部署前要求
開始之前,請確認您符合下列先決條件,以確保安裝程序順利進行。
安裝概覽
您將 Tenable Identity Exposure 當作在必須符合特定託管規格的專用 Windows 環境中託管的應用程式套件安裝。Tenable Identity Exposure需要在您進行安裝的系統上,存取作業系統的主要影像。
Tenable 會預先設定僅包含 Tenable 服務和您特定要求的應用程式套件。此部署選項可提供最大的彈性,並可無縫整合至您的特定環境。
Tenable Identity Exposure 在內嵌於 Windows 服務中的微服務架構上執行。這些服務都有專門的用途 (儲存、安全性分析、應用程式等),且均為必要的服務。因此,您只能在支援微服務模型的作業系統上安裝 Tenable Identity Exposure。
TLS 憑證
OpenSSL 3.0 支援 — 從 3.59.5 版開始,Tenable Identity Exposure 使用 OpenSSL 3.0.x。因此以 SHA1 簽署的 X.509 憑證無法再於安全性等級 1 或更高等級下運作。TLS 預設為安全性等級 1,這會使 SHA1 簽署的憑證在驗證伺服器或用戶端不受信任。
您必須升級憑證以回應此變更。如果在未更新憑證以使用 OpenSSL 3.0 的情況下繼續安裝,Tenable Identity Exposure 安裝程式會傳回下列錯誤訊息及建議的修正:
帳戶權限
以本機或內建管理員群組的本機帳戶成員身分執行安裝,或是以您安裝 Tenable Identity Exposure 所在伺服器上的管理員身分執行安裝。
注意:以網域外的本機管理員帳戶身分登入電腦。請不要以網域內的本機管理員身分登入。
帳戶需要下列權限:
-
SeBackupPrivilege
-
SeDebugPrivilege
-
SeSecurityPrivilege
防毒 (AV) 和端點偵測與回應 (EDR)
安裝之前,請先停用主機上的任何 AV 和/或 EDR 解決方案。否則,將在安裝期間觸發回復。安裝完成後,即可安全地啟用 AV/EDR,但請注意,由於磁碟 I/O 作業頻繁,可能會影響產品效能。
等待重新開機
安裝前,請執行任何所需的重新開機。當您在伺服器上啟動安裝程式時,系統會檢查下列項目:
-
沒有等待中的重新開機。
-
不到 11 分鐘前伺服器已正常重新啟動。
-
MSI 會檢查下列登錄機碼:
-
HKLM: \ Software\Microsoft\Windows\CurrentVersion\Component Based Servicing\RebootPending
-
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\RebootRequired
-
HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Session Manager -> PendingFileRenameOperations
-
服務帳戶
作業系統必須允許使用服務帳戶。
攻擊指標
Windows 事件記錄的保留時間必須設為至少 5 分鐘,以確保應用程式可以正確擷取所有事件。
不支援的設定
下表詳述不支援的設定:
|
設定 |
說明 |
|---|---|
|
主動式防毒或端點偵測與回應 (EDR) 解決方案 |
Tenable Identity Exposure 平台需要密集的磁碟 I/O。
|
|
符合 FIPS 規範的演算法 |
基於資料隱私,請勿啟用符合聯邦資訊處理標準 (FIPS) 規範的演算法進行加密。 |
|
防火牆 |
請執行下列動作以允許 Tenable Identity Exposure 服務彼此通訊,以進行可靠的安全性監控:
|
|
Erlang |
|
第三方應用程式
在非認證環境中部署 Tenable Identity Exposure 的平台可能會造成非預期的副作用。
特別是,在主要影像中部署第三方應用程式 (例如特定的代理程式或精靈) 可能會造成穩定性或效能問題。
Tenable 強烈建議您將第三方應用程式的數量減少到最低限度。
存取權限
Tenable Identity Exposure 的平台需要本機管理權限才能運作,並確保正確的服務管理。
-
您必須為 Tenable 技術主管提供與主機管理帳戶相關聯的認證 (使用者名稱和密碼)。
-
部署至生產環境時,請考慮與 Tenable 技術主管共同驗證的密碼更新程序。
產品更新
Tenable 會經常發布其系統的更新,以提供新的偵測功能和新的產品功能,作為其升級方案的一部分。
-
在此部署中,Tenable 僅提供 Tenable Identity Exposure 元件的更新。您必須確保妥善管理您的作業系統,包括經常部署安全性修補程式。如需有關 Tenable Identity Exposure 版本的詳細資訊,請參閱 Tenable Identity Exposure 版本資訊。
-
Tenable Identity Exposure 的微服務架構支援直接套用作業系統修補程式。
其他要求
-
Tenable Identity Exposure 可搭配 硬體要求 中列出且具有最新可用更新的 Windows Server 使用。
-
Tenable Identity Exposure 安裝程式需要 Windows Server 2016 或更新版本的本機管理員權限。如果用於安裝的帳戶是預設帳戶,請確定此帳戶可以無限制地執行程式。
-
Tenable Identity Exposure 服務需要本機管理員權限,才能在電腦上執行本機服務。
-
Tenable Identity Exposure 需要專用的資料分割區。請不要在作業系統磁碟分割上執行 Tenable Identity Exposure,以防止在磁碟分割已滿時系統凍結。
-
Tenable Identity Exposure SQL 執行個體需要虛擬帳戶使用狀況功能。
-
在實作更嚴格的安全性措施後安裝或升級 Microsoft SQL Server 時,安裝程序會因使用者權限不足而失敗。檢查您是否擁有成功安裝所需的權限。如需詳細資訊,請參閱 Microsoft 說明文件。
-
Tenable Identity Exposure 必須當作黑盒子執行。將每部電腦專用於 Tenable Identity Exposure,且不要與其他產品共用。
-
Tenable Identity Exposure 可以在資料磁碟分割上,建立以 ‘Alsid’ 或 ‘Tenable’ 首碼開頭的任何資料夾。因此,請不要在資料磁碟分割上,建立以 "Alsid" 或 "‘Tenable" 開頭的資料夾。
-
Erlang:請不要修改 HOMEDRIVE 環境變數。PATHEXT 環境變數必須包含副檔名 .exe 和 .bat。
-
如果您必須將 Tenable Identity Exposure 的 AD 服務帳戶設定為受保護的使用者群組成員,請確認您的 Tenable Identity Exposure 設定支援 Kerberos 驗證,因為受保護的使用者無法使用 NTLM 驗證。
安裝前核對清單
此表格以方便的核對清單形式,列出了安裝前的先決條件。
|
要保留的資訊或資源 |
狀態 |
|---|---|
|
所需的協議 (NDA、評估軟體授權) (若適用)。 |
|
|
目標網域中要監控的作用中 AD 使用者數量。 |
|
|
運算和記憶體資源是以 Tenable Identity Exposure 的大小調整矩陣為基礎。請參閱 資源大小調整。 |
|
|
用於部署 Tenable 平台的每台虛擬機器的私人 IP。 |
|
|
更新管理基礎架構的類型和 IP 位址、時間伺服器、PKI 伺服器和身分識別提供者。 |
|
|
為 Tenable Identity Exposure 所需的每項服務,開啟所需的網路流程。請參閱 網路流量矩陣。 |
|
|
每個主要網域控制器模擬器的私人 IP 位址。 |
|
|
在每個要監控的 Active Directory 樹系上建立一般使用者帳戶。 |
|
|
在特定 Active Directory 容器上,將存取權授予 Tenable 服務帳戶。 |
|
| 如果您要啟用此功能,請授予「特權分析」的存取權。 | |
|
AD 網域使用者帳戶登入:
|
|
|
從客戶的 PKI 為 Tenable Identity Exposure 的 Web 入口網站核發的 TLS 憑證
|
|
|
要建立的 Tenable Identity Exposure 使用者帳戶清單:
|
|
|
要啟用的選用設定的清單 (電子郵件通知、Syslog 事件轉送等) |
|
|
可與 Tenable 合作的已識別且有空的專案協調員。 |
|
|
回應潛在技術問題的技術人員,例如網路篩選問題和無法連線的 PDCe。 |