與 Active Directory 網域整合

Tenable Identity Exposure 在連線 Active Directory (AD) 網域的 Microsoft Server 作業系統上執行。以下針對是否要將這些伺服器連線 AD 網域提供一些準則。

• 由於 Tenable Identity Exposure 提供敏感的安全資訊，因此 Tenable 不建議將其伺服器加入任何 AD 網域。其實在隔離的環境中作業，就能明確區隔受監控的邊界和監控實體 (即 Tenable Identity Exposure)。在此設定中，具有受監控網域的初始存取權或有限權限的攻擊者無法直接存取 Tenable Identity Exposure 及其安全性分析結果。

• 如果您有受信任的基礎架構，可以選擇在加入網域的伺服器上執行 Tenable Identity Exposure。由於此方法是加入網域伺服器的日常程序，因此可以改善伺服器管理。具體來說，Tenable Identity Exposure 伺服器會套用與其他任何公司伺服器相同的強化原則。Tenable 建議僅在安全的 AD 環境中使用此架構。此外，您還必須考慮 AD 遭入侵時的下列風險：

  • 具有伺服器管理權限的攻擊者可收集更多資訊，藉此掌握透過 Tenable Identity Exposure 的資料分析入侵系統的方法。

  • 已加入網域的伺服器相關安全性原則可能會禁止授予 Tenable 支援人員或其認證合作夥伴管理權限。

  • 攻擊可隱藏資安事端，使 Tenable Identity Exposure 的安全監控無法運作。