Tenable Identity Exposure 2024 內部部署版本資訊
這些版本資訊按時間順序由新到舊列出。
Tenable Identity Exposure 3.59.7 (2024-08-14)
Tenable Identity Exposure 3.59.7 版包含下列錯誤修正:
錯誤修正 |
---|
當 Windows 伺服器上的 Proxy 變更時,dotnet 元件現在會停止然後重新啟用連線,而非中斷連線。 |
在特定情況下,當目錄接聽程式和轉送之間的執行緒數量達到尖峰時,會導致兩個服務之間的連線中斷,現在不會再出現這類情形。 |
註冊接聽程式現在可以處理帳戶 samaccountname中的空格。 |
軟體名稱 | 升級前 | 升級後 |
---|---|---|
Tenable Identity Exposure | 3.59.6 | 3.59.7 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.32 | 6.0.32 |
.NET Runtime | 6.0.32 | 6.0.32 |
.Net Core | 6.0.32 | 6.0.32 |
ASP.NET Core | 6.0.32 | 6.0.32 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
NodeJS | 20.14.0 | 20.14.0 |
Erlang OTP | 26.2.5.2 | 26.2.5.2 |
Rabbit MQ | 3.13.6 | 3.13.6 |
SQL Server | 15.0.4375.4 | 15.0.4385.2 |
OpenSSL | 3.3.0 | 3.3.0 |
Envoy | 1.29.5 | 1.29.5 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.7.1 | 8.9.1 |
Tenable Identity Exposure 3.42.19 (2024-08-14)
Tenable Identity Exposure 3.42.19 版包含下列錯誤修正:
錯誤修正 |
---|
Tenable Identity Exposure 已針對 SQL 插入攻擊強化追蹤流程查詢引擎,大幅降低使用者利用該引擎傾印資料庫的風險。 |
使用 Windows 2000 之前相容存取控制的帳戶曝險指標 (IoE) 的異常情況修復現會正確顯示。 |
變更憑證傾印:LSASS 記憶體攻擊指標 (IoA) 的攻擊媒介中程序名稱的關聯性,以減少不明項目數量。 |
新機制會確保資料庫的復原能力,以承受 badPwdCount 屬性頻繁修改。在某些邊緣案例中,負責管理錯誤密碼計數事件率的服務會與訊息佇列管理器中斷連線,進而造成事件處理中斷。 |
軟體名稱 | 升級前 | 升級後 |
---|---|---|
Tenable Identity Exposure | 3.42.18 | 3.42.19 |
cUrl | 8.4.0 | 8.91 |
SysInternals Handle | 5.0 | 5.0.0 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
.net Runtime |
6.0.28 6.0.28 |
6.0.32 6.0.32 |
NodeJS | 18.19.1 | 18.20.3 |
MSSQL | 15.0.4355.3 | 15.0.4385.2 |
RabbitMQ | 3.12.13 | 3.12.14 |
Erlang OTP | 26.2.3 | 26.2.5.2 |
OpenSSL (未變更) | 1.1.1t | 1.1.1t |
C++ 2105-2022 Redistributable (未變更) | 14.38.33130.0 | 14.40.33810.0 |
ASP.NET Core | 6.0.28 | 6.0.32 |
Tenable Identity Exposure 3.59.6 (2024-08-05)
Tenable Identity Exposure 3.59.6 版包含下列錯誤修正:
錯誤修正 |
---|
安全轉送安裝程式現在會檢查目前的使用者是否為本機管理員。 |
使用網域管理員帳戶在已加入網域的裝置上安裝安全轉送時,系統會在彈出式視窗中顯示訊息,指示您使用本機管理員帳戶。 |
現在變更安全性分析服務 (Cygni) 託管裝置的 Proxy 也不會造成鎖死。 |
軟體名稱 | 升級前 | 升級後 |
---|---|---|
Tenable Identity Exposure | 3.59.5 | 3.59.6 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.31 | 6.0.32 |
.NET Runtime | 6.0.31 | 6.0.32 |
.Net Core | 6.0.31 | 6.0.32 |
ASP.NET Core | 6.0.31 | 6.0.32 |
IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
NodeJS | 20.14.0 | 20.14.0 |
Erlang OTP | 26.2.5 | 26.2.5.2 |
Rabbit MQ | 3.13.3 | 3.13.6 |
SQL Server | 15.0.4375.4 | 15.0.4375.4 |
OpenSSL | 3.3.0 | 3.3.0 |
Envoy | 1.29.5 | 1.29.5 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.7.1 | 8.7.1 |
Tenable Identity Exposure 3.59.5 (2024-07-02)
-
OpenSSL 3.0 支援 — 此版本將 OpenSSL 升級至 3.0.x 版,因此以 SHA1 簽署的 X.509 憑證無法再於安全性等級 1 或更高等級下運作。TLS 預設為安全性等級 1,這會使 SHA1 簽署的憑證在驗證伺服器或用戶端不受信任。
您必須升級憑證以回應此變更。如果在未更新憑證以使用 OpenSSL 3.0 的情況下繼續安裝,Tenable Identity Exposure 安裝程式會傳回下列錯誤訊息及建議的修正:
-
如需詳細資訊,請參閱 OpenSSL 3.0 版本資訊。
-
如要升級至 3.59.5 版,請參閱 Tenable Identity Exposure 使用者指南中的升級需求和程序。
Tenable Identity Exposure 3.59.5 版包含下列錯誤修正:
錯誤修正 |
---|
SAML 產生的 Tenable 憑證現在使用 4096 位元金鑰大小和 SHA-256 加密 (之前為 1024 位元)。 |
設有安全性機制,用於解決帳戶鎖定期間的使用者列舉問題。 |
TLS 加密套件清單有更新,確保與適用於 Windows Server 2022 的 Azure ARC Update Manager 相容。 |
安全轉送安裝現在於 Tenable Identity Exposure 升級失敗後仍可繼續進行。 |
使用 Windows 2000 之前相容存取控制的帳戶曝險指標的異常情況修復現會正確顯示。 |
轉送現在可確保在有延遲情況下跨網路傳遞 Syslog 訊息的可靠性。 |
變更憑證傾印:LSASS 記憶體攻擊指標攻擊媒介中程序名稱的關聯性,以減少不明項目數量。 |
新機制會確保資料庫的復原能力,以承受 badPwdCount 屬性頻繁修改。在某些邊緣案例中,負責管理錯誤密碼計數事件率的服務會與訊息佇列管理器中斷連線,進而造成事件處理中斷。 |
Web 應用程式現在支援上傳 ECC CA 憑證,可供用於驗證 TLS 連線,包括 LDAPS 驗證、SMTPS 等等。 |
活動記錄不再報告內部服務活動。 |
升級失敗後的回復穩定性現已增強,可確保環境變數維持不變。 |
當安裝程式在轉送和平台之間的通訊測試期間失敗時,錯誤訊息的增強功能可提供更清楚的指引。 |
安全轉送安裝:「Proxy 設定」畫面顯示空白的可編輯方塊,以避免潛在的預設回復。 |
軟體名稱 | 升級前 | 升級後 |
---|---|---|
Tenable Identity Exposure | 3.59.4 | 3.59.5 |
C++ 2015-2019 Redistributable | 14.24.28127.4 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.27 | 6.0.31 |
.NET Runtime | 6.0.27 | 6.0.31 |
ASP.NET Core | 6.0.27 | 6.0.31 |
IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.05311 | 3.0.5311 |
NodeJS | 18.19.0 | 20.14.0 |
Erlang OTP | 26.2.2 | 26.2.5 |
Rabbit MQ | 3.12.12 | 3.13.3 |
SQL Server | 15.0.4335.1 | 15.0.4375.4 |
OpenSSL | 1.1.1t | 3.3.0 |
Envoy | 1.29.4 | 1.29.5 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.4 | 8.7.1 |
Tenable Identity Exposure 3.59.4 (2024-02-20)
- 安全轉送:導入新的傳輸模式,使用傳輸層安全性 (TLS) 而非進階訊息佇列通訊協定 (AMQP) 將 Active Directory 資料從您的網路傳輸至 Tenable Identity Exposure。如需詳細資訊,請參閱《安裝指南》中的「升級以使用安全轉送」章節和《管理指南》中的「設定轉送」章節。
警示和驗證:安全轉送支援 Syslog 和 SMTP 警示。如需詳細資訊,請參閱《Tenable Identity Exposure 管理員指南》中的「安全轉送」章節。
驗證:您可以選取安全轉送來設定 LDAP 驗證。此轉送會連線您的 LDAP 伺服器以驗證使用者。
警示:Syslog 和 SMTP 警示功能可透過安全轉送功能將警示傳送至私有伺服器。當建立警示時,安全轉送平台會要求您選取一個「轉送」模式。您可以設定轉送功能,套用於網域監控和/或警示。
如果您使用安全轉送功能並且已建立警示,在 Tenable Identity Exposure 3.45 更新中,系統會為現有警示自動指派轉送功能,以確保服務不中斷。您可以基於與轉送-VM 網路規則或喜好設定相關的原因,編輯所指派的轉送功能。
基本驗證和未經驗證的 HTTP Proxy 支援:如果您的網路需要 Proxy 伺服器來連線目錄接聽程式伺服器,轉送功能也支援有基本驗證或無驗證的 HTTP Proxy。如需詳細資訊,請參閱《Tenable Identity Exposure 管理員指南》中的「安全轉送」章節。
- Entra ID 支援:除支援 Active Directory 外,此功能擴大 Tenable Identity Exposure 對 Microsoft Entra ID (前稱 Azure AD) 的支援範圍。以下是以 Entra ID 為主的新曝險指標 (IoE),現可用於識別 Entra ID 中的弱點:
已知的同盟網域後門程式:Microsoft Entra 租用戶可以與外部網域同盟,以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory 同盟服務 (ADFS) (註:外部網域不是 Active Directory「網域」)。但如果惡意攻擊執行者在 Microsoft Entra ID 中獲得提高的權限,他們可以新增自己的同盟網域或編輯現有同盟網域以新增次要設定與自己的設定,來濫用這種同盟機制並建立後門程式。
擁有憑證的第一方服務主體:第一方服務主體 (企業應用程式) 來自屬於 Microsoft 的應用程式 (應用程式註冊)。它們大多數在 Microsoft Entra ID 中擁有在安全性檢查中經常被忽略的機密權限。攻擊者可藉此將憑證新增至這些主體,以隱匿地利用主體特權。
與 AD 同步的特權 Entra 帳戶 (混合):混合帳戶適用的檢查,特別是透過 Active Directory 同步且在 Entra ID 中具有特權角色的帳戶。這些帳戶允許入侵 AD 的攻擊者轉而入侵 Entra ID,因此會造成安全性風險。Entra ID 中的特權帳戶必須為僅限雲端帳戶。
影響租用戶的危險 API 權限:若服務主體擁有某些 Microsoft API 的特定權限,可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅,因為服務主體會擁有強大的權限,卻同時比高權限管理員角色 (例如全域管理員) 不顯眼。攻擊者可濫用這一點繞過多因素驗證 (MFA) 並阻止使用者重設密碼。
特權帳戶缺少 MFA:多因素驗證 (MFA) 可為帳戶提供強大保護,防止出現脆弱密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。如果特權帳戶未註冊 MFA 方法,或者您未註冊 MFA 方法而強制執行 MFA,本曝險指標 (IoE) 會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法,而造成安全性風險。
非特權帳戶缺少 MFA:多因素驗證 (MFA) 可為帳戶提供強大保護,防止出現脆弱密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。如果非特權帳戶未註冊 MFA 方法,或者您未註冊 MFA 方法而強制執行 MFA,本曝險指標 (IoE) 會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法,而產生安全性風險。
管理員數量過多:根據定義,管理員擁有提高的權限。管理員數量過多會提高管理員遭入侵的機率,進而增加攻擊破綻,造成安全性風險。這也是未遵循最低特權原則的跡象。
- 新攻擊指標 (IoA)
-
DC 密碼變更:此攻擊指標 (IoA) 與 Zerologon 相關,著重於攻擊者通常會結合 Netlogon 弱點使用的特定後滲透攻擊活動:修改網域控制器的裝置帳戶密碼。如需詳細資訊,請參閱《Tenable Identity Exposure 攻擊指標參考指南》。
-
Zerologon:在 Netlogon 驗證程序中偵測故障,這表示攻擊者嘗試利用 Zerologon 弱點來取得網域上的權限。如需詳細資訊,請參閱《Tenable Identity Exposure 攻擊指標參考指南》。
-
網域備份金鑰擷取:偵測使用 LSA RPC 呼叫來存取備份金鑰的多種攻擊工具。如需詳細資訊,請參閱《Tenable Identity Exposure 攻擊指標參考指南》。
-
-
曝險指標 (IoE)
-
新曝險指標 (IoE):
-
允許不安全的動態 DNS 區域更新:識別動態 DNS 區域更新的不安全設定。不安全設定會導致 DNS 記錄出現未經驗證編輯,而容易受到流氓 DNS 記錄的攻擊。
-
屬性集功能健全性:檢查屬性集及屬性集在 AD 結構描述中的屬性,確認是否有惡意執行者結構描述的錯誤設定或植入的後門程式。雖然目前沒有已知與使用屬性集相關的公開攻擊媒介,但此曝險指標 (IoE) 主要著重於識別因使用此功能的第三方產品而產生的錯誤設定或特性。
-
WSUS 危險錯誤設定:檢查 Windows Server Update Services (WSUS) (將 Windows 更新部署至工作站和伺服器的 Microsoft 產品) 是否存在可導致從標準帳戶提高至管理員權限的錯誤設定。
-
密碼脆弱程度偵測:檢查高強度密碼,以確保 Active Directory 驗證的安全性。產生脆弱密碼的原因包括複雜度不足、雜湊演算法過時、共用密碼,以及暴露於外洩資料庫中。攻擊者可刺探利用這些脆弱特性來模擬帳戶 (特別是相關特權帳戶),進而在 Active Directory 內進行未經授權的存取。
-
DFS 錯誤設定:檢查 SYSVOL 是否使用分散式檔案系統複製 (DFSR) (一種取代檔案複製服務 [FRS] 的機制) 來獲得更良好的健全度、延展性和複製效能。
-
異常物件排除:Tenable Identity Exposure 允許在所選曝險指標 (IoE) 中排除異常物件,包括:
-
群組:特權使用者的登入限制
-
作業系統:搭載過時作業系統的電腦
-
組織單位:特權使用者的登入限制、搭載過時作業系統的電腦、對使用者套用弱式密碼原則、休眠帳戶、使用舊密碼的使用者帳戶
-
-
曝險指標 (IoE) 分析 — 內部部署使用者現在可停用預設 Tenable 安全性設定檔的曝險指標 (IoE) 分析,以減少資源的使用,並降低安全性分析延遲時間。若要建置此項目,需將安全引擎節點 (SEN) 上的 ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile 環境變數設為 true ,然後重新啟動 Cygni 服務。
-
-
報告中心:可透過此功能使用簡化的報告建立程序,以報告形式匯出重要資料並提供給組織的主要利害關係人。如需更多資訊,請參閱《Tenable Identity Exposure 管理員指南》中的「報告中心」章節。
-
儀表板範本:即用型範本,可協助您聚焦於和組織有關的優先問題,例如合規姓、風險、密碼管理和使用者/管理員監控。如需詳細資訊,請參閱《Tenable Identity Exposure 使用者指南》中的「儀表板」章節。
-
平台運作狀況檢查功能:Tenable Identity Exposure 以整合檢視畫面列出所執行的平台運作狀況檢查,讓您能夠及時調查並解決設定異常。如需詳細資訊,請參閱《Tenable Identity Exposure 管理員指南》中的「運作狀況檢查」章節。
- 上線:為增強安全性,上線處理程序現在會要求使用者在第一次登入時,變更系統提供的初次登入預設憑證。Tenable Identity Exposure 也增強了新密碼的規則。
-
延展性:Tenable Identity Exposure 改善了服務端的攻擊指標效能,以處理更大規模的相關事件,進而改善攻擊指標 (IoA) 的準確性和延遲。如需詳細資訊,請參閱《Tenable Identity Exposure 安裝指南》中的「擴大 Tenable Identity Exposure 服務」章節。
-
追蹤流程
-
一旦出現變更,Tenable Identity Exposure 就會立即收到來自 Active Directory 的事件。不過,針對大型群組中的高頻率變更,會將彙總事件延後 10 分鐘,再通知系統其餘部分,藉此防止效能問題。
-
現在可以按日期和時間篩選追蹤流程事件。
-
Tenable Identity Exposure 3.59.4 版包含自 3.42 版起的所有錯誤修正。
Tenable Identity Exposure 內部部署版本 3.59.4 提供重要的增強內容,可以保護您的 Active Directory 基礎架構。此版本包含對於特定相依性的更新,將優先考量軟體安全性,並確保使用最新版的元件以改善防護功能。元件為:
-
儲存管理員 (SM)
-
安全引擎節點 (SEN)
-
目錄接聽程式 (DL)
軟體名稱 | 元件 | 升級前版本 | 升級後版本 |
---|---|---|---|
Tenable Identity Exposure | 3.42 | 3.59 | |
C++ 2015-2019 Redistributable | 全部 (不變) | 14.24.28127.4 | 14.24.28127.4 |
.NET Windows Server Hosting | SEN、DL | 6.0.22.23424 | 6.0.27 |
.NET Runtime | SEN、DL | 6.0.22.32824 | 6.0.27 |
ASP.NET Core | SEN、DL | 6.0.22.23424 | 6.0.27 |
IIS URL Rewrite Module 2 | SEN (不變) | 7.2.1993 | 7.21993 |
Application Request Routing 3.0 | SEN (不變) | 3.0.05311 | 3.0.05311 |
NodeJS | SM、SEN | 18.18.0 | 18.19.0 |
Erlang OTP | SEN | 26.1.1 | 26.2.2 |
Rabbit MQ |
SEN |
3.12.6 | 3.12.12 |
SQL Server | SM | 15.0.4322.2 | 15.0.4335.1 |
Tenable Identity Exposure 3.42.18 (2024-04-18)
如需新功能、錯誤修正和修補程式的完整清單,請參閱 Tenable Identity Exposure 3.42 (2023-04-06) 內部部署版本資訊。
Tenable Identity Exposure 3.42.18 版包含下列修補程式:
修補程式 | 缺陷 ID |
---|---|
SAML 產生的 Tenable 憑證現會使用健全的 4096 SHA256 金鑰大小,為先前 1024 大小的增強版。 | 不適用 |
攻擊路徑增強內容:
|
不適用 |
Tenable Identity Exposure 現會在 Syslog 警示設定更新後正確重新整理 CA 憑證。 | 不適用 |
Tenable Identity Exposure 現在會在 CSV 檔案中套用公式元素的無效化,通常稱為 CSV 插入。 | 不適用 |
在分析因缺少主機名稱導致來源「不明」的 4776 事件時,Tenable Identity Exposure 現可根據密碼猜測攻擊指標中的「允許不明來源」選項正確篩選出此異常情況。 | 不適用 |
DCSync 攻擊指標增強內容:
|
不適用 |
攻擊指標事件接聽程式在 2016 年之前的 Windows 伺服器版本上可再次正常運作。 | 不適用 |
新機制會確保資料庫的復原能力,以承受多次 badPwdCount 屬性修改。 | 不適用 |
Tenable Identity Exposure 內部部署版本 3.42.11 提供重要的增強內容,可以保護您的 Active Directory 基礎架構。此版本包含對於特定相依性的更新,將優先考量軟體安全性,並確保使用最新版的元件以改善防護功能。
Tenable Identity Exposure | 3.42.3 版 | 3.42.11 版 | 3.42.17 版 | 3.42.18 版 | |
---|---|---|---|---|---|
軟體名稱 | 檔案名稱 | 版本 | 版本 | 版本 | 版本 |
cUrl | curl.exe | 7.66.0 | 8.0.1 | 8.4.0 | 8.4.0 |
SysInternals Handle | handle.exe | 4.22.0 | 5.0.0 | 5.0 | 5.0 |
IIS URL Rewrite Module 2 | rewrite_amd64_en-US.msi | 7.2.1980 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
.net Runtime |
dotnet-hosting-6.0.14-win.exe | 6.0.14 | 6.0.16 |
6.0.22.32824 |
6.0.28 |
NodeJS | node-x64.msi | 16.19.1 | 16.20.0 | 18.18.0 | 18.19.1 |
MSSQL | setup.exe | 2019.150.2000.5 | 2019.150.4312.2 | 15.0.4322.2 | 15.0.4355.3 |
RabbitMQ | rabbitmq-server.exe | 3.10.11 | 3.10.19 | 3.12.6 | 3.12.13 |
Erlang OTP | otp_win64.exe | 25.1.2 | 25.1.2 | 26.1.1 | 26.2.3 |
C++ 2105-2022 Redistributable (unchanged) | vcredist_2015_x64.exe | 14.24.28127.4 | 14.24.28127.4 | 14.24.28127.4 | 14.38.33130.0 |
ASP.NET Core | dotnet-hosting-win.exe | 6.0.14 | 6.0.16 | 6.0.22.23424 | 6.0.28 |