Tenable Identity Exposure 2024 版本資訊
這些版本資訊依時間新到舊列出。
Tenable Identity Exposure 3.67 (2024-03-21)
-
電腦無法顯示為異常情況,這是「沒有委派防護措施」所致。Tenable Identity Exposure 已處理並解決與此問題相關的所有現有異常情況。
-
改進曝險指標 (IoE):在使用者帳戶的 Kerberos 設定曝險指標 (IoE) 中,使用智慧卡的使用者不會遭受 AS-REP Roasting 攻擊,Tenable Identity Exposure 也不會再將此情形標記為安全性問題。
-
改進攻擊指標 (IoA):
-
密碼猜測 — 新選項「偵測時間間隔」會指定要經過多少分鐘,才會將失敗登入嘗試歸類為進行中的潛在攻擊。
-
本機管理員列舉
-
將進行中的潛在攻擊分類時,新選項「存取清單」僅考慮從「已檢查網路共享物件」事件擷取的特定存取權。此清單僅適用於積極模式。
-
「使用版本舊於 Windows Server 2016 的網域控制器的啟發式」選項的預設值目前為「False」。
-
-
DCSync —「允許不明來源」選項的預設值目前為「False」。
-
NTDS 擷取 —「基本模式」下的全新「拒絕清單」:diskshadow、ntdsutil、esentutl、esentutldefrag mode、vssown、copy-vss、wmi-based technique、psexec_ntds_grab、 wmiprvse、vssadmin、vss、impacket-secretsdump、vss_requestor、VeeamGuestHelper、WMI-based technique。
-
憑證傾印 LSASS 記憶體 —「基本模式」下的全新「拒絕清單」:mimikatz、taskmgr、ipconfig、arp、powershell、net、auditpol、whoami、cmd、route、processhacker、net1、csc、procdump、osqueryi。
-
Tenable Identity Exposure 3.67 版包含下列錯誤修正:
錯誤修正 |
---|
現在當您修改以下攻擊指標 (IoA) 設定的下列選項時,Tenable Identity Exposure 會正確更新安全性設定檔:
|
如果您擁有 Tenable One 授權,使用者建立作業會在 Tenable Vulnerability Management 中進行,並套用至 Tenable Identity Exposure。在此情況下,當您按一下 Tenable Identity Exposure 中的「建立使用者」按鈕時,系統會顯示一則訊息,將您導向至 Tenable Vulnerability Management 以建立使用者。 |
Tenable Identity Exposure 現在會在曝險指標 (IoE) 窗格中顯示所有 Entra ID 曝險指標 (IoE)。 |
現在安裝或升級之後,可以在 C:\Tenable\Logs 取得 MSI 記錄檔。 |
Tenable Identity Exposure 3.66 (2024-03-11)
攻擊指標 (IoA) — 下列攻擊指標 (IoA) 的新選項可減少誤報。詳情請參閱《攻擊指標參考指南》。
注意:從此版本開始,每個安全性設定檔的所有攻擊指標 (IoA) 都預設將「積極模式」選項設為「False」。您可以針對個別安全性設定檔的攻擊指標 (IoA),將此選項切換為「True」。
-
可疑的 DC 密碼變更 — 新選項:
-
「積極模式」:
-
True:無論使用者是否經過驗證,皆偵測攻擊。
- False (預設):僅偵測經過驗證的使用者。
「密碼變更間隔」:在「積極模式」中,此選項可指定兩次密碼變更之間的時間間隔 (預設為 30 天)。
-
DCSync — 新選項:
「積極模式」:
True:根據可能出現大量誤報的攻擊指標 (IoA) 規則觸發所有攻擊。
False (預設):只有當電腦不在網域內時,才觸發攻擊。這樣能偵測到的攻擊會減少,但可以避免誤報。
增強功能
-
縮短根據原則結果集 (RSoP) 的曝險指標運算時間後,導致與 RSoP 相關的異常情況運算變慢。詳情請參閱 Tenable Identity Exposure 使用者指南中的根據 RSoP 的曝險指標。
-
新增支援,可限制角色權限管理中 Entra ID 租用戶的資料瀏覽權限。
Tenable Identity Exposure 3.66 版包含下列錯誤修正:
錯誤修正 |
---|
作業系統憑證傾印 LSASS 攻擊指標 (IoA) — Tenable Identity Exposure 現在會將啟用「積極模式」選項時指定的允許清單納入考量。 |
Tenable Identity Exposure 實行新機制,使用節流措施來限制變更,讓資料庫可以應對處理多個 badPwdCount 屬性修改的情況,強化穩定性。 |
Tenable Identity Exposure 已更新中文的命名規則。 |
Tenable Identity Exposure 3.65 (2024-02-27)
攻擊指標 (IoA) — 下列攻擊指標 (IoA) 的新預設值可減少誤報。詳情請參閱《攻擊指標參考指南》。
-
Golden Ticket — 新的「積極模式」選項:
-
False (基本、預設):僅在目標使用者為網域控制者,或使用者屬於網域管理員群組時觸發攻擊。
-
True:即使目標使用者名稱不是「網域管理員」群組的成員或網域控制者,也允許攻擊。同時,即使某些網域控制者未受監控 (換言之,他們不會提供任何 Windows 事件記錄),也允許攻擊。
-
-
SAMAccountName 假冒 — 新的「積極模式」選項:
-
False (基本、預設):如果 TargetUserName 不是網域控制者 (DC),則不觸發攻擊。
-
True:根據可能出現大量誤報的攻擊指標 (IoA) 規則觸發所有攻擊。
-
-
作業系統憑證傾印:LSASS 記憶體 — 新的選項
-
「積極模式」選項:
-
False (基本、預設):攻擊指標 (IoA) 識別該工具,並僅將預定義的處理程序視為不正當。
-
True:攻擊指標 (IoA) 會將所有未列於允許清單中的攻擊工具視為不正當。
-
「積極模式中允許的處理程序」選項:為選用選項,且僅在「積極模式」選項 = True 時適用。
-
「基本模式 - 拒絕清單」:在基本模式下,只有指定的工具可以觸發攻擊。
-
-
NTDS 擷取 — 新的選項
-
「積極模式」選項:
-
False (基本、預設):攻擊指標 (IoA) 識別該工具,並僅將預定義的處理程序視為不正當。
True:攻擊指標 (IoA) 會將所有未列於允許清單中的攻擊工具視為不正當。
「基本模式 - 拒絕清單」:在基本模式下,只有指定的工具可以觸發攻擊。
「基本模式攻擊列入白名單的處理程序」(前稱「列入白名單的處理程序」):為選用選項,且僅在「積極模式」選項 = True 時適用。
-
大規模電腦偵察 — 以下選項有新的預設值:
-
電腦數量 — 5000
-
電腦的最少數量 — 100
-
電腦百分比 — 95
-
滑動視窗 — 240
-
攻擊之間的等待時間 — 240
-
-
密碼猜測 — 以下選項有新的預設值:
-
多次嘗試失敗的帳戶數量 — 10000
-
-
本機系統管理員列舉 —「使用 Windows Server 2016 之前版本的網域控制器啟發式」選項現在預設為「False」。
曝險指標 (IoE)
-
新曝險指標 (IoE)
- 特權驗證獨立環境設定 — 提供為特權 (第 0 層) 帳戶設定驗證獨立環境的逐步指南。
特權 AD 使用者帳戶已與 Microsoft Entra ID 同步 — 檢查該特權 Active Directory 使用者帳戶是否未與 Microsoft Entra ID 同步。
-
增強功能
-
危險的 Kerberos 委派曝險指標 (IoE) — 導入偵測 Microsoft Entra Connect 帳戶 (AZUREADSSOACC) 上 Kerberos 委派目前設定的新原因。
-
可逆密碼曝險指標 (IoE) — 根據密碼設定物件 (PSO) 中的 msDS-PasswordReversibleEncryptionEnabled 屬性所定義的設定,驗證設定為以可逆轉格式儲存的密碼。
-
本機系統管理帳戶管理曝險指標 (IoE) — 新支援新版 Microsoft 本機管理員密碼解決方案 (LAPS),並導入一個名為「已安裝 LAPS 版本」的新選項,同時根據使用者的選擇驗證 LAPS 版本的設定。
-
Tenable Identity Exposure 3.65 版包含下列錯誤修正:
錯誤修正 |
---|
Tenable Identity Exposure 解決了與 Microsoft Entra ID 租用戶刪除相關的問題。在未修正以前,當使用者點選刪除垃圾桶圖示時,之前取得的某些資產可能會繼續存在。目前的解決方案可確保在此處理程序期間完全刪除所有資產。 |
Tenable Identity Exposure 已解決低權限本機使用者可在 Tenable Identity Exposure 安全轉送主機上修改應用程式檔案的插入弱點。 |
Tenable Identity Exposure 已修正因 null 值導致的查詢不成功問題,此問題可能是資料庫中的資料不一致所致。例如,如果緊湊型權限指派給尚未達到必要軟體工廠 (SF) 的資產,就可能發生此問題。 |
Tenable Identity Exposure 已增強攻擊路徑功能,以防止在某些罕見的情況下,可能在初始化處理程序期間發生當機的情形。 |
Tenable Identity Exposure 已實行新機制,確保資料庫可在不影響完整性或效能的情況下,處理對 badPwdCount 屬性的多個修改。 |
Tenable Identity Exposure 3.64 (2024-02-07)
Tenable Identity Exposure 3.64 版包含下列錯誤修正:
錯誤修正 |
---|
攻擊指標可疑的 DC 密碼變更已解決與 Windows Server 2008 R2 系統 (預設每 30 天變更一次密碼) 相關的誤報問題。 |
Tenable Identity Exposure 3.63 (2024-01-24)
-
攻擊指標:攻擊指標憑證傾印:LSASS 記憶體和 NTDS 擷取中的「獲允許的處理程序」選項包含已知會引發誤報的處理程序。
Tenable Identity Exposure 3.63 版包含下列錯誤修正:
錯誤修正 |
---|
在移除拓撲網域的關聯網域後,Tenable Identity Exposure 不會再顯示該拓撲網域。 |
Microsoft Entra ID 目前的掃描狀態現在會指示掃描失敗的錯誤,即使之前的掃描成功亦然。 |
Tenable Identity Exposure 現會在 Syslog 警示設定更新後正確重新整理 CA 憑證。 |
Tenable Identity Exposure 的內部技術資料不會再作為資產傳輸至 Tenable Cloud。 |
密碼脆弱程度偵測曝險指標中,與重複使用密碼相關的異常情況現會暴露危險密碼雜湊前置字元。 |
在分析因缺少主機名稱導致來源「不明」的 4776 事件時,Tenable Identity Exposure 現可根據密碼噴濺攻擊指標中的「允許不明來源」選項篩選出此異常情況。 |
Tenable Identity Exposure 3.62 (2024-01-10)
Tenable Identity Exposure 3.62 版包含下列錯誤修正:
錯誤修正 |
---|
在建立名稱超過 500 個字元的屬性時,Tenable Identity Exposure 現在會運算 SYSVOL 檔案。 |
安全轉送現在會反映對 SYSLOG 設定作出的修改,以便將 SYSLOG 的訊息流重新啟用至 SIEM。 |
曝險指標 (IoE) 勒索軟體防範強化措施不足現在可正確管理允許清單排除項目。 |
Tenable Identity Exposure 解決了影響以下曝險指標 (IoE) 中特權群組正確資格的問題:標準使用者上設定的 AdminCount 屬性、特權群組中的已停用帳戶、特權帳戶執行 Kerberos 服務以及帳戶上的對應憑證。 |
現在 Microsoft EntraID 掃描狀態的精準度提升,能夠在出現問題時提供更清楚的指示。 |