技術變更和潛在影響
攻擊指標 (IoA) 模組的安裝指令碼會建立一個 GPO,其可在受監控的 DC 上透通地套用下列變更:
-
預設名為「Tenable.ad」的新 GPO 預設連結至網域控制器的組織單位 (OU)。
-
修改登錄機碼以啟用 Microsoft 進階記錄原則。
-
啟用新的事件記錄原則,以強制網域控制器產生攻擊指標 (IoA) 所需的 ETW 資訊。
注意:事件記錄原則為強制執行,如此 ETW 引擎才能產生 Tenable Identity Exposure 所需的插入字串。此原則不會停用任何現有的記錄原則,而是會新增其中。如果發生衝突,部署指令碼會停止,並顯示錯誤訊息。 -
新增 Tenable Identity Exposure 服務帳戶的寫入權限,允許 GPO 資料夾中儲存的攻擊指標 (IoA) 設定「自動更新」。
限制和潛在影響
攻擊指標 (IoA) 模組可造成下列限制:
-
攻擊指標 (IoA) 模組依賴 ETW 資料,並在 Microsoft 定義的限制內運作。
-
安裝的 GPO 必須在整個網域中複製,並且 GPO 重新整理間隔必須過去才能完成安裝過程。在此複製期間,可能會發生誤報和漏報,儘管 Tenable Identity Exposure 會透過不立即在攻擊指標引擎中啟動檢查來最大限度地減少這種影響。
-
Tenable 使用 SYSVOL 檔案共用來從網域控制器擷取 ETW 資訊。SYSVOL 會複製到網域中的每個網域控制器,因此在 Active Directory 活動的高峰期間會出現複製活動顯著增加。
-
在網域控制器和 Tenable Identity Exposure 之間複製檔案也會消耗一些頻寬。Tenable Identity Exposure 會透過自動移除所收集的檔案來控制這些影響,並且會限制這些檔案的大小 (預設為最大 500 MB)。
-
分散式檔案系統 (DFS) 複製緩慢或損毀問題。如需詳細資訊,請參閱 DFS 複製問題緩解措施。
另請參閱
-
Indicators of Attack and the Active Directory
- 攻擊指標安裝指令碼
- 對攻擊指標進行疑難排解