Tenable Identity Exposure 2024 版本資訊

• 電腦無法顯示為異常情況，這是「沒有委派防護措施」所致。Tenable Identity Exposure 已處理並解決與此問題相關的所有現有異常情況。

• 改進曝險指標 (IoE)：在使用者帳戶的 Kerberos 設定曝險指標 (IoE) 中，使用智慧卡的使用者不會遭受 AS-REP Roasting 攻擊，Tenable Identity Exposure 也不會再將此情形標記為安全性問題。

• 改進攻擊指標 (IoA)：

  • 密碼猜測 — 新選項「偵測時間間隔」會指定要經過多少分鐘，才會將失敗登入嘗試歸類為進行中的潛在攻擊。

  • 本機管理員列舉

    • 將進行中的潛在攻擊分類時，新選項「存取清單」僅考慮從「已檢查網路共享物件」事件擷取的特定存取權。此清單僅適用於積極模式。

    • 「使用版本舊於 Windows Server 2016 的網域控制器的啟發式」選項的預設值目前為「False」。

  • DCSync —「允許不明來源」選項的預設值目前為「False」。

  • NTDS 擷取 —「基本模式」下的全新「拒絕清單」：diskshadow、ntdsutil、esentutl、esentutldefrag mode、vssown、copy-vss、wmi-based technique、psexec_ntds_grab、 wmiprvse、vssadmin、vss、impacket-secretsdump、vss_requestor、VeeamGuestHelper、WMI-based technique。

  • 憑證傾印 LSASS 記憶體 —「基本模式」下的全新「拒絕清單」：mimikatz、taskmgr、ipconfig、arp、powershell、net、auditpol、whoami、cmd、route、processhacker、net1、csc、procdump、osqueryi。

Tenable Identity Exposure 3.67 版包含下列錯誤修正：

攻擊指標 (IoA) — 下列攻擊指標 (IoA) 的新選項可減少誤報。詳情請參閱《攻擊指標參考指南》。

注意：從此版本開始，每個安全性設定檔的所有攻擊指標 (IoA) 都預設將「積極模式」選項設為「False」。您可以針對個別安全性設定檔的攻擊指標 (IoA)，將此選項切換為「True」。

• 可疑的 DC 密碼變更 — 新選項：

  • 「積極模式」：

• True：無論使用者是否經過驗證，皆偵測攻擊。

• False (預設)：僅偵測經過驗證的使用者。

• 「密碼變更間隔」：在「積極模式」中，此選項可指定兩次密碼變更之間的時間間隔 (預設為 30 天)。

• DCSync — 新選項：

• 「積極模式」：

  • True：根據可能出現大量誤報的攻擊指標 (IoA) 規則觸發所有攻擊。

  • False (預設)：只有當電腦不在網域內時，才觸發攻擊。這樣能偵測到的攻擊會減少，但可以避免誤報。

增強功能

• 縮短根據原則結果集 (RSoP) 的曝險指標運算時間後，導致與 RSoP 相關的異常情況運算變慢。詳情請參閱 Tenable Identity Exposure 使用者指南中的根據 RSoP 的曝險指標。

• 新增支援，可限制角色權限管理中 Entra ID 租用戶的資料瀏覽權限。

Tenable Identity Exposure 3.66 版包含下列錯誤修正：

攻擊指標 (IoA) — 下列攻擊指標 (IoA) 的新預設值可減少誤報。詳情請參閱《攻擊指標參考指南》。

• Golden Ticket — 新的「積極模式」選項：

  • False (基本、預設)：僅在目標使用者為網域控制者，或使用者屬於網域管理員群組時觸發攻擊。

  • True：即使目標使用者名稱不是「網域管理員」群組的成員或網域控制者，也允許攻擊。同時，即使某些網域控制者未受監控 (換言之，他們不會提供任何 Windows 事件記錄)，也允許攻擊。

• SAMAccountName 假冒 — 新的「積極模式」選項：

  • False (基本、預設)：如果 TargetUserName 不是網域控制者 (DC)，則不觸發攻擊。

  • True：根據可能出現大量誤報的攻擊指標 (IoA) 規則觸發所有攻擊。

• 作業系統憑證傾印：LSASS 記憶體 — 新的選項

  • 「積極模式」選項：

  • False (基本、預設)：攻擊指標 (IoA) 識別該工具，並僅將預定義的處理程序視為不正當。

  • True：攻擊指標 (IoA) 會將所有未列於允許清單中的攻擊工具視為不正當。

  • 「積極模式中允許的處理程序」選項：為選用選項，且僅在「積極模式」選項 = True 時適用。

  • 「基本模式 - 拒絕清單」：在基本模式下，只有指定的工具可以觸發攻擊。

• NTDS 擷取 — 新的選項

  • 「積極模式」選項：

• False (基本、預設)：攻擊指標 (IoA) 識別該工具，並僅將預定義的處理程序視為不正當。

• True：攻擊指標 (IoA) 會將所有未列於允許清單中的攻擊工具視為不正當。

• 「基本模式 - 拒絕清單」：在基本模式下，只有指定的工具可以觸發攻擊。

• 「基本模式攻擊列入白名單的處理程序」(前稱「列入白名單的處理程序」)：為選用選項，且僅在「積極模式」選項 = True 時適用。

• 大規模電腦偵察 — 以下選項有新的預設值：

  • 電腦數量 — 5000

  • 電腦的最少數量 — 100

  • 電腦百分比 — 95

  • 滑動視窗 — 240

  • 攻擊之間的等待時間 — 240

• 密碼猜測 — 以下選項有新的預設值：

  • 多次嘗試失敗的帳戶數量 — 10000

• 本機系統管理員列舉 —「使用 Windows Server 2016 之前版本的網域控制器啟發式」選項現在預設為「False」。

曝險指標 (IoE)

• 新曝險指標 (IoE)

• 特權驗證獨立環境設定 — 提供為特權 (第 0 層) 帳戶設定驗證獨立環境的逐步指南。

• 特權 AD 使用者帳戶已與 Microsoft Entra ID 同步 — 檢查該特權 Active Directory 使用者帳戶是否未與 Microsoft Entra ID 同步。

• 增強功能

  • 危險的 Kerberos 委派曝險指標 (IoE) — 導入偵測 Microsoft Entra Connect 帳戶 (AZUREADSSOACC) 上 Kerberos 委派目前設定的新原因。

  • 可逆密碼曝險指標 (IoE) — 根據密碼設定物件 (PSO) 中的 msDS-PasswordReversibleEncryptionEnabled 屬性所定義的設定，驗證設定為以可逆轉格式儲存的密碼。

  • 本機系統管理帳戶管理曝險指標 (IoE) — 新支援新版 Microsoft 本機管理員密碼解決方案 (LAPS)，並導入一個名為「已安裝 LAPS 版本」的新選項，同時根據使用者的選擇驗證 LAPS 版本的設定。

Tenable Identity Exposure 3.65 版包含下列錯誤修正：

Tenable Identity Exposure 3.64 版包含下列錯誤修正：

• 攻擊指標：攻擊指標憑證傾印：LSASS 記憶體和 NTDS 擷取中的「獲允許的處理程序」選項包含已知會引發誤報的處理程序。

Tenable Identity Exposure 3.63 版包含下列錯誤修正：