2025 年 Tenable Identity Exposure 版本資訊

• 曝險中心：移除「曝險概覽」中對弱點優先順序評分 (VPR) 的參照，因為 Tenable Identity Exposure 不會為與身分相關的曝險指標填入這些分數。

Tenable Identity Exposure 3.87 版包含下列錯誤修正：

• 曝險中心：曝險中心是 Tenable Identity Exposure 的一項功能，可增強組織的身分安全狀態。此功能可識別整個身分風險破綻的脆弱環節和錯誤設定，涵蓋基礎身分系統 (例如 Entra ID) 以及這些系統內的身分。

  此功能的使用者體驗圍繞三個相互關聯的概念展開：曝險概覽、曝險執行個體和研究發現。Tenable Research 透過新的安全引擎和專門開發的曝險指標 (IoE) 來支援這些概念，以驅動其功能。

  如需詳細資訊，請參閱《Tenable Identity Exposure 使用者指南》中關於曝險中心的內容。

• Entra ID 的新曝險指標

  名稱	說明
  標準帳戶註冊應用程式的能力	根據預設，任何 Entra 使用者皆可在租用戶內註冊應用程式。儘管此功能十分方便，而且不會立即造成安全性弱點，但確實存在某些風險。因此，為遵循最佳做法，Tenable 建議停用此功能。
  允許多重租用戶驗證的應用程式	如果在沒有完全認知的情況下即啟用此設定，同時沒有在應用程式程式碼內實作適當的授權檢查，則允許多租用戶驗證的 Entra 應用程式可能會將未經授權的存取權提供給惡意使用者。
  條件式存取原則停用持續存取評估	持續存取評估是 Entra ID 的一種安全功能，可針對安全性原則變更或使用者狀態更新提供快速反應。因此，請勿停用此功能。
  影響租用戶的危險應用程式權限	Microsoft 在 Entra ID 中公開 API，以允許第三方應用程式自行在 Microsoft 服務中執行動作 (稱為「應用程式權限」)。特定權限可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅。
  影響租用戶的危險委派權限	Microsoft 在 Entra ID 中公開 API，以允許第三方應用程式自行在 Microsoft 服務中執行動作 (稱為「應用程式權限」)。特定權限可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅。
  已停用指派給特權角色的帳戶	若要擁有合理的帳戶管理流程，必須監控特權角色中的指派情況。
  休眠裝置	休眠裝置會構成安全性風險，例如過時的設定和未修補的弱點。若未進行定期監控和更新，這些過時裝置可能會成為攻擊者刺探利用的目標，進而危及租用戶完整性和資料機密性。
  休眠非特權使用者	休眠非特權使用者會構成安全性風險，因為攻擊者可能會利用此類使用者進行未經授權的存取。若未定期監控和停用，這些過時使用者會透過擴大攻擊破綻，來建立惡意活動的潛在進入點。
  休眠特權使用者	休眠特權使用者會構成安全性風險，因為攻擊者可能會利用此類使用者進行未經授權的存取。若未定期監控和停用，這些過時使用者會透過擴大攻擊破綻，來建立惡意活動的潛在進入點。
  具有可惡意利用規則的動態群組	攻擊者可操控可自行修改的屬性，將自己新增為群組成員，藉此攻擊 Microsoft Entra ID 中的動態群組。此操控會導致特權提升和未經授權存取與群組相關的敏感資源。
  空白 Entra 群組	空白群組可能導致混淆、危及安全性，並且造成資源未使用。一般而言，建議建立群組的明確用途，並確保其中包含相關成員。
  Entra 安全性預設未啟用	Entra ID 安全性預設提供預先設定的 Microsoft 建議設定，以增強租用戶保護。
  同盟網域清單	惡意的同盟網域設定是常見的威脅，攻擊者會利用此設定作為 Entra ID 租用戶的驗證後門程式。為確保同盟網域設定可信任且正當，驗證現有和新加入的同盟網域至關重要。此曝險指標提供同盟網域及其相關屬性的完整清單，可協助您針對其安全性狀態做出明智決策。
  同盟簽署憑證不符	Microsoft Entra ID 可透過同盟的方式，將驗證工作委派給其他提供者。但是，提升特權後的攻擊者可以新增惡意權杖簽署憑證來利用此功能，進而達到潛伏和特權提升的目的。
  擁有憑證的第一方服務主體	第一方服務主體擁有強大的權限，但因其大量、缺乏能見度以及 Microsoft 擁有權而經常被忽略。攻擊者利用此弱點的方式是將憑證新增至這些主體，然後隱蔽地利用主體的特權來進行特權提升和潛伏。
  具有特權角色的訪客帳戶	訪客帳戶是外部身分，當其獲指派特權角色時可能會構成安全性風險。這樣會將租用戶內的大量特權授予組織外部的人員。
  具有與一般帳戶同等存取權的訪客帳戶	建議不要將 Entra ID 設定為將訪客視為一般使用者，因為這樣可能會讓惡意訪客能夠對租用戶的資源進行全面偵察。
  管理員數量過多	管理員數量過多會增加攻擊破綻，並且由於提升特權而造成安全性風險。這也表示未維護最低特權的原則。
  已知的同盟網域後門程式	Microsoft Entra ID 可透過同盟的方式，將驗證工作委派給其他提供者。但是，獲得提高的特權的攻擊者可以新增惡意同盟網域來利用此功能，進而達到潛伏和特權提升的目的。
  未封鎖舊型驗證	舊型驗證方法不支援多因素驗證 (MFA)，攻擊者可藉此繼續執行暴力密碼破解、憑證填充和密碼噴濺攻擊。
  非特權帳戶缺少多因素驗證	MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。
  特權帳戶缺少多因素驗證	MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。
  特權角色不需要進行多因素驗證	MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，尤其是針對擁有指定特權角色的特權帳戶。
  有風險的登入不需要進行多因素驗證	MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是針對有風險的登入要求 MFA，例如當驗證要求可能不是來自合法身分所有者時。
  從未使用過的裝置	避免使用預先建立且從未使用過的裝置帳戶，因為這些帳戶代表安全性狀況不佳，並可能造成潛在的安全性風險。
  從未使用過的非特權使用者	從未使用過的非特權使用者帳戶易受攻擊，因為其通常會規避防禦措施的偵測。此外，此類帳戶的預設密碼也使其成為攻擊者的主要目標。
  從未使用過的特權使用者	從未使用過的特權使用者帳戶易受攻擊，因為其通常會規避防禦措施的偵測。此外，此類帳戶的預設密碼也使其成為攻擊者的主要目標。
  未針對內部部署環境啟用密碼保護	Microsoft Entra 密碼保護是一種安全功能，可防止使用者設定容易猜到的密碼，以加強組織中的整體密碼安全性。
  特權帳戶命名慣例	Entra ID 中特權使用者的命名慣例對於安全性、標準化、稽核合規性以及方便管理極為重要。
  與 Active Directory 同步的特權 Entra 帳戶 (混合帳戶)	在 Entra ID 中擁有特權角色的混合帳戶 (即從 Active Directory 同步) 會帶來安全性風險，因為入侵 AD 的攻擊者可利用此類帳戶轉而入侵 Entra ID。Entra ID 中的特權帳戶必須為僅限雲端帳戶。
  擁有 Microsoft 365 服務存取權限的特權 Entra 帳戶	針對管理工作維護個別的 Entra 帳戶：針對日常使用的標準帳戶以及針對管理活動的專屬特權帳戶。這個方法可將特權帳戶的攻擊破綻減至最少，進而增強安全性。
  公用 Microsoft 365 群組	Entra ID 中儲存的 Microsoft 365 群組為公用或私有。公用群組會構成安全性風險的原因是租用戶內的任何使用者皆可加入群組並取得其資料 (Teams 聊天記錄/檔案、電子郵件等) 的存取權。
  在 Microsoft Authenticator 通知中顯示其他背景資訊	為提高能見度，請啟用 Microsoft Authenticator 通知以顯示其他背景資訊，例如應用程式名稱和地理位置。如此可協助使用者識別並拒絕潛在的惡意 MFA 或無密碼驗證要求，進而有效緩解 MFA 疲勞攻擊的風險。
  單一成員的 Entra 群組	不建議建立只有一個成員的群組，因為這樣會引入不必要的冗餘和複雜性。這樣的做法會增加額外的管理層級，進而影響群組設計在簡化存取控制和管理方面的效率。
  可疑目錄同步處理帳戶角色指派	「目錄同步處理帳戶」是隱藏在 Azure 和 Entra ID 入口網站內的特權 Entra 角色，通常是為 Microsoft Entra Connect (前稱 Azure AD Connect) 服務帳戶指定。不過，惡意執行者可能會利用此角色來發動隱密攻擊。
  已啟用臨時存取密碼功能	臨時存取密碼 (Temporary Access Pass，簡稱 TAP) 功能是一種使用有時間限制或使用限制之密碼的臨時驗證方法。雖然這是合法功能，但是在您的組織不需要時，將其停用以減少攻擊破綻會是比較安全的做法。
  不受限制的訪客帳戶	根據預設，Entra ID 會限制訪客使用者的存取權，以降低其在租用戶內的能見度。您可以透過加強這些限制，進一步增強安全性和隱私性。
  應用程式的不受限制使用者同意	Entra ID 允許使用者自行同意外部應用程式存取組織資料，攻擊者可在「非法同意授予」攻擊中惡意利用此弱點。藉由限制已驗證發布者的存取權或要求系統管理員核准可防止此情況發生。
  異常同盟簽署憑證有效期	同盟簽署憑證有效期限異常長是可疑的情況，因為這可能表示攻擊者已在 Entra ID 中取得提升的特權，並透過同盟信任機制建立後門程式。
  未經驗證的網域	確認 Entra ID 中所有自訂網域的擁有權。僅暫時保留未經驗證的網域，請驗證或移除這些網域，以維護乾淨的網域清單並提升審查效率。

• 曝險指標：新的「混合 Entra ID 資訊」曝險指標 (IoE) 可讓您深入瞭解複製到內部部署 Active Directory 的 Microsoft Entra ID 資料，讓組織能夠識別潛在安全性風險並解決原則不一致的問題。

• 曝險指標

  • 受管理服務帳戶的危險錯誤設定：此曝險指標 (IoE) 經過改善，現在支援群組，讓控制 gMSA 存取權更簡單。

  • 確保 SDProp 一致性：提供更實用的建議。

  • 影子憑證：針對 Return of Coppersmith’s Attack (ROCA)，提供更實用的修復建議。

  • 增加兩個新選項，可根據群組成員資格加強對物件所有權和權限的控制：

  • 獲准的物件所有者 (依群組成員資格)：允許根據群組成員資格，將安全性主體指定為物件所有者。

  • 獲准的信任者清單 (依群組成員資格)：允許根據群組成員資格，將特殊權限指派給安全性主體。

• 攻擊指標：「Golden Ticket」攻擊指標 (IoA) 的攻擊媒介內容已改善。

• 目錄服務中的信任屬性和類型

  • trustType 屬性現在支援 TTAAD (TRUST_TYPE_AAD) 值。

  • trustAttributes 屬性現在支援 TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION) 值。

• 匯出功能：使用者可以在匯出 CSV 檔案時選擇分隔符號 (逗號或分號)，依照使用情況彈性調整。瀏覽器會記住上次使用的分隔符號，在日後匯出時套用設定。

Tenable Identity Exposure 3.86 版包含下列錯誤修正：

• Identity 360：此為 Tenable Identity Exposure 中以身分為核心的新功能，可針對整個組織身分風險途徑的每個身分，提供豐富而詳盡的清單。

  此功能可統合 Active Directory 和 Entra ID 中的身分，並依據風險進行排序，因此您可以將組織內的身分從風險最高排到最低。

  此外，Identity 360 讓使用者可透過與特定身分相關聯的帳戶、弱點和裝置等各種情境類別，深入瞭解並全面掌握每個身分。

  詳情請參閱 Tenable Identity Exposure 使用者指南中關於 Identity 360 的內容。

• 運作狀況檢查：此為新的網域運作狀況檢查，可針對每個網域識別並解決已知錯誤，藉此增強攻擊指標部署的可靠度。

  詳情請參閱 Tenable Identity Exposure 使用者指南中關於運作狀況檢查的內容。

Tenable Identity Exposure 3.85 版包含下列錯誤修正：