安全轉送要求

安全轉送是一種使用傳輸層安全性 (TLS) 而不是 VPN 將 Active Directory 資料從您的網路傳輸到 Tenable Identity Exposure 的傳輸模式,如此圖所示。如果您的網路需要 Proxy 伺服器才能連線至網際網路,則安全轉送功能現在也支援需要或不需要驗證的 HTTP Proxy。

Tenable Identity Exposure 可支援多種安全轉送,您可以根據需要將其對應至網域。

TLS 要求

如要使用 TLS 1.2,自 2024 年 1 月 24 日起,您的轉送伺服器必須至少支援下列其中一項加密套件:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

加密套件

另請確認您的 Windows 設定與指定加密套件相符,以便與轉送功能相容。

如要檢查加密套件:

  1. 在 PowerShell 中執行下列命令:

    複製 
    @("TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256") | % { Get-TlsCipherSuite -Name $_ }

  2. 檢查輸出:TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  3. 空白輸出表示未啟用轉送 TLS 連線正常運作所需的任何加密套件。啟用至少一個加密套件。

  4. 驗證來自轉送伺服器的橢圓曲線密碼學 (Elliptic Curve Cryptography,ECC) 曲線。若使用臨時橢圓曲線迪菲-赫爾曼 (Elliptic Curve Diffie-Hellman Ephemeral,ECDHE) 加密套件,必須進行此驗證。在 PowerShell 中執行下列命令:

    複製 
    Get-TlsEccCurve

  5. 檢查您是否有曲線 25519。若無,請啟用。

密碼編譯設定

如要驗證 Windows 密碼編譯設定:

  1. 在 IIS Crypto 工具中,檢查您是否已啟用下列選項:

    • 用戶端通訊協定:TLS 1.2

    • 密碼:AES 128/128AES 256/256

    • 金鑰交換:ECDH

  2. 修改密碼編譯設定之後,重新啟動電腦。

    注意:修改 Windows 密碼編譯設定會影響電腦上執行且使用 Windows TLS 程式庫「Schannel」的所有應用程式。因此,請確保您進行的任何調整都不會造成意外副作用。驗證所選設定是否符合組織整體強化目標或合規性授權。

所需的連接埠

  • 對於沒有 Proxy 伺服器的傳統設定,轉送需要下列連接埠:

    對於使用 Proxy 伺服器的設定,轉送需要下列連接埠:

    注意:對於內部部署和 SaaS 平台,網路流程的運作方式相同。

虛擬機器先決條件

代管安全轉送的虛擬機器 (VM) 需要符合以下要求:

客戶規模 Tenable Identity Exposure 服務 需要執行個體 記憶體 (每個執行個體) vCPU (每個執行個體) 磁碟拓撲 可用磁碟空間 (每個執行個體)
任何大小

  • tenable_Relay

  • tenable_envoy

 1 8 GB RAM 2 個 vCPU 與系統分割區分開的記錄分割區 30 GB
注意:如果您在相同的虛擬機器上安裝安全轉送和目錄接聽程式,則必須結合其大小調整要求。請參閱 Resource Sizing。
提示:進行初始安裝時,建議讓 VM 保持未加入網域的狀態,以避免繼承可能會干擾安裝處理程序的現有 GPO 原則。安裝完成後,即可將 VM 加入網域。

VM 還必須具備:

  • HTTP/HTTPS 流量:移除、停用、繞過或允許將 HTTP/HTTPS 流量導向安全轉送機器的任何用戶端。此動作會封鎖安全轉送安裝,並停止或減緩進入 Tenable 平台的流量。

  • Windows Server 2016 以上的作業系統 (不含 Linux)

  • 至少針對 cloud.tenable.com*.tenable.ad 已解析的面向網際網路的 DNS 查詢和網際網路存取 (TLS 1.2)。

  • 本機管理員權限

  • EDR、防毒和 GPO 設定:

    • VM 上剩餘的 CPU 充足,例如,Windows Defender 即時保護功能會佔用大量 CPU 並可能使電腦飽和。

    • 自動更新:

      • 允許對 *.tenable.ad 進行呼叫,以便自動更新功能可下載轉送可執行檔。

      • 檢查並確認沒有封鎖自動更新功能的群組原則物件 (GPO)。

      • 不刪除或變更「轉送更新程式」排程工作:

獲允許的檔案和處理程序

Windows
檔案
C:\Tenable\*
C:\tools\*
C:\ProgramData\Tenable\*
處理程序
nssm.exe --> 路徑:C:\tools\nssm.exe
Tenable.Relay.exe --> 路徑:C:\Tenable\Tenable.ad\SecureRelay\Tenable.Relay.exe
envoy.exe --> 路徑:C:\Tenable\Tenable.ad\SecureRelay\envoy.exe
updater.exe --> 路徑:C:\Tenable\Tenable.ad\updater.exe
powershell.exe --> 路徑:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (可能因作業系統版本而有所不同)
排程工作
C:\Windows\System32\Tasks\Relay updater
C:\Windows\System32\Tasks\Manual Renew Apikey
C:\Windows\System32\Tasks\Tenable\Tenable.ad\SecureRelay\CompressLogsSecureRelay
C:\Windows\System32\Tasks\Tenable\Tenable.ad\SecureRelay\RemoveLogsSecureRelay
登錄機碼
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Tenable\Tenable.ad 安全轉送