可能表明攻击者在 Entra ID 中获得了更高的特权，并通过联合信任机制创建了后门程序。
  未经验证的域	确认 Entra ID 中所有自定义域的所有权。仅暂时保留未经验证的域：您应该验证或移除此类域，以保持域列表的整洁，并促进高效的审核。

• 风险暴露指标：新的 IoE“混合 Entra ID 信息”可提供对复制到本地 Active Directory 的 Microsoft Entra ID 数据的洞察，使组织能够识别潜在的安全风险并解决策略不一致问题。

• 风险暴露指标

  • 托管服务帐户中存在风险的错误配置：此 IoE 中的改进包括增加对组的支持，从而实现对 gMSA 访问的简化控制。

  • 确保 SDProp 一致性：优化了建议。

  • 影子凭据：优化了针对 Coppersmith 攻击重现 (ROCA) 修复的建议。引入新选项，用于在“设备回写”功能已禁用的情况下，移除与使用 Entra ID 的混合环境相关的潜在误报。这会影响此 IoE 中的“孤立密钥凭据”原因。

  • 通过组成员身份增强对对象所有权和权限控制的两个新选项：

  • 允许的对象所有者（按组成员身份）：允许通过组成员身份指定安全主体作为对象所有者。

  • 允许的受信任方列表（按组成员身份）：根据安全主体的组成员身份，启用对安全主体的特殊权限分配。

• 攻击指标：“黄金票据”IoA 改进了攻击向量文本。

• 目录服务中的信任属性和类型

  • trustType 属性现在支持 TTAAD (TRUST_TYPE_AAD) 值。

  • trustAttributes 属性现在支持 TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION) 值。

• 导出功能：用户可以在执行 CSV 导出时选择分隔符（逗号或分号），从而灵活适应各种使用场景。浏览器会记住上次使用的分隔符，以便用于未来的导出。

Tenable Identity Exposure 版本 3.86 修复了以下缺陷：

• 身份 360：Tenable Identity Exposure 中的一项以身份为中心的新功能，该功能提供了一个全面而详细的清单，列出了组织内所有身份在其身份风险表面上的情况。

  此功能可集中 Active Directory 和 Entra ID 中的身份，并根据其风险进行排序，从而使您能够按照从最高风险到最低风险的顺序对组织内的身份进行排名。

  此外，用户可利用身份 360 通过与给定身份相关联的各种上下文因素（例如帐户、弱点和设备）来深入了解每个身份，从而全面了解该身份的全貌。

  有关更多信息，请参阅《Tenable Identity Exposure 用户指南》中的“身份 360”部分。

• 运行状况检查：新的域运行状况检查通过识别和解决每个域的已知错误，增强了攻击指标部署的可信度。

  有关更多信息，请参阅《Tenable Identity Exposure 用户指南》中的“运行状况检查”部分。

Tenable Identity Exposure 版本 3.85 修复了以下缺陷：