Tenable Identity Exposure 2024 內部部署版本資訊
這些版本資訊按時間順序由新到舊列出。
Tenable Identity Exposure 3.77.6 (2024-12-04)
錯誤修正
Tenable Identity Exposure 3.77.6 版包含下列錯誤修正:
| updater.exe 檔案現在使用 Tenable 憑證進行數位簽署,這可防止未經授權的修改,並保障檔案真實性。 |
| Tenable Identity Exposure 現在會透過改善的關聯引擎,提供正確的 PetitPotam 相關攻擊媒介資訊。您必須重新部署攻擊指標 (IoA) 事件接聽程式。 |
| Tenable Identity Exposure 現在支援其他反向 DNS 格式,可從 DnsNode 物件擷取 IPv4 位址,解決攻擊指標功能中先前輸出內容「不明」的問題。此增強功能有助於提供更清楚的警示背景資訊,並提高使用基本模式時相關攻擊指標 (IoA) 的準確性。 |
| TCP Syslog 警示可在 Windows Server 2016 上如預期運作。 |
| 安全轉送排程工作現在具有有效的參數 -AfadRolePath。升級期間,Tenable Identity Exposure 會移除並重新建立排程工作。 |
| ADCS 危險錯誤設定曝險指標 (IoE) 現在會將「列入白名單的信任者」選項納入考量。 |
| 危險的 Kerberos 委派作業曝險指標 (IoE) 現在會強制針對停用的物件套用白名單機制。 |
| 針對「網域上沒有套用特權 PSO」原因,對使用者套用脆弱密碼原則曝險指標 (IoE) 現在不會再顯示誤報。 |
| 現在經過本地化的可疑屬性會顯示詳細值。 |
| NTDS 擷取攻擊指標已將「獲允許的處理程序」重新命名,以說明該選項僅可在「積極」模式中使用,並移除了未使用的「獲允許的 NTDS 目的地路徑」選項。 |
| Tenable Identity Exposure 現在會藉由跳脫雙引號 (") 來確保正確匯出 CSV 檔案,改善匯出資料的準確性。 |
| 當某些網域無法連線時,所有網域的連線能力測試現在效能更高,可以避免 Web 介面非預期逾時。 |
| Tenable Identity Exposure 現在調整為分析接收時有延遲的 Windows 事件記錄。 |
| 曝險指標 (IoE) 最新偵測日期的準確性已改善。 |
| Microsoft Entra ID 異常情況的結果現在會與所選租用戶正確相符。 |
| 在某些邊緣案例中,Tenable Identity Exposure 無法分析密碼雜湊。 |
| Tenable Identity Exposure 將 `UserNameVariants` 欄位新增至 DCSyncData,即可將不同格式的使用者名稱 (SID、UPN、sAMAccountName) 加入白名單。此變更目前僅適用於 DCSync 攻擊指標 (IoA)。 |
| Envoy 以加密格式儲存 CA 憑證,並將預設路徑設定大小從 4 KB 增加到 4 MB,以負荷更大的承載。 |
| Tenable Identity Exposure 現可正確測試 cloud.tenable.com 的連線能力。 |
| 發生 LDAP 連線問題後,目錄接聽程式會在 12 小時後自動重新啟動,以與任何可能遺漏的 ADObject 狀態重新同步。 |
| UDP Syslog 警示現在會在承載達到 MTU 大小時將其截斷。 |
更新軟體相依性
| 軟體名稱 | 升級前 | 升級後 |
|---|---|---|
| Tenable Identity Exposure | 3.77.3 | 3.77.6 |
| C++ 2015-2019 Redistributable | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 8.0.10.24468 | 8.0.11.24521 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.0 | 20.18.1.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.5 |
| Rabbit MQ | 3.12.14 | 4.0.3 |
| SQL Server | 15.0.4385.2 | 15.0.4405.4 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.9 | 1.29.10 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.11.0 |
Tenable Identity Exposure 3.77.3 (2024-11-06)
新功能
-
攻擊指標 (IoA)
-
新的基本模式和積極模式:此基本模式專為偏好簡化設定的客戶設計,可盡可能縮短設定時間和避免誤報,進而減少不必要的警示干擾。這適用於下列攻擊指標 (IoA):
-
DCSync
-
可疑的 DC 密碼變更
-
Golden Ticket
-
NTDS 擷取
-
OS 憑證傾印:LSASS 記憶體
-
本機管理員列舉
-
SAMAccountName 假冒
-
-
-
曝險指標 (IoE)
-
新曝險指標 (IoE)
- 影子憑證:這個新的曝險指標 (IoE) 會偵測「Windows Hello 企業版」功能及相關金鑰憑證中是否有影子憑證相關後門程式以及錯誤設定。
-
受管理服務帳戶的危險錯誤設定:這個新的曝險指標 (IoE) 可確保妥善部署和設定受管理的服務帳戶。
-
特權驗證獨立環境設定:協助 AD 管理員安裝及設定第 0 層帳戶的驗證獨立環境。
-
屬性集完整性:Microsoft Active Directory (AD) 中的「屬性集」整合了多個屬性,以便更輕鬆、更有效地管理 ACL。此曝險指標會檢查這些 AD 物件及其屬性中的錯誤設定或潛在後門程式。
-
特權 AD 使用者帳戶已與 Microsoft Entra ID 同步:檢查該特權 Active Directory 使用者帳戶是否未與 Microsoft Entra ID 同步。
-
已啟用的訪客帳戶:檢查內建訪客帳戶是否停用。
-
衝突的安全性主體:確認沒有重複 (衝突) 使用者、電腦或群組等物件的檢查。
-
經過 RSoP 檢查的曝險指標 (IoE):為了提升效能,Tenable Identity Exposure 不會再即時進行原則結果集 (RSoP) 檢查。而會安排每 30 分鐘進行一次 RSoP 安全性檢查,以更好地管理 RSoP 處理程序期間所需的相關檢查。詳情請參閱經過 RSoP 檢查的曝險指標。
-
KRBTGT 帳戶最近一次密碼變更:已新增對 Windows Hello 企業版中 krbtgt_AzureAD 帳戶 (雲端信任部署) 的支援。
-
可逆密碼:現在會驗證具有 msDS-PasswordReversibleEncryptionEnabled 屬性的 PSO 所定義的可逆密碼。
-
本機系統管理帳戶管理:支援新的 Microsoft LAPS。加入一個名為「已安裝 LAPS 版本」的新選項,並根據使用者的選擇驗證 LAPS 版本的設定。
-
- Proxy:可以在 Tenable Identity Exposure 安裝或升級期間定義 Proxy 連線。有了此 Proxy 連線,即可在內部部署環境中使用 Tenable One 功能。
-
安全轉送安裝:當您在個別 (獨立) 機器上安裝安全轉送時,增強的安裝程式可協助從目錄接聽程式上傳自我簽署憑證。
增強內容
-
電子郵件警示現在僅支援安全的加密通訊協定,即 TLS 1.2 和 1.3。如果客戶覆寫了安全轉送以使用過時的 SMTP 加密標準 (例如 SSLv3),就必須將此設定移除。現在唯一允許的值為「TLS12」、「TLS13」或「TLS12、TLS13」(可根據伺服器版本自動切換)。使用不支援的值會導致無法啟動轉送。
-
新增 10 小時「延遲時間」(Golden Ticket 攻擊指標 (IoA)),系統會在此期間將正當使用者列入允許清單,以減少誤報數量。
-
攻擊指標 (IoA) 設定:可在觸發事件分析之前選擇事件收集持續時間。值介於 30 秒到 9 分鐘之間。
-
Active Directory:Tenable Identity Exposure 針對所管理的 AD 物件增加了大小限制。
-
曝險指標
-
危險的 Kerberos 委派
-
不會再將擁有智慧卡的使用者視為安全性問題,因為這些使用者不會受到 AS-REP Roasting 攻擊影響。
-
不會因為「沒有委派保護措施」就將電腦標記為有異常,而會處理任何現有異常情況。
-
當帳戶屬性用於限制委派 (msDS-AllowedToDelegateTo) 時涉及不存在服務主體名稱 (SPN),此新原因會回報所有此類帳戶。
-
此新原因可偵測 Microsoft Entra Connect 帳戶 (AZUREADSSOACC) 目前的 Kerberos 委派設定。
-
-
使用者主要群組曝險指標 (IoE):如果因為權限不足,導致帳戶的 primaryGroupID 屬性空白,此額外原因會回報所有此類帳戶。
擁有永不過期密碼的帳戶:此新原因可用來區分特權使用者和一般使用者。
衝突的安全性主體:這個新的曝險指標 (IoE) 可用來確認沒有重複 (衝突) 的使用者、電腦或群組等物件。
使用舊密碼的使用者帳戶、搭載過時作業系統的電腦和休眠帳戶:這三個新原因可用來區分特權使用者和一般使用者。
沒有電腦強化 GPO 的網域
新的檢查可確保所有網域電腦上的 NULL 工作階段皆已確實停用。
與為網域控制器 (SYSVOL/NETLOGON 共用) 所設定之強化 UNC 路徑相關的新檢查。
新檢查可確保所有網域控制器上的列印多工緩衝處理器服務皆已停用。
強制執行 SMB 簽署:Tenable Identity Exposure可確保在網域控制器和其他伺服器上妥善強制執行 SMB 簽署作業。其可驗證「預設網域控制器原則」參數,並會檢查其他伺服器上的 GPO 設定是否正確。
錯誤修正
Tenable Identity Exposure 3.77.3 版包含下列錯誤修正:
| 錯誤修正 |
|---|
| 現在使用「未使用的受保護使用者群組」曝險指標中的「允許的使用者」選項時,可以按照 UserPrincipalName (UPN)、SID 和 sAMAccontName 來將使用者加入白名單,不再像之前一樣只能使用可辨別名稱。 |
| 攻擊指標接聽程式現在支援非 ASCII 編碼。 |
| Tenable Identity Exposure 不會針對列入白名單的容器 (在設定檔中設定) 內的電腦觸發「對使用者應用脆弱密碼原則」異常情況。 |
| Tenable Identity Exposure 會顯示警告訊息,建議您在升級前製作系統快照。 |
| Tenable Identity Exposure 移除了剩餘項目以改善回復處理程序。 |
| Tenable Identity Exposure 已解決檢視唯讀設定檔詳細資料時曝險指標顯示的問題。 |
| Envoy 現在會優先選用 IPv4 解決方案,失敗後再改用 IPv6。將目前剛好是相反的優先順序設定進行修正。 |
|
可保護登入工作階段 Cookie,以確保工作階段 Cookie 僅透過 HTTPS 傳送,進而提高 Web 應用程式的安全性。 |
| 安全轉送排程工作現在具有有效的參數 -AfadRolePath。升級期間,Tenable Identity Exposure 會移除並重新建立排程工作。 |
| Tenable Identity Exposure 現在可確保成功建構第 0 層資產圖表。 |
| 安全性分析服務會在 CPU 高峰期 (例如安全性檢查期間) 處理輸入。 |
| 當運作狀況檢查問題狀態不明時,Tenable Identity Exposure 會顯示清楚的描述。 |
| Tenable Identity Exposure 會正確剖析信任屬性,以顯示沒有問題的拓撲檢視畫面。即使在極少數情況下缺少信任屬性時也是如此。 |
| 提供安全性分析服務的機器不會再發生攻擊指標 (IoA) 鎖死問題。 |
| AD 資料收集器服務現在的運作狀況檢查報告結果為 true。 |
| 針對使用者套用脆弱密碼原則曝險指標 (IoE) 經過增強,可更妥善地處理與選項限制相關的邊緣案例 (edge case)。 |
| 升級並重新啟動目錄接聽程式後,不會再觸發安全轉送安裝程式。 |
| Tenable Identity Exposure 現在可防止安全轉送重複傳送安全性分析服務不再需要的 LDAP 查詢結果。 |
| DCSync 攻擊指標 (IoA) 現在會考慮 Tenable 服務帳戶的「samAccountName」超過 20 個字元的極端案例,確保啟用特權分析功能時不會觸發警示。 |
| 使用本地化版本的安裝程式時,如果上傳的憑證無效,會顯示英文的錯誤訊息。 |
| 「特權 AD 使用者帳戶已與 Microsoft Entra ID 同步」曝險指標 (IoE) 不再需要「加入白名單的電腦」選項。 |
| 密碼猜測攻擊指標 (IoA) 的「偵測時間間隔」選項現在會顯示正確的標籤。 |
| 存取 Tenable Identity Exposure 環境的基底網址時,Tenable Identity Exposure 使用者介面不會再載入兩次。 |
| Tenable Identity Exposure 更新了與「曝險指標」頁面相關的權限行為。 |
| Tenable Identity Exposure 改進了功能,可避免在小型 SaaS 平台上無限期執行 SQL 查詢,確保資料庫穩定運作。 |
| Tenable Identity Exposure 現在會在曝險指標 (IoE) 窗格中顯示所有 Entra ID 曝險指標 (IoE)。 |
| Tenable Identity Exposure 已修正因為密碼噴濺攻擊指標 (和其他可能的攻擊指標 (IoA)) 造成的誤報情形。 |
| 針對某些極端案例,Tenable Identity Exposure 更新了已加入網域的裝置適用的安全轉送安裝程序:使用網域管理員帳戶的客戶現在會收到提示,建議他們改用本機管理員帳戶。 |
| Tenable Identity Exposure 在轉送啟動期間採用一種機制,可在轉送和平台之間執行網路檢查。如果平台尚未進入運作狀態,轉送啟動程序會等待以確保連線穩定,然後再繼續。 |
| 如果您擁有 Tenable One 授權,使用者建立作業會在 Tenable Vulnerability Management 中進行,並套用至 Tenable Identity Exposure。在此情況下,當您按一下 Tenable Identity Exposure 中的「建立使用者」按鈕時,系統會顯示一則訊息,將您導向至 Tenable Vulnerability Management 以建立使用者。 |
| 本地化版本的 Tenable Identity Exposure 安裝程式現在會正常運作。 |
| Tenable Identity Exposure 會在進行重大升級期間將舊版 .NET 版本解除安裝。 |
| Tenable Identity Exposure 已解決「NTDS 擷取」攻擊指標 (IoA) 中的記錄問題,確保記錄功能在所有情況下都能正常運作。 |
| 「偵測時間間隔」選項之前錯誤列入「密碼噴濺」攻擊指標 (IoA) 中,現在「密碼猜測」攻擊指標 (IoA) 已更新,並新增此選項。 |
| 將「GoldenTicket」攻擊指標 (IoA) 最佳化,以解決攻擊指標 (IoA) 和曝險指標 (IoE) 分析偶爾暫停的情況 (之前會持續一個小時或更久)。 |
| 強化「Golden Ticket」攻擊指標 (IoA) 的偵測演算法,以減少漏報和誤報。 |
| Tenable Identity Exposure 改進了功能,可避免在小型平台上無限執行 SQL 查詢,確保資料庫穩定運作。 |
| 公用 API 端點 /export/profile/:profileId/checkers/:checkerId 現在可以在沒有選項的情況下正常運作。 |
| 現在安裝或升級之後,可以在 C:\Tenable\Logs 取得 MSI 記錄檔。 |
更新軟體相依性
| 軟體名稱 | 升級前 | 升級前 | 升級後 |
|---|---|---|---|
| Tenable Identity Exposure | 3.42.20 | 3.59.8 | 3.77.3 |
| C++ 2015-2019 Redistributable | 14.38.33135.0 | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 6.0.35 | 6.0.35 | 8.0.10.24468 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.4 | 20.18.0 | 20.18.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.4 | 26.2.5.4 |
| Rabbit MQ | 3.12.14 | 3.12.4 | 3.12.14 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 1.1t | 3.2.0 | 3.3.2 |
| Envoy | -- | 1.29.9 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.10.1 | 8.10.1 |