Tenable Identity Exposure 2024 內部部署版本資訊
這些版本資訊按時間順序由新到舊列出。
Tenable Identity Exposure 3.77.3 (2024-11-06)
-
攻擊指標 (IoA)
-
新的基本模式和積極模式:此基本模式專為偏好簡化設定的客戶設計,可盡可能縮短設定時間和避免誤報,進而減少不必要的警示干擾。這適用於下列攻擊指標 (IoA):
-
DCSync
-
可疑的 DC 密碼變更
-
Golden Ticket
-
NTDS 擷取
-
OS 憑證傾印:LSASS 記憶體
-
本機管理員列舉
-
SAMAccountName 假冒
-
-
-
曝險指標 (IoE)
-
新曝險指標 (IoE)
- 影子憑證:這個新的曝險指標 (IoE) 會偵測「Windows Hello 企業版」功能及相關金鑰憑證中是否有影子憑證相關後門程式以及錯誤設定。
-
受管理服務帳戶的危險錯誤設定:這個新的曝險指標 (IoE) 可確保妥善部署和設定受管理的服務帳戶。
-
特權驗證獨立環境設定 — 協助 AD 管理員安裝及設定第 0 層帳戶的驗證獨立環境。
-
屬性集完整性 — Microsoft Active Directory (AD) 中的「屬性集」整合了多個屬性,以便更輕鬆、更有效地管理 ACL。此曝險指標會檢查這些 AD 物件及其屬性中的錯誤設定或潛在後門程式。
-
特權 AD 使用者帳戶已與 Microsoft Entra ID 同步 — 檢查該特權 Active Directory 使用者帳戶是否未與 Microsoft Entra ID 同步。
-
已啟用的訪客帳戶 — 檢查內建訪客帳戶是否停用。
-
衝突的安全性主體 — 確認沒有重複 (衝突) 使用者、電腦或群組等物件的檢查。
-
經過 RSoP 檢查的曝險指標 (IoE) — 為了提升效能,Tenable Identity Exposure 不會再即時進行原則結果集 (RSoP) 檢查。而會安排每 30 分鐘進行一次 RSoP 安全性檢查,以更好地管理 RSoP 處理程序期間所需的相關檢查。詳情請參閱經過 RSoP 檢查的曝險指標。
-
KRBTGT 帳戶最近一次密碼變更 — 已新增對 Windows Hello 企業版中 krbtgt_AzureAD 帳戶 (雲端信任部署) 的支援。
-
可逆密碼:現在會驗證具有 msDS-PasswordReversibleEncryptionEnabled 屬性的 PSO 所定義的可逆密碼。
-
本機系統管理帳戶管理:支援新的 Microsoft LAPS。加入一個名為「已安裝 LAPS 版本」的新選項,並根據使用者的選擇驗證 LAPS 版本的設定。
-
- Proxy — 可以在 Tenable Identity Exposure 安裝或升級期間定義 Proxy 連線。有了此 Proxy 連線,即可在內部部署環境中使用 Tenable One 功能。
-
安全轉送安裝 — 當您在個別 (獨立) 機器上安裝安全轉送時,增強的安裝程式可協助從目錄接聽程式上傳自我簽署憑證。
-
電子郵件警示現在僅支援安全的加密通訊協定,即 TLS 1.2 和 1.3。如果客戶覆寫了安全轉送以使用過時的 SMTP 加密標準 (例如 SSLv3),就必須將此設定移除。現在唯一允許的值為「TLS12」、「TLS13」或「TLS12、TLS13」(可根據伺服器版本自動切換)。使用不支援的值會導致無法啟動轉送。
-
新增 10 小時「延遲時間」(Golden Ticket 攻擊指標 (IoA)),系統會在此期間將正當使用者列入允許清單,以減少誤報數量。
-
攻擊指標 (IoA) 設定 — 可在觸發事件分析之前選擇事件收集持續時間。值介於 30 秒到 9 分鐘之間。
-
Active Directory:Tenable Identity Exposure 針對所管理的 AD 物件增加了大小限制。
-
曝險指標
-
危險的 Kerberos 委派作業
-
不會再將擁有智慧卡的使用者視為安全性問題,因為這些使用者不會受到 AS-REP Roasting 攻擊影響。
-
不會因為「沒有委派保護措施」就將電腦標記為有異常,而會處理任何現有異常情況。
-
當帳戶屬性用於限制委派 (msDS-AllowedToDelegateTo) 時涉及不存在服務主體名稱 (SPN),此新原因會回報所有此類帳戶。
-
此新原因可偵測 Microsoft Entra Connect 帳戶 (AZUREADSSOACC) 目前的 Kerberos 委派設定。
-
-
使用者主要群組曝險指標 (IoE) — 如果因為權限不足,導致帳戶的 primaryGroupID 屬性空白,此額外原因會回報所有此類帳戶。
擁有永不過期密碼的帳戶:此新原因可用來區分特權使用者和一般使用者。
衝突的安全性主體:這個新的曝險指標 (IoE) 可用來確認沒有重複 (衝突) 的使用者、電腦或群組等物件。
使用舊密碼的使用者帳戶、搭載過時作業系統的電腦和休眠帳戶:這三個新原因可用來區分特權使用者和一般使用者。
沒有電腦強化 GPO 的網域
新的檢查可確保所有網域電腦上的 NULL 工作階段皆已確實停用。
與為網域控制器 (SYSVOL/NETLOGON 共用) 所設定之強化 UNC 路徑相關的新檢查。
新檢查可確保所有網域控制器上的列印多工緩衝處理器服務皆已停用。
強制執行 SMB 簽署 — Tenable Identity Exposure可確保在網域控制器和其他伺服器上妥善強制執行 SMB 簽署作業。其可驗證「預設網域控制器原則」參數,並會檢查其他伺服器上的 GPO 設定是否正確。
Tenable Identity Exposure 3.77.3 版包含下列錯誤修正:
錯誤修正 |
---|
現在使用「未使用的受保護使用者群組」曝險指標中的「允許的使用者」選項時,可以按照 UserPrincipalName (UPN)、SID 和 sAMAccontName 來將使用者加入白名單,不再像之前一樣只能使用可辨別名稱。 |
攻擊指標接聽程式現在支援非 ASCII 編碼。 |
Tenable Identity Exposure 不會針對列入白名單的容器 (在設定檔中設定) 內的電腦觸發「對使用者應用脆弱密碼原則」異常情況。 |
Tenable Identity Exposure 會顯示警告訊息,建議您在升級前製作系統快照。 |
Tenable Identity Exposure 移除了剩餘項目以改善回復處理程序。 |
Tenable Identity Exposure 已解決檢視唯讀設定檔詳細資料時曝險指標顯示的問題。 |
Envoy 現在會優先選用 IPv4 解決方案,失敗後再改用 IPv6。將目前剛好是相反的優先順序設定進行修正。 |
可保護登入工作階段 Cookie,以確保工作階段 Cookie 僅透過 HTTPS 傳送,進而提高 Web 應用程式的安全性。 |
安全轉送排程工作現在具有有效的參數 -AfadRolePath。升級期間 Tenable Identity Exposure 會移除並重新建立排程工作。 |
Tenable Identity Exposure 現在可確保成功建構第 0 層資產圖表。 |
安全性分析服務會在 CPU 高峰期 (例如安全性檢查期間) 處理輸入。 |
當運作狀況檢查問題狀態不明時,Tenable Identity Exposure 會顯示清楚的描述。 |
Tenable Identity Exposure 會正確剖析信任屬性,以顯示沒有問題的拓撲檢視畫面。即使在極少數情況下缺少信任屬性時也是如此。 |
提供安全性分析服務的機器不會再發生攻擊指標 (IoA) 鎖死問題。 |
AD 資料收集器服務現在的運作狀況檢查報告結果為 true。 |
針對使用者套用脆弱密碼原則曝險指標 (IoE) 經過增強,可更妥善地處理與選項限制相關的邊緣案例 (edge case)。 |
升級並重新啟動目錄接聽程式後,不會再觸發安全轉送安裝程式。 |
Tenable Identity Exposure 現在可防止安全轉送重複傳送安全性分析服務不再需要的 LDAP 查詢結果。 |
DCSync 攻擊指標 (IoA) 現在會考慮 Tenable 服務帳戶的「samAccountName」超過 20 個字元的極端案例,確保啟用特權分析功能時不會觸發警示。 |
使用本地化版本的安裝程式時,如果上傳的憑證無效,會顯示英文的錯誤訊息。 |
「特權 AD 使用者帳戶已與 Microsoft Entra ID 同步」曝險指標 (IoE) 不再需要「加入白名單的電腦」選項。 |
密碼猜測攻擊指標 (IoA) 的「偵測時間間隔」選項現在會顯示正確的標籤。 |
存取 Tenable Identity Exposure 環境的基底網址時,Tenable Identity Exposure 使用者介面不會再載入兩次。 |
Tenable Identity Exposure 更新了與「曝險指標」頁面相關的權限行為。 |
Tenable Identity Exposure 改進了功能,可避免在小型 SaaS 平台上無限期執行 SQL 查詢,確保資料庫穩定運作。 |
Tenable Identity Exposure 現在會在曝險指標 (IoE) 窗格中顯示所有 Entra ID 曝險指標 (IoE)。 |
Tenable Identity Exposure 已修正因為密碼噴濺攻擊指標 (和其他可能的攻擊指標 (IoA)) 造成的誤報情形。 |
針對某些極端案例,Tenable Identity Exposure 更新了已加入網域的裝置適用的安全轉送安裝程序:使用網域管理員帳戶的客戶現在會收到提示,建議他們改用本機管理員帳戶。 |
Tenable Identity Exposure 在轉送啟動期間採用一種機制,可在轉送和平台之間執行網路檢查。如果平台尚未進入運作狀態,轉送啟動程序會等待以確保連線穩定,然後再繼續。 |
如果您擁有 Tenable One 授權,使用者建立作業會在 Tenable Vulnerability Management 中進行,並套用至 Tenable Identity Exposure。在此情況下,當您按一下 Tenable Identity Exposure 中的「建立使用者」按鈕時,系統會顯示一則訊息,將您導向至 Tenable Vulnerability Management 以建立使用者。 |
本地化版本的 Tenable Identity Exposure 安裝程式現在會正常運作。 |
Tenable Identity Exposure 會在進行重大升級期間將舊版 .NET 版本解除安裝。 |
Tenable Identity Exposure 已解決「NTDS 擷取」攻擊指標 (IoA) 中的記錄問題,確保記錄功能在所有情況下都能正常運作。 |
「偵測時間間隔」選項之前錯誤列入「密碼噴濺」攻擊指標 (IoA) 中,現在「密碼猜測」攻擊指標 (IoA) 已更新,並新增此選項。 |
將「GoldenTicket」攻擊指標 (IoA) 最佳化,以解決攻擊指標 (IoA) 和曝險指標 (IoE) 分析偶爾暫停的情況 (之前會持續一個小時或更久)。 |
強化「Golden Ticket」攻擊指標 (IoA) 的偵測演算法,以減少漏報和誤報。 |
Tenable Identity Exposure 改進了功能,可避免在小型平台上無限執行 SQL 查詢,確保資料庫穩定運作。 |
公用 API 端點 /export/profile/:profileId/checkers/:checkerId 現在可以在沒有選項的情況下正常運作。 |
現在安裝或升級之後,可以在 C:\Tenable\Logs 取得 MSI 記錄檔。 |
軟體名稱 | 升級前 | 升級前 | 升級後 |
---|---|---|---|
Tenable Identity Exposure | 3.42.20 | 3.59.8 | 3.77.3 |
C++ 2015-2019 Redistributable | 14.38.33135.0 | 14.38.33135.0 | 14.38.33135.0 |
.NET Windows Server Hosting | 6.0.35 | 6.0.35 | 8.0.10.24468 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
NodeJS | 18.20.4 | 20.18.0 | 20.18.0 |
Erlang OTP | 26.2.5.4 | 26.2.5.4 | 26.2.5.4 |
Rabbit MQ | 3.12.14 | 3.12.4 | 3.12.14 |
SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
OpenSSL | 1.1t | 3.2.0 | 3.3.2 |
Envoy | -- | 1.29.9 | 1.29.9 |
Handle | 5.0.0 | 5.0.0 | 5.0.0 |
Curl | 8.10.1 | 8.10.1 | 8.10.1 |
Tenable Identity Exposure 3.59.8 (2024-10-23)
Tenable Identity Exposure 3.59.8 版包含下列錯誤修正:
錯誤修正 |
---|
安全轉送排程工作現在具有有效的參數 -AfadRolePath。升級期間 Tenable Identity Exposure 會移除並重新建立排程工作。 |
Tenable Identity Exposure 已將 RabbitMQ 降級至更穩定的版本。 |
在 Tenable Identity Exposure 安裝程式的本地化版本中,上傳無效的憑證會觸發英文的錯誤訊息。 |
軟體名稱 | 升級前 | 升級後 |
---|---|---|
Tenable Identity Exposure | 3.59.7 | 3.59.8 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.38.33135.0 |
.NET Windows Server Hosting | 6.0.32 | 6.0.35 |
.NET Runtime | 6.0.32 | 6.0.35 |
.Net Core | 6.0.32 | 6.0.35 |
ASP.NET Core | 6.0.32 | 6.0.35 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
NodeJS | 20.14.0 | 20.18.0 |
Erlang OTP | 26.2.5.2 | 26.2.5.4 |
Rabbit MQ | 3.13.6 | 3.12.4 |
SQL Server | 15.0.4385.2 | 15.0.4385.2 |
OpenSSL | 3.3.0 | 3.3.2 |
Envoy | 1.29.5 | 1.29.9 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.9.1 | 8.10.1 |
Tenable Identity Exposure 3.42.20 (2024-10-23)
軟體名稱 | 升級前 | 升級後 |
---|---|---|
Tenable Identity Exposure | 3.42.19 | 3.42.20 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.38.33135.0 |
.NET Windows Server Hosting | 6.0.32 | 6.0.35 |
.NET Runtime | 6.0.32 | 6.0.35 |
.Net Core | 6.0.32 | 6.0.35 |
ASP.NET Core | 6.0.32 | 6.0.35 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
NodeJS | 18.20.3 | 18.20.4 |
Erlang OTP | 26.2.5.2 | 26.2.5.4 |
MSSQL | 15.0.4385.2 | 15.0.4385.2 |
RabbitMQ | 3.12.14 | 3.12.14 |
OpenSSL (未變更) | 1.1.1t | 1.1.1t |
SysInternals Handle | 5.0.0 | 5.0.0 |
cUrl | 8.91 | 8.10.1 |
Tenable Identity Exposure 3.59.7 (2024-08-14)
Tenable Identity Exposure 3.59.7 版包含下列錯誤修正:
錯誤修正 |
---|
當 Windows 伺服器上的 Proxy 變更時,.NET 元件現在會停止然後重新啟用連線,而非中斷連線。 |
在特定情況下,當目錄接聽程式和轉送之間的執行緒數量達到尖峰時,會導致兩個服務之間的連線中斷,現在不會再出現這類情形。 |
註冊接聽程式現在可以處理帳戶 samaccountname中的空格。 |
軟體名稱 | 升級前 | 升級後 |
---|---|---|
Tenable Identity Exposure | 3.59.6 | 3.59.7 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.32 | 6.0.32 |
.NET Runtime | 6.0.32 | 6.0.32 |
.Net Core | 6.0.32 | 6.0.32 |
ASP.NET Core | 6.0.32 | 6.0.32 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
NodeJS | 20.14.0 | 20.14.0 |
Erlang OTP | 26.2.5.2 | 26.2.5.2 |
Rabbit MQ | 3.13.6 | 3.13.6 |
SQL Server | 15.0.4375.4 | 15.0.4385.2 |
OpenSSL | 3.3.0 | 3.3.0 |
Envoy | 1.29.5 | 1.29.5 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.7.1 | 8.9.1 |
Tenable Identity Exposure 3.42.19 (2024-08-14)
Tenable Identity Exposure 3.42.19 版包含下列錯誤修正:
錯誤修正 |
---|
Tenable Identity Exposure 已針對 SQL 插入攻擊強化追蹤流程查詢引擎,大幅降低使用者利用該引擎傾印資料庫的風險。 |
使用 Windows 2000 之前相容存取控制的帳戶曝險指標 (IoE) 的異常情況修復現會正確顯示。 |
變更憑證傾印:LSASS 記憶體攻擊指標 (IoA) 的攻擊媒介中程序名稱的關聯性,以減少不明項目數量。 |
新機制會確保資料庫的復原能力,以承受 badPwdCount 屬性頻繁修改。在某些邊緣案例中,負責管理錯誤密碼計數事件率的服務會與訊息佇列管理器中斷連線,進而造成事件處理中斷。 |
軟體名稱 | 升級前 | 升級後 |
---|---|---|
Tenable Identity Exposure | 3.42.18 | 3.42.19 |
cUrl | 8.4.0 | 8.91 |
SysInternals Handle | 5.0 | 5.0.0 |
IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
.net Runtime |
6.0.28 6.0.28 |
6.0.32 6.0.32 |
NodeJS | 18.19.1 | 18.20.3 |
MSSQL | 15.0.4355.3 | 15.0.4385.2 |
RabbitMQ | 3.12.13 | 3.12.14 |
Erlang OTP | 26.2.3 | 26.2.5.2 |
OpenSSL (未變更) | 1.1.1t | 1.1.1t |
C++ 2105-2022 Redistributable (未變更) | 14.38.33130.0 | 14.40.33810.0 |
ASP.NET Core | 6.0.28 | 6.0.32 |
Tenable Identity Exposure 3.59.6 (2024-08-05)
Tenable Identity Exposure 3.59.6 版包含下列錯誤修正:
錯誤修正 |
---|
安全轉送安裝程式現在會檢查目前的使用者是否為本機管理員。 |
使用網域管理員帳戶在已加入網域的裝置上安裝安全轉送時,系統會在彈出式視窗中顯示訊息,指示您使用本機管理員帳戶。 |
現在變更安全性分析服務 (Cygni) 託管裝置的 Proxy 也不會造成鎖死。 |
軟體名稱 | 升級前 | 升級後 |
---|---|---|
Tenable Identity Exposure | 3.59.5 | 3.59.6 |
C++ 2015-2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.31 | 6.0.32 |
.NET Runtime | 6.0.31 | 6.0.32 |
.Net Core | 6.0.31 | 6.0.32 |
ASP.NET Core | 6.0.31 | 6.0.32 |
IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
NodeJS | 20.14.0 | 20.14.0 |
Erlang OTP | 26.2.5 | 26.2.5.2 |
Rabbit MQ | 3.13.3 | 3.13.6 |
SQL Server | 15.0.4375.4 | 15.0.4375.4 |
OpenSSL | 3.3.0 | 3.3.0 |
Envoy | 1.29.5 | 1.29.5 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.7.1 | 8.7.1 |
Tenable Identity Exposure 3.59.5 (2024-07-02)
-
OpenSSL 3.0 支援 — 此版本將 OpenSSL 升級至 3.0.x 版,因此以 SHA1 簽署的 X.509 憑證無法再於安全性等級 1 或更高等級下運作。TLS 預設為安全性等級 1,這會使 SHA1 簽署的憑證在驗證伺服器或用戶端不受信任。
您必須升級憑證以回應此變更。如果在未更新憑證以使用 OpenSSL 3.0 的情況下繼續安裝,Tenable Identity Exposure 安裝程式會傳回下列錯誤訊息及建議的修正:
-
如需詳細資訊,請參閱 OpenSSL 3.0 版本資訊。
-
如要升級至 3.59.5 版,請參閱 Tenable Identity Exposure 使用者指南中的升級需求和程序。
Tenable Identity Exposure 3.59.5 版包含下列錯誤修正:
錯誤修正 |
---|
SAML 產生的 Tenable 憑證現在使用 4096 位元金鑰大小和 SHA-256 加密 (之前為 1024 位元)。 |
設有安全性機制,用於解決帳戶鎖定期間的使用者列舉問題。 |
TLS 加密套件清單有更新,確保與適用於 Windows Server 2022 的 Azure ARC Update Manager 相容。 |
安全轉送安裝現在於 Tenable Identity Exposure 升級失敗後仍可繼續進行。 |
使用 Windows 2000 之前相容存取控制的帳戶曝險指標的異常情況修復現會正確顯示。 |
轉送現在可確保在有延遲情況下跨網路傳遞 Syslog 訊息的可靠性。 |
變更憑證傾印:LSASS 記憶體攻擊指標攻擊媒介中程序名稱的關聯性,以減少不明項目數量。 |
新機制會確保資料庫的復原能力,以承受 badPwdCount 屬性頻繁修改。在某些邊緣案例中,負責管理錯誤密碼計數事件率的服務會與訊息佇列管理器中斷連線,進而造成事件處理中斷。 |
Web 應用程式現在支援上傳 ECC CA 憑證,可供用於驗證 TLS 連線,包括 LDAPS 驗證、SMTPS 等等。 |
活動記錄不再報告內部服務活動。 |
升級失敗後的回復穩定性現已增強,可確保環境變數維持不變。 |
當安裝程式在轉送和平台之間的通訊測試期間失敗時,錯誤訊息的增強功能可提供更清楚的指引。 |
安全轉送安裝:「Proxy 設定」畫面顯示空白的可編輯方塊,以避免潛在的預設回復。 |
軟體名稱 | 升級前 | 升級後 |
---|---|---|
Tenable Identity Exposure | 3.59.4 | 3.59.5 |
C++ 2015-2019 Redistributable | 14.24.28127.4 | 14.40.33810.0 |
.NET Windows Server Hosting | 6.0.27 | 6.0.31 |
.NET Runtime | 6.0.27 | 6.0.31 |
ASP.NET Core | 6.0.27 | 6.0.31 |
IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
Application Request Routing 3.0 | 3.0.05311 | 3.0.5311 |
NodeJS | 18.19.0 | 20.14.0 |
Erlang OTP | 26.2.2 | 26.2.5 |
Rabbit MQ | 3.12.12 | 3.13.3 |
SQL Server | 15.0.4335.1 | 15.0.4375.4 |
OpenSSL | 1.1.1t | 3.3.0 |
Envoy | 1.29.4 | 1.29.5 |
Handle | 5.0.0 | 5.0.0 |
Curl | 8.4 | 8.7.1 |
Tenable Identity Exposure 3.59.4 (2024-02-20)
- 安全轉送:導入新的傳輸模式,使用傳輸層安全性 (TLS) 而非進階訊息佇列通訊協定 (AMQP) 將 Active Directory 資料從您的網路傳輸至 Tenable Identity Exposure。如需詳細資訊,請參閱《安裝指南》中的「升級以使用安全轉送」章節和《管理指南》中的「設定轉送」章節。
警示和驗證:安全轉送支援 Syslog 和 SMTP 警示。如需詳細資訊,請參閱《Tenable Identity Exposure 管理員指南》中的「安全轉送」章節。
驗證:您可以選取安全轉送來設定 LDAP 驗證。此轉送會連線您的 LDAP 伺服器以驗證使用者。
警示:Syslog 和 SMTP 警示功能可透過安全轉送功能將警示傳送至私有伺服器。當建立警示時,安全轉送平台會要求您選取一個「轉送」模式。您可以設定轉送功能,套用於網域監控和/或警示。
如果您使用安全轉送功能並且已建立警示,在 Tenable Identity Exposure 3.45 更新中,系統會為現有警示自動指派轉送功能,以確保服務不中斷。您可以基於與轉送-VM 網路規則或喜好設定相關的原因,編輯所指派的轉送功能。
基本驗證和未經驗證的 HTTP Proxy 支援:如果您的網路需要 Proxy 伺服器來連線目錄接聽程式伺服器,轉送功能也支援有基本驗證或無驗證的 HTTP Proxy。如需詳細資訊,請參閱《Tenable Identity Exposure 管理員指南》中的「安全轉送」章節。
- Entra ID 支援:除支援 Active Directory 外,此功能擴大 Tenable Identity Exposure 對 Microsoft Entra ID (前稱 Azure AD) 的支援範圍。以下是以 Entra ID 為主的新曝險指標 (IoE),現可用於識別 Entra ID 中的弱點:
已知的同盟網域後門程式:Microsoft Entra 租用戶可以與外部網域同盟,以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory 同盟服務 (ADFS)(註:外部網域不是 Active Directory「網域」)。但如果惡意攻擊執行者在 Microsoft Entra ID 中獲得提高的權限,他們可以新增自己的同盟網域或編輯現有同盟網域以新增次要設定與自己的設定,來濫用這種同盟機制並建立後門程式。
擁有憑證的第一方服務主體:第一方服務主體 (企業應用程式) 來自屬於 Microsoft 的應用程式 (應用程式註冊)。它們大多數在 Microsoft Entra ID 中擁有在安全性檢查中經常被忽略的機密權限。攻擊者可藉此將憑證新增至這些主體,以隱匿地利用主體特權。
與 AD 同步的特權 Entra 帳戶 (混合):混合帳戶適用的檢查,特別是透過 Active Directory 同步且在 Entra ID 中具有特權角色的帳戶。這些帳戶允許入侵 AD 的攻擊者轉而入侵 Entra ID,因此會造成安全性風險。Entra ID 中的特權帳戶必須為僅限雲端帳戶。
影響租用戶的危險 API 權限:若服務主體擁有某些 Microsoft API 的特定權限,可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅,因為服務主體會擁有強大的權限,卻同時比高權限管理員角色 (例如全域管理員) 不顯眼。攻擊者可濫用這一點繞過多因素驗證 (MFA) 並阻止使用者重設密碼。
特權帳戶缺少 MFA:多因素驗證 (MFA) 可為帳戶提供強大保護,防止出現脆弱密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。如果特權帳戶未註冊 MFA 方法,或者您未註冊 MFA 方法而強制執行 MFA,本曝險指標 (IoE) 會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法,而造成安全性風險。
非特權帳戶缺少 MFA:多因素驗證 (MFA) 可為帳戶提供強大保護,防止出現脆弱密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。如果非特權帳戶未註冊 MFA 方法,或者您未註冊 MFA 方法而強制執行 MFA,本曝險指標 (IoE) 會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法,而產生安全性風險。
管理員數量過多:根據定義,管理員擁有提高的權限。管理員數量過多會提高管理員遭入侵的機率,進而增加攻擊破綻,造成安全性風險。這也是未遵循最低特權原則的跡象。
- 新攻擊指標 (IoA)
-
DC 密碼變更:此攻擊指標 (IoA) 與 Zerologon 相關,著重於攻擊者通常會結合 Netlogon 弱點使用的特定後滲透攻擊活動:修改網域控制器的裝置帳戶密碼。如需詳細資訊,請參閱《Tenable Identity Exposure 攻擊指標參考指南》。
-
Zerologon:在 Netlogon 驗證程序中偵測故障,這表示攻擊者嘗試利用 Zerologon 弱點來取得網域上的權限。如需詳細資訊,請參閱《Tenable Identity Exposure 攻擊指標參考指南》。
-
網域備份金鑰擷取:偵測使用 LSA RPC 呼叫來存取備份金鑰的多種攻擊工具。如需詳細資訊,請參閱《Tenable Identity Exposure 攻擊指標參考指南》。
-
-
曝險指標 (IoE)
-
新曝險指標 (IoE):
-
允許不安全的動態 DNS 區域更新:識別動態 DNS 區域更新的不安全設定。不安全設定會導致 DNS 記錄出現未經驗證編輯,而容易受到流氓 DNS 記錄的攻擊。
-
屬性集功能健全性:檢查屬性集及屬性集在 AD 結構描述中的屬性,確認是否有惡意執行者結構描述的錯誤設定或植入的後門程式。雖然目前沒有已知與使用屬性集相關的公開攻擊媒介,但此曝險指標 (IoE) 主要著重於識別因使用此功能的第三方產品而產生的錯誤設定或特性。
-
WSUS 危險錯誤設定:檢查 Windows Server Update Services (WSUS) (將 Windows 更新部署至工作站和伺服器的 Microsoft 產品) 是否存在可導致從標準帳戶提高至管理員權限的錯誤設定。
-
密碼脆弱程度偵測:檢查高強度密碼,以確保 Active Directory 驗證的安全性。產生脆弱密碼的原因包括複雜度不足、雜湊演算法過時、共用密碼,以及暴露於外洩資料庫中。攻擊者可刺探利用這些脆弱特性來模擬帳戶 (特別是相關特權帳戶),進而在 Active Directory 內進行未經授權的存取。
-
DFS 錯誤設定:檢查 SYSVOL 是否使用分散式檔案系統複製 (DFSR) (一種取代檔案複製服務 [FRS] 的機制) 來獲得更良好的健全度、延展性和複製效能。
-
異常物件排除:Tenable Identity Exposure 允許在所選曝險指標 (IoE) 中排除異常物件,包括:
-
群組:特權使用者的登入限制
-
作業系統:搭載過時作業系統的電腦
-
組織單位:特權使用者的登入限制、搭載過時作業系統的電腦、對使用者套用弱式密碼原則、休眠帳戶、使用舊密碼的使用者帳戶
-
-
曝險指標 (IoE) 分析 — 內部部署使用者現在可停用預設 Tenable 安全性設定檔的曝險指標 (IoE) 分析,以減少資源的使用,並降低安全性分析延遲時間。若要建置此項目,需將安全引擎節點 (SEN) 上的 ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile 環境變數設為 true ,然後重新啟動 Cygni 服務。
-
-
報告中心:可透過此功能使用簡化的報告建立程序,以報告形式匯出重要資料並提供給組織的主要利害關係人。如需更多資訊,請參閱《Tenable Identity Exposure 管理員指南》中的「報告中心」章節。
-
儀表板範本:即用型範本,可協助您聚焦於和組織有關的優先問題,例如合規姓、風險、密碼管理和使用者/管理員監控。如需詳細資訊,請參閱《Tenable Identity Exposure 使用者指南》中的「儀表板」章節。
-
平台運作狀況檢查功能:Tenable Identity Exposure 以整合檢視畫面列出所執行的平台運作狀況檢查,讓您能夠及時調查並解決設定異常。如需詳細資訊,請參閱《Tenable Identity Exposure 管理員指南》中的「運作狀況檢查」章節。
- 上線:為增強安全性,上線處理程序現在會要求使用者在第一次登入時,變更系統提供的初次登入預設憑證。Tenable Identity Exposure 也增強了新密碼的規則。
-
延展性:Tenable Identity Exposure 改善了服務端的攻擊指標效能,以處理更大規模的相關事件,進而改善攻擊指標 (IoA) 的準確性和延遲。如需詳細資訊,請參閱《Tenable Identity Exposure 安裝指南》中的「擴大 Tenable Identity Exposure 服務」章節。
-
追蹤流程
-
一旦出現變更,Tenable Identity Exposure 就會立即收到來自 Active Directory 的事件。不過,針對大型群組中的高頻率變更,會將彙總事件延後 10 分鐘,再通知系統其餘部分,藉此防止效能問題。
-
現在可以按日期和時間篩選追蹤流程事件。
-
Tenable Identity Exposure 3.59.4 版包含自 3.42 版起的所有錯誤修正。
Tenable Identity Exposure 內部部署版本 3.59.4 提供重要的增強內容,可以保護您的 Active Directory 基礎架構。此版本包含對於特定相依性的更新,將優先考量軟體安全性,並確保使用最新版的元件以改善防護功能。元件為:
-
儲存管理員 (SM)
-
安全引擎節點 (SEN)
-
目錄接聽程式 (DL)
軟體名稱 | 元件 | 升級前版本 | 升級後版本 |
---|---|---|---|
Tenable Identity Exposure | 3.42 | 3.59 | |
C++ 2015-2019 Redistributable | 全部 (不變) | 14.24.28127.4 | 14.24.28127.4 |
.NET Windows Server Hosting | SEN、DL | 6.0.22.23424 | 6.0.27 |
.NET Runtime | SEN、DL | 6.0.22.32824 | 6.0.27 |
ASP.NET Core | SEN、DL | 6.0.22.23424 | 6.0.27 |
IIS URL Rewrite Module 2 | SEN (不變) | 7.2.1993 | 7.21993 |
Application Request Routing 3.0 | SEN (不變) | 3.0.05311 | 3.0.05311 |
NodeJS | SM、SEN | 18.18.0 | 18.19.0 |
Erlang OTP | SEN | 26.1.1 | 26.2.2 |
Rabbit MQ |
SEN |
3.12.6 | 3.12.12 |
SQL Server | SM | 15.0.4322.2 | 15.0.4335.1 |
Tenable Identity Exposure 3.42.18 (2024-04-18)
如需新功能、錯誤修正和修補程式的完整清單,請參閱 Tenable Identity Exposure 3.42 (2023-04-06) 內部部署版本資訊。
Tenable Identity Exposure 3.42.18 版包含下列修補程式:
修補程式 | 缺陷 ID |
---|---|
SAML 產生的 Tenable 憑證現會使用健全的 4096 SHA256 金鑰大小,為先前 1024 大小的增強版。 | 不適用 |
攻擊路徑增強內容:
|
不適用 |
Tenable Identity Exposure 現會在 Syslog 警示設定更新後正確重新整理 CA 憑證。 | 不適用 |
Tenable Identity Exposure 現在會在 CSV 檔案中套用公式元素的無效化,通常稱為 CSV 插入。 | 不適用 |
在分析因缺少主機名稱導致來源「不明」的 4776 事件時,Tenable Identity Exposure 現可根據密碼猜測攻擊指標中的「允許不明來源」選項正確篩選出此異常情況。 | 不適用 |
DCSync 攻擊指標增強內容:
|
不適用 |
攻擊指標事件接聽程式在 2016 年之前的 Windows 伺服器版本上可再次正常運作。 | 不適用 |
新機制會確保資料庫的復原能力,以承受多次 badPwdCount 屬性修改。 | 不適用 |
Tenable Identity Exposure 內部部署版本 3.42.11 提供重要的增強內容,可以保護您的 Active Directory 基礎架構。此版本包含對於特定相依性的更新,將優先考量軟體安全性,並確保使用最新版的元件以改善防護功能。
Tenable Identity Exposure | 3.42.3 版 | 3.42.11 版 | 3.42.17 版 | 3.42.18 版 | |
---|---|---|---|---|---|
軟體名稱 | 檔案名稱 | 版本 | 版本 | 版本 | 版本 |
cUrl | curl.exe | 7.66.0 | 8.0.1 | 8.4.0 | 8.4.0 |
SysInternals Handle | handle.exe | 4.22.0 | 5.0.0 | 5.0 | 5.0 |
IIS URL Rewrite Module 2 | rewrite_amd64_en-US.msi | 7.2.1980 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
.net Runtime |
dotnet-hosting-6.0.14-win.exe | 6.0.14 | 6.0.16 |
6.0.22.32824 |
6.0.28 |
NodeJS | node-x64.msi | 16.19.1 | 16.20.0 | 18.18.0 | 18.19.1 |
MSSQL | setup.exe | 2019.150.2000.5 | 2019.150.4312.2 | 15.0.4322.2 | 15.0.4355.3 |
RabbitMQ | rabbitmq-server.exe | 3.10.11 | 3.10.19 | 3.12.6 | 3.12.13 |
Erlang OTP | otp_win64.exe | 25.1.2 | 25.1.2 | 26.1.1 | 26.2.3 |
C++ 2105-2022 Redistributable (unchanged) | vcredist_2015_x64.exe | 14.24.28127.4 | 14.24.28127.4 | 14.24.28127.4 | 14.38.33130.0 |
ASP.NET Core | dotnet-hosting-win.exe | 6.0.14 | 6.0.16 | 6.0.22.23424 | 6.0.28 |