Tenable Identity Exposure 2025 年內部部署版本資訊

• SMTP OAuth 警示：新增對 OAuth 的支援，這是 Microsoft 365 用於警示功能的現代化安全驗證通訊協定。

  詳情請參閱 Tenable Identity Exposure 使用者指南中的 Microsoft 365 SMTP OAuth 設定。

Tenable Identity Exposure 3.77.12 版包含下列錯誤修正：

• 曝險中心：可增強貴組織身分安全狀態的功能。此功能可識別整個身分風險破綻的脆弱環節和錯誤設定，涵蓋基礎身分系統 (例如 Entra ID) 以及這些系統內的身分。

  • 曝險概覽功能可搭配 Active Directory 和/或 Entra ID 資料使用。

  • 曝險情況功能目前僅適用於 Entra ID 資料。

• Identity 360：此為以身分為核心的全新功能，可針對組織中身分風險範圍內的所有身分提供詳盡的清單，並將來自 Active Directory 和 Entra ID 的身分統合在一起，讓您能根據風險評估和排序，快速識別並優先處理環境中最容易遭受攻擊的身分。

  • Identity 360 功能可搭配 Active Directory 和/或 Entra ID 資料使用。

  提示：若要使用 Tenable 雲端式功能，必須啟用特定設定，才能將資料分享到 Tenable 雲端進行分析。如需操作指示，請參閱啟用 Identity 360、曝險中心和 Microsoft Entra ID 支援和 Tenable 雲端資料收集。

Active Directory (AD) 曝險指標 (IoE)

• 機密 Exchange 權限：此曝險指標 (IoE) 管理與網域內 Exchange 群組和資源相關的權限。現在，系統只會顯示所有源自 Exchange 或以 Exchange 為目標的權限，讓其他曝險指標 (IoE) 的資訊更加一目瞭然。

• Exchange 群組成員：此曝險指標 (IoE) 會追蹤機密 Exchange 群組的成員。

• 不支援或過時的 Exchange 伺服器：此曝險指標 (IoE) 會偵測 Microsoft 不再支援的過時 Exchange 伺服器，以及尚未安裝最新累積更新的 Exchange 伺服器。為了維護 Exchange 環境的安全性並確保獲得完整支援，請及時解決過時或未安裝修補程式的伺服器問題。若未及時處理，就會增加遭到刺探利用的風險，使您的組織面臨資料外洩和勒索軟體攻擊。

• 危險的 Exchange 錯誤設定會列出影響 Exchange 資源或其底層 Active Directory 結構描述物件的錯誤設定。

• Exchange 群組成員：此曝險指標 (IoE) 會追蹤機密 Exchange 群組的成員。

• ADCS 危險的錯誤設定：此曝險指標 (IoE) 會識別允許隱含主體成為 AD 群組成員的核發原則 (企業 OID)。

• 沒有電腦強化 GPO 的網域：此曝險指標 (IoE) 會檢查 GPO 設定「封鎖 SMB 上的 NTLM」。

其他功能

• 運作狀況檢查：此為新的網域運作狀況檢查，可針對每個網域識別並解決已知錯誤，藉此增強攻擊指標部署的可靠度。詳情請參閱 Tenable Identity Exposure 使用者指南中關於運作狀況檢查的內容。

• 可用性：Tenable Identity Exposure 現在會協助客戶瞭解五眼聯盟及其相關公民機構最近的報告。

曝險指標

• 單一成員的 AD/Entra 群組：此曝險指標 (IoE) 現在會在「為什麼這很重要」說明中顯示群組成員。

• 擁有憑證的第一方服務主體：此曝險指標 (IoE) 現在會在「為什麼這很重要」說明中顯示經識別憑證的詳細資料。

• 單一成員的 AD/Entra 群組和無成員的群組：為了讓呈現的結果更精確實用，這些曝險指標 (IoE) 現在只會計算直接成員。

• 帳戶上的對應憑證

  • 此曝險指標 (IoE) 現在會回報低強度顯式憑證對應，以應對 AD CS ESC14 濫用手法。

  • 此曝險指標 (IoE) 先前僅會回報具有 X509IssuerSubject 和 X509SubjectOnly 兩種對應的特權使用者。現在已將原始範圍擴大，納入 X509RFC822、X509IssuerSerialNumber、X509SKI 和 X509SHA1PublicKey 等額外對應類型。

• 沒有電腦強化 GPO 的網域：與 Windows Defender Credential Guard 安全功能相關的新檢查，以保護記憶體內憑證。

• 確保 SDProp 一致性：提供更實用的建議。

• 影子憑證: 針對 Return of Coppersmith’s Attack (ROCA)，提供更實用的修復建議。導入新選項，可在停用「裝置回寫」功能時，移除與 Entra ID 混合環境相關的可能誤報。這會影響此曝險指標 (IoE) 中的「孤立金鑰認證」原因。

• 受管理服務帳戶的危險錯誤設定：此曝險指標 (IoE) 經過改善，現在支援群組，讓控制 gMSA 存取權更簡單。

• 自訂安全設定檔：針對適用的曝險指標 (IoE) 改善了「允許的物件所有者 (依群組成員資格)」選項說明。

• 增加兩個新選項，可根據群組成員資格加強對物件所有權和權限的控制:

  • 獲准的物件所有者 (依群組成員資格)：允許根據群組成員資格，將安全性主體指定為物件所有者。

  • 獲准的信任者清單 (依群組成員資格)：允許根據群組成員資格，將特殊權限指派給安全性主體。

• Netlogon 通訊協定的不安全設定：Tenable Identity Exposure 現在會將「跳過登錄機碼檢查」選項的預設值設定為「true」。此變更假設使用者已套用 2021 年 2 月 9 日的更新。此修改僅適用於預設設定檔，自訂設定檔不受影響。

• 密碼管理風險：在儀表板範本中新增了密碼弱點偵測曝險指標 (IoE) 小工具。

• 根物件權限允許類似 DCSync 的攻擊：現在新增了「保留 MSOL_* 帳戶」選項，用以排除此類帳戶並減少誤報。根據預設，此選項在安全性設定檔中處於停用狀態，因此這個曝險指標 (IoE) 不會將 MSOL_* 帳戶標記為異常。

攻擊指標

• Golden Ticket 攻擊指標 (IoA)：已改善攻擊媒介文字。

• 如果 DCSync 的來源源自前置詞為 MSOL_ (採用硬式編碼且僅適用於基本模式) 的使用者名稱，便不會觸發警示。

• 如果目標 IP 不明，本機管理員列舉不會觸發警示。

• 只有在攻擊者偽造 TGT 然後通過驗證時，Golden Ticket 才會觸發警示 (僅限基本模式)。

• 如果工具屬於 Arctic Wolf Networks，作業系統認證傾印：LSASS 記憶體不會觸發警示 (僅限基本模式)。

• 這些攻擊指標不會再於下列情況中觸發警示：

  • DC 同步：當來源是與 Azure ADConnect 工具相關的使用者或主機名稱時 (僅限基本模式)。

  • NTDS 擷取：當來源工具是 VSS Requestor 或 Veeam (正當備份工具) 時。

  • 列舉本機管理員：當攻擊指標 (IoA) 找不到來源使用者 SID 時 (僅限基本模式)。

  • Petit Potam：當攻擊指標 (IoA) 無法擷取相關聯的登入事件時。

  • Golden Ticket：當攻擊指標 (IoA) 無法擷取來源媒介時 (僅限基本模式)。

其他增強內容

• 當深入研究相關弱點時，Identity 360 和曝險概覽現在會重新導向至曝險情況頁面。

• 目錄服務中的信任屬性和類型

  • trustType 屬性現在支援 TTAAD (TRUST_TYPE_AAD) 值。

  • trustAttributes 屬性現在支援 TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION) 值。

• Tenable One 容器變更：為了確保最佳產品使用體驗，Tenable Identity Exposure 現在會禁止在上傳新的授權檔案時切換至其他 Tenable One 容器。

• 匯出功能：使用者可以在匯出 CSV 檔案時選擇分隔符號 (逗號或分號)，依照使用情況彈性調整。瀏覽器會記住上次使用的分隔字元以供之後匯出使用。

• Identity 360：已改善頁面載入時間，例如「存取權和權限」索引標籤中的資產詳細資料。

• 收集 AD 網域資料的權限：現在當使用者介面中停用特權分析功能時，會隱藏「已授予收集特權資料的權限」詳細資料。為了讓此功能正常運作，請確認您的轉送處於最新狀態。

Tenable Identity Exposure 3.93 版包含下列錯誤修正：

Tenable Identity Exposure 3.77.10 版包含下列錯誤修正：

• Tenable Identity Exposure 簡化了復原程序，可以有效地將環境還原為之前的狀態，確保沒有殘留任何不必要的內容或有不一致的情況。

  新增必要條件：在初始化復原程序前，確保儲存管理工具至少有 20 GB 的可用磁碟空間。詳情請參閱《Tenable Identity Exposure 使用者指南》中的「資源大小調整」一節。

Tenable Identity Exposure 3.77.9 版包含下列錯誤修正：