Tenable Identity Exposure 2024 內部部署版本資訊

• 安全轉送：導入新的傳輸模式，使用傳輸層安全性 (TLS) 而非進階訊息佇列通訊協定 (AMQP) 將 Active Directory 資料從您的網路傳輸至 Tenable Identity Exposure。如需詳細資訊，請參閱《安裝指南》中的「升級以使用安全轉送」章節和《管理指南》中的「設定轉送」章節。

  • 警示和驗證：安全轉送支援 Syslog 和 SMTP 警示。如需詳細資訊，請參閱《Tenable Identity Exposure 管理員指南》中的「安全轉送」章節。

    • 驗證：您可以選取安全轉送來設定 LDAP 驗證。此轉送會連線您的 LDAP 伺服器以驗證使用者。

    • 警示：Syslog 和 SMTP 警示功能可透過安全轉送功能將警示傳送至私有伺服器。當建立警示時，安全轉送平台會要求您選取一個「轉送」模式。您可以設定轉送功能，套用於網域監控和/或警示。

      如果您使用安全轉送功能並且已建立警示，在 Tenable Identity Exposure 3.45 更新中，系統會為現有警示自動指派轉送功能，以確保服務不中斷。您可以基於與轉送-VM 網路規則或喜好設定相關的原因，編輯所指派的轉送功能。

  • 基本驗證和未經驗證的 HTTP Proxy 支援：如果您的網路需要 Proxy 伺服器來連線目錄接聽程式伺服器，轉送功能也支援有基本驗證或無驗證的 HTTP Proxy。如需詳細資訊，請參閱《Tenable Identity Exposure 管理員指南》中的「安全轉送」章節。

• Entra ID 支援：除支援 Active Directory 外，此功能擴大 Tenable Identity Exposure 對 Microsoft Entra ID (前稱 Azure AD) 的支援範圍。以下是以 Entra ID 為主的新曝險指標 (IoE)，現可用於識別 Entra ID 中的弱點：

  • 已知的同盟網域後門程式：Microsoft Entra 租用戶可以與外部網域同盟，以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory 同盟服務 (ADFS) (註：外部網域不是 Active Directory「網域」)。但如果惡意攻擊執行者在 Microsoft Entra ID 中獲得提高的權限，他們可以新增自己的同盟網域或編輯現有同盟網域以新增次要設定與自己的設定，來濫用這種同盟機制並建立後門程式。

  • 擁有憑證的第一方服務主體：第一方服務主體 (企業應用程式) 來自屬於 Microsoft 的應用程式 (應用程式註冊)。它們大多數在 Microsoft Entra ID 中擁有在安全性檢查中經常被忽略的機密權限。攻擊者可藉此將憑證新增至這些主體，以隱匿地利用主體特權。

  • 與 AD 同步的特權 Entra 帳戶 (混合)：混合帳戶適用的檢查，特別是透過 Active Directory 同步且在 Entra ID 中具有特權角色的帳戶。這些帳戶允許入侵 AD 的攻擊者轉而入侵 Entra ID，因此會造成安全性風險。Entra ID 中的特權帳戶必須為僅限雲端帳戶。

  • 影響租用戶的危險 API 權限：若服務主體擁有某些 Microsoft API 的特定權限，可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅，因為服務主體會擁有強大的權限，卻同時比高權限管理員角色 (例如全域管理員) 不顯眼。攻擊者可濫用這一點繞過多因素驗證 (MFA) 並阻止使用者重設密碼。

  • 特權帳戶缺少 MFA：多因素驗證 (MFA) 可為帳戶提供強大保護，防止出現脆弱密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。如果特權帳戶未註冊 MFA 方法，或者您未註冊 MFA 方法而強制執行 MFA，本曝險指標 (IoE) 會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法，而造成安全性風險。

  • 非特權帳戶缺少 MFA：多因素驗證 (MFA) 可為帳戶提供強大保護，防止出現脆弱密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。如果非特權帳戶未註冊 MFA 方法，或者您未註冊 MFA 方法而強制執行 MFA，本曝險指標 (IoE) 會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法，而產生安全性風險。

  • 管理員數量過多：根據定義，管理員擁有提高的權限。管理員數量過多會提高管理員遭入侵的機率，進而增加攻擊破綻，造成安全性風險。這也是未遵循最低特權原則的跡象。

• 新攻擊指標 (IoA)

  • DC 密碼變更：此攻擊指標 (IoA) 與 Zerologon 相關，著重於攻擊者通常會結合 Netlogon 弱點使用的特定後滲透攻擊活動：修改網域控制器的機器帳戶密碼。如需詳細資訊，請參閱《Tenable Identity Exposure 攻擊指標參考指南》。

  • Zerologon：在 Netlogon 驗證程序中偵測故障，這表示攻擊者嘗試利用 Zerologon 弱點來取得網域上的權限。如需詳細資訊，請參閱《Tenable Identity Exposure 攻擊指標參考指南》。

  • 網域備份金鑰擷取：偵測使用 LSA RPC 呼叫來存取備份金鑰的多種攻擊工具。如需詳細資訊，請參閱《Tenable Identity Exposure 攻擊指標參考指南》。

• 曝險指標 (IoE)

  • 新曝險指標 (IoE)：

  • 允許不安全的動態 DNS 區域更新：識別動態 DNS 區域更新的不安全設定。不安全設定會導致 DNS 記錄出現未經驗證編輯，而容易受到流氓 DNS 記錄的攻擊。

  • 屬性集功能健全性：檢查屬性集及屬性集在 AD 結構描述中的屬性，確認是否有惡意執行者結構描述的錯誤設定或植入的後門程式。雖然目前沒有已知與使用屬性集相關的公開攻擊媒介，但此曝險指標 (IoE) 主要著重於識別因使用此功能的第三方產品而產生的錯誤設定或特性。

  • WSUS 危險錯誤設定：檢查 Windows Server Update Services (WSUS) (將 Windows 更新部署至工作站和伺服器的 Microsoft 產品) 是否存在可導致從標準帳戶提高至管理員權限的錯誤設定。

  • 密碼脆弱程度偵測：檢查高強度密碼，以確保 Active Directory 驗證的安全性。產生脆弱密碼的原因包括複雜度不足、雜湊演算法過時、共用密碼，以及暴露於外洩資料庫中。攻擊者可刺探利用這些脆弱特性來模擬帳戶 (特別是相關特權帳戶)，進而在 Active Directory 內進行未經授權的存取。

  • DFS 錯誤設定：檢查 SYSVOL 是否使用分散式檔案系統複製 (DFSR) (一種取代檔案複製服務 [FRS] 的機制) 來獲得更良好的健全度、延展性和複製效能。

  • 異常物件排除：Tenable Identity Exposure 允許在所選曝險指標 (IoE) 中排除異常物件，包括：

    • 群組：特權使用者的登入限制

    • 作業系統：搭載過時作業系統的電腦

    • 組織單位：特權使用者的登入限制、搭載過時作業系統的電腦、對使用者套用弱式密碼原則、休眠帳戶、使用舊密碼的使用者帳戶

  • 曝險指標 (IoE) 分析 — 內部部署使用者現在可停用預設 Tenable 安全性設定檔的曝險指標 (IoE) 分析，以減少資源的使用，並降低安全性分析延遲時間。若要建置此項目，需將安全引擎節點 (SEN) 上的 ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile 環境變數設為 true ，然後重新啟動 Cygni 服務。

• 報告中心：可透過此功能使用簡化的報告建立程序，以報告形式匯出重要資料並提供給組織的主要利害關係人。如需更多資訊，請參閱《Tenable Identity Exposure 管理員指南》中的「報告中心」章節。

• 儀表板範本：即用型範本，可協助您聚焦於和組織有關的優先問題，例如合規姓、風險、密碼管理和使用者/管理員監控。如需詳細資訊，請參閱《Tenable Identity Exposure 使用者指南》中的「儀表板」章節。

• 平台運作狀況檢查功能：Tenable Identity Exposure 以整合檢視畫面列出所執行的平台運作狀況檢查，讓您能夠及時調查並解決設定異常。如需詳細資訊，請參閱《Tenable Identity Exposure 管理員指南》中的「運作狀況檢查」章節。

• 上線：為增強安全性，上線處理程序現在會要求使用者在第一次登入時，變更系統提供的初次登入預設憑證。Tenable Identity Exposure 也增強了新密碼的規則。

• 延展性：Tenable Identity Exposure 改善了服務端的攻擊指標效能，以處理更大規模的相關事件，進而改善攻擊指標 (IoA) 的準確性和延遲。如需詳細資訊，請參閱《Tenable Identity Exposure 安裝指南》中的「擴大 Tenable Identity Exposure 服務」章節。

• 追蹤流程

  • 一旦出現變更，Tenable Identity Exposure 就會立即收到來自 Active Directory 的事件。不過，針對大型群組中的高頻率變更，會將彙總事件延後 10 分鐘，再通知系統其餘部分，藉此防止效能問題。

  • 現在可以按日期和時間篩選追蹤流程事件。

Tenable Identity Exposure 3.59.4 版包含自 3.42 版起的所有錯誤修正。

Tenable Identity Exposure 內部部署版本 3.59.4 提供重要的增強內容，可以保護您的 Active Directory 基礎架構。此版本包含對於特定相依性的更新，將優先考量軟體安全性，並確保使用最新版的元件以改善防護功能。元件為：

• 儲存管理員 (SM)

• 安全引擎節點 (SEN)

• 目錄接聽程式 (DL)

Tenable Identity Exposure 3.42.18 版包含下列修補程式：

Tenable Identity Exposure 內部部署版本 3.42.11 提供重要的增強內容，可以保護您的 Active Directory 基礎架構。此版本包含對於特定相依性的更新，將優先考量軟體安全性，並確保使用最新版的元件以改善防護功能。