2025 年 Tenable Identity Exposure 版本資訊

• 危險的 Kerberos 委派曝險指標：變更 Kerberos 委派作業相關原因，以提高準確度並使相關風險更清楚。

  原有名稱	更新名稱
  已允許 RBCD 控制	資源型限制委派 (RBCD) 屬性上的不安全權限
  RBCD 後門程式	資源型限制委派屬性中的可疑主體
  危險的 Kerberos 委派	有通訊協定轉換的危險 Kerberos 限制委派
  限制委派中使用的孤立 SPN	Kerberos 限制委派中使用的孤立 SPN
  機密物件的 Kerberos 委派	機密物件的 Kerberos 限制委派
  未受保護以防止委派	特權帳戶未受保護以防止委派
  非限制委派	危險的 Kerberos 非限制委派

• 偵測密碼脆弱程度：此曝險指標 (C-PASSWORD-HASHES-ANALYSIS) 已更新，有新增內容。

• 對勒索軟體的強化措施不足：此曝險指標指出「危險檔案關聯」的修復位置。

• 深入解析：改進深入解析頁面上身分識別提供者的身分數量統計方式，增強使用者體驗。

• 對使用者套用脆弱密碼原則：此曝險指標改進了偵測邏輯，以避免您啟用密碼複雜性或停用可逆加密時出現誤報。

• 曝險中心：曝險中心將「曝險概覽」和「曝險情況」頁面合併為單一檢視畫面，提供更簡單、更統一的使用體驗。更新版頁面導入了快速篩選選項，讓您可以更快速地套用篩選器，並將焦點放在最相關的資料上。

• 改善攻擊指標 (IoA) 部署程序：將排程任務中的長命令區塊取代為專用的 PowerShell 指令碼：

  • 專用接聽程式啟動器：新的部署使用已簽署的接聽程式 launcher.ps1 指令碼，該指令碼儲存在 SYSVOL 上。此指令碼可簡化排程工作並提高安全性。

  • 憑證部署：Tenable 憑證現在會透過群組原則 (GPO) 自動部署，這是執行已簽署指令碼的必要程序。

  注意：此增強內容需要重新安裝攻擊指標 (IoA) 模組。

• 安全性設定檔：標頭列中提供新的安全性設定檔切換開關，並會顯示作用中的 Tenable 安全性設定檔。此標頭只有在啟用 Tenable 雲端服務時才會顯示。如需指示，請參閱Tenable Cloud 資料收集 。

• 曝險指標

  • 套用脆弱密碼原則：已改善弱點詳細資料和建議。

  • ADCS 危險的錯誤設定：已更新說明以顯示每個原因的 ESC 參照。

• 深入分析：已新增 Tenable 雲端未啟用時新深入解析功能的能見度。

• RabbitMQ：透過針對中斷的連線建置自動復原來提高穩定性，確保訊息處理持續進行並防止服務中斷。

• Identity 360：為了提升明確度，有鑑於「是否授權」和「授權到期時間」與 Tenable Identity Exposure 無關，已將這些屬性從 Identity 360 檢視畫面中移除。

• 曝險中心排除項目：此功能可讓您將特定資產群組列入允許清單，防止已知的低風險設定出現在弱點報告中，這有助於減少雜訊，並確保安全研究發現內容符合需要且可作為行動依據。

• SMB 檔案共用：現在攻擊指標 (IoA) 模組中提供全新的選用檔案共用模式，可用來收集 Windows 事件記錄檔。此模式採用由 Tenable Identity Exposure 在您的基礎架構中提供保護的專用 SMB 共用。

Entra ID 曝險指標

• 已強制執行密碼過期 — 此曝險指標 (IoE) 可偵測強制密碼過期的網域。該政策可能會破壞安全性，因為頻繁要求使用者變更密碼，往往會導致密碼變得脆弱、易猜測或重複，降低整體帳戶防護力。

• 進行 MFA 註冊時無需使用受管理裝置 — 此曝險指標 (IoE) 會偵測未啟用條件式存取原則，要求使用受管理裝置進行 MFA 註冊的租用戶。註冊 MFA 時要求使用受管理裝置，可增加一道安全防線，使攻擊者即便取得帳號憑證，也難以註冊惡意 MFA 方法，除非他們同時持有受管理裝置。

Tenable Identity Exposure 3.96 版包含下列錯誤修正：

Active Directory (AD) 曝險指標

• BadSuccessor 危險的 dMSA 權限：此曝險指標 (IoE) 可偵測 BadSuccessor (隨著 Windows Server 2025 dMSA 推出，出現在 Active Directory 的特權提升弱點)。此弱點讓攻擊者得以濫用 dMSA 的繼承機制，取得高特權存取權，有可能進一步入侵整個網域。要利用此弱點，需要有一個 Windows Server 2025 網域控制器。

• Tenable Identity Exposure 已重新命名「設定」功能表，使用途更加明確。此外，Tenable Identity Exposure 現在可透過齒輪圖示，更輕鬆地存取「身分識別提供者」功能表 (啟用時，可用於設定 Entra ID 租用戶)。

Tenable Identity Exposure 3.95 版包含下列錯誤修正：

Tenable Identity Exposure 3.92 版包含下列錯誤修正：

Tenable Identity Exposure 3.91.1 版包含下列錯誤修正：

• 非必要群組：此新曝險指標 (IoE) 會報告空白群組和只有一名成員的群組。

  注意：非必要群組曝險指標 (IoE) 最初是於 2025 年 2 月 5 日以兩個獨立的曝險指標 (空 AD 群組和單一成員 AD 群組)，與曝險中心一起發布。這兩個曝險指標 (IoE) 稍後會重新定位至曝險指標檢視畫面，以與其他 AD 相關的曝險指標保持一致。新的非必要群組曝險指標 (IoE) 將這些先前的曝險指標 (IoE) 合併為單一實體。

• 從曝險情況名稱中移除 /Default 後置詞，因為 Tenable Identity Exposure 認為所有弱點都來自單一執行個體。

• 當深入研究相關弱點時，Identity 360 和曝險概覽頁面現在會重新導向至曝險情況頁面。

Tenable Identity Exposure 3.91 版包含下列錯誤修正：

• 不支援或過時的 Exchange 伺服器：此新的曝險指標 (IoE) 會偵測 Microsoft 不再支援的過時 Exchange 伺服器，以及尚未安裝最新累積更新的 Exchange 伺服器。為了維護 Exchange 環境的安全性並確保獲得完整支援，請及時解決過時或未安裝修補程式的伺服器問題。若未及時處理，就會增加遭到刺探利用的風險，使您的組織面臨資料外洩和勒索軟體攻擊。

• ADCS 危險錯誤設定曝險指標 (IoE) 現在會報告 ESC9 弱點，將具有不安全 CT_FLAG_NO_SECURITY_EXTENSION 的憑證範本標記為異常。

• 曝險概覽和曝險情況頁面現在會顯示偵測到安全性結果的身分資料提供者租用戶 (AD 網域、Entra ID 租用戶等) 的名稱。

Tenable Identity Exposure 3.90 版包含下列錯誤修正：

• Identity 360

  • 已改善多個 Identity 360 頁面的載入時間，尤其是在檢視資產的「存取權與權限」索引標籤時。

  • Tenable Identity Exposure 現在收集 Active Directory 權限的速度更快，因此產品設定完成後，可以在 Identity 360 頁面上，更迅速將資料呈現在資產詳細資料的「權限」索引標籤中。Tenable Identity Exposure 僅著重於會影響客戶環境安全的權限。

• 曝險指標 (IoE)

  • 帳戶的對應憑證：此曝險指標 (IoE) 先前僅會回報具有 X509IssuerSubject 和 X509SubjectOnly 兩種對應的特權使用者，現在已將原始範圍擴大，納入 X509RFC822、X509IssuerSerialNumber、X509SKI 和 X509SHA1PublicKey 等額外對應類型。

  • 帳戶的對應憑證：Tenable Identity Exposure 已改善此曝險指標 (IoE)，可回報低強度顯式憑證對應，以應對 AD CS ESC14 濫用手法。

  • 單一成員的 AD/Entra 群組：此曝險指標 (IoE) 現在會在「為什麼這很重要」說明中顯示群組成員。

  • 擁有憑證的第一方服務主體：此曝險指標 (IoE) 現在會在「為什麼這很重要」說明中顯示經識別憑證的詳細資料。

  • 單一成員的 AD/Entra 群組和無成員的群組：為了讓呈現的結果更精確實用，這些曝險指標 (IoE) 現在只會計算直接成員。

  • 自訂安全設定檔：針對適用的曝險指標 (IoE) 改善了「允許的物件所有者 (依群組成員資格)」選項說明。

• 運作狀況檢查

  • 收集 AD 網域資料的權限：現在當使用者介面中停用特權分析功能時，會隱藏「已授予收集特權資料的權限」詳細資料。為了讓此功能正常運作，請確認您的轉送處於最新狀態。

  • 網域連線性：現在會更精確說明為何網域無法連線。

Tenable Identity Exposure 3.89 版包含下列錯誤修正：

• 曝險指標 (AD)：危險的 Exchange 錯誤設定會列出影響 Exchange 資源或其底層 Active Directory 結構描述物件的錯誤設定。

Tenable Identity Exposure 3.88 版包含下列錯誤修正：

• 曝險中心：移除「曝險概覽」中對弱點優先順序評分 (VPR) 的參照，因為 Tenable Identity Exposure 不會為與身分相關的曝險指標填入這些分數。

Tenable Identity Exposure 3.87 版包含下列錯誤修正：

• 曝險中心：曝險中心是 Tenable Identity Exposure 的一項功能，可增強組織的身分安全狀態。此功能可識別整個身分風險破綻的脆弱環節和錯誤設定，涵蓋基礎身分系統 (例如 Entra ID) 以及這些系統內的身分。

  此功能的使用者體驗圍繞三個相互關聯的概念展開：曝險概覽、曝險情況和研究發現。Tenable Research 透過新的安全引擎和專門開發的曝險指標 (IoE) 來支援這些概念，以驅動其功能。

  如需詳細資訊，請參閱《Tenable Identity Exposure 使用者指南》中關於曝險中心的內容。

• Entra ID 的新曝險指標

  名稱	說明
  標準帳戶註冊應用程式的能力	根據預設，任何 Entra 使用者皆可在租用戶內註冊應用程式。儘管此功能十分方便，而且不會立即造成安全性弱點，但確實存在某些風險。因此，為遵循最佳做法，Tenable 建議停用此功能。
  允許多重租用戶驗證的應用程式	如果在沒有完全認知的情況下即啟用此設定，同時沒有在應用程式程式碼內實作適當的授權檢查，則允許多租用戶驗證的 Entra 應用程式可能會將未經授權的存取權提供給惡意使用者。
  條件式存取原則停用持續存取評估	持續存取評估是 Entra ID 的一種安全功能，可針對安全性原則變更或使用者狀態更新提供快速反應。因此，請勿停用此功能。
  影響租用戶的危險應用程式權限	Microsoft 在 Entra ID 中公開 API，以允許第三方應用程式自行在 Microsoft 服務中執行動作 (稱為「應用程式權限」)。特定權限可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅。
  影響租用戶的危險委派權限	Microsoft 在 Entra ID 中公開 API，以允許第三方應用程式自行在 Microsoft 服務中執行動作 (稱為「應用程式權限」)。特定權限可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅。
  已停用指派給特權角色的帳戶	若要擁有合理的帳戶管理流程，必須監控特權角色中的指派情況。
  休眠裝置	休眠裝置會構成安全性風險，例如過時的設定和未修補的弱點。若未進行定期監控和更新，這些過時裝置可能會成為攻擊者刺探利用的目標，進而危及租用戶完整性和資料機密性。
  休眠非特權使用者	休眠非特權使用者會構成安全性風險，因為攻擊者可能會利用此類使用者進行未經授權的存取。若未定期監控和停用，這些過時使用者會透過擴大攻擊破綻，來建立惡意活動的潛在進入點。
  休眠特權使用者	休眠特權使用者會構成安全性風險，因為攻擊者可能會利用此類使用者進行未經授權的存取。若未定期監控和停用，這些過時使用者會透過擴大攻擊破綻，來建立惡意活動的潛在進入點。
  具有可惡意利用規則的動態群組	攻擊者可操控可自行修改的屬性，將自己新增為群組成員，藉此攻擊 Microsoft Entra ID 中的動態群組。此操控會導致特權提升和未經授權存取與群組相關的敏感資源。
  空白 Entra 群組	空白群組可能導致混淆、危及安全性，並且造成資源未使用。一般而言，建議建立群組的明確用途，並確保其中包含相關成員。
  Entra 安全性預設未啟用	Entra ID 安全性預設提供預先設定的 Microsoft 建議設定，以增強租用戶保護。
  同盟網域清單	惡意的同盟網域設定是常見的威脅，攻擊者會利用此設定作為 Entra ID 租用戶的驗證後門程式。為確保同盟網域設定可信任且正當，驗證現有和新加入的同盟網域至關重要。此曝險指標提供同盟網域及其相關屬性的完整清單，可協助您針對其安全性狀態做出明智決策。
  同盟簽署憑證不符	Microsoft Entra ID 可透過同盟的方式，將驗證工作委派給其他提供者。但是，提升特權後的攻擊者可以新增惡意權杖簽署憑證來利用此功能，進而達到潛伏和特權提升的目的。
  擁有憑證的第一方服務主體	第一方服務主體擁有強大的權限，但因其大量、缺乏能見度以及 Microsoft 擁有權而經常被忽略。攻擊者利用此弱點的方式是將憑證新增至這些主體，然後隱蔽地利用主體的特權來進行特權提升和潛伏。
  具有特權角色的訪客帳戶	訪客帳戶是外部身分，當其獲指派特權角色時可能會構成安全性風險。這樣會將租用戶內的大量特權授予組織外部的人員。
  具有與一般帳戶同等存取權的訪客帳戶	建議不要將 Entra ID 設定為將訪客視為一般使用者，因為這樣可能會讓惡意訪客能夠對租用戶的資源進行全面偵察。
  管理員數量過多	管理員數量過多會增加攻擊破綻，並且由於提升特權而造成安全性風險。這也表示未維護最低特權的原則。
  已知的同盟網域後門程式	Microsoft Entra ID 可透過同盟的方式，將驗證工作委派給其他提供者。但是，獲得提高的特權的攻擊者可以新增惡意同盟網域來利用此功能，進而達到潛伏和特權提升的目的。
  未封鎖舊型驗證	舊型驗證方法不支援多因素驗證 (MFA)，攻擊者可藉此繼續執行暴力密碼破解、憑證填充和密碼噴濺攻擊。
  非特權帳戶缺少多因素驗證	MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。
  特權帳戶缺少多因素驗證	MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。
  特權角色不需要進行多因素驗證	MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，尤其是針對擁有指定特權角色的特權帳戶。
  有風險的登入不需要進行多因素驗證	MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是針對有風險的登入要求 MFA，例如當驗證要求可能不是來自合法身分所有者時。
  從未使用過的裝置	避免使用預先建立且從未使用過的裝置帳戶，因為這些帳戶代表安全性狀況不佳，並可能造成潛在的安全性風險。
  從未使用過的非特權使用者	從未使用過的非特權使用者帳戶易受攻擊，因為其通常會規避防禦措施的偵測。此外，此類帳戶的預設密碼也使其成為攻擊者的主要目標。
  從未使用過的特權使用者	從未使用過的特權使用者帳戶易受攻擊，因為其通常會規避防禦措施的偵測。此外，此類帳戶的預設密碼也使其成為攻擊者的主要目標。
  未針對內部部署環境啟用密碼保護	Microsoft Entra 密碼保護是一種安全功能，可防止使用者設定容易猜到的密碼，以加強組織中的整體密碼安全性。
  特權帳戶命名慣例	Entra ID 中特權使用者的命名慣例對於安全性、標準化、稽核合規性以及方便管理極為重要。
  與 Active Directory 同步的特權 Entra 帳戶 (混合帳戶)	在 Entra ID 中擁有特權角色的混合帳戶 (即從 Active Directory 同步) 會帶來安全性風險，因為入侵 AD 的攻擊者可利用此類帳戶轉而入侵 Entra ID。Entra ID 中的特權帳戶必須為僅限雲端帳戶。
  擁有 Microsoft 365 服務存取權限的特權 Entra 帳戶	針對管理工作維護個別的 Entra 帳戶：針對日常使用的標準帳戶以及針對管理活動的專屬特權帳戶。這個方法可將特權帳戶的攻擊破綻減至最少，進而增強安全性。
  公用 Microsoft 365 群組	Entra ID 中儲存的 Microsoft 365 群組為公用或私有。公用群組會構成安全性風險的原因是租用戶內的任何使用者皆可加入群組並取得其資料 (Teams 聊天記錄/檔案、電子郵件等) 的存取權。
  在 Microsoft Authenticator 通知中顯示其他背景資訊	為提高能見度，請啟用 Microsoft Authenticator 通知以顯示其他背景資訊，例如應用程式名稱和地理位置。如此可協助使用者識別並拒絕潛在的惡意 MFA 或無密碼驗證要求，進而有效緩解 MFA 疲勞攻擊的風險。
  單一成員的 Entra 群組	不建議建立只有一個成員的群組，因為這樣會引入不必要的冗餘和複雜性。這樣的做法會增加額外的管理層級，進而影響群組設計在簡化存取控制和管理方面的效率。
  可疑目錄同步處理帳戶角色指派	「目錄同步處理帳戶」是隱藏在 Azure 和 Entra ID 入口網站內的特權 Entra 角色，通常是為 Microsoft Entra Connect (前稱 Azure AD Connect) 服務帳戶指定。不過，惡意執行者可能會利用此角色來發動隱密攻擊。
  已啟用臨時存取密碼功能	臨時存取密碼 (Temporary Access Pass，簡稱 TAP) 功能是一種使用有時間限制或使用限制之密碼的臨時驗證方法。雖然這是合法功能，但是在您的組織不需要時，將其停用以減少攻擊破綻會是比較安全的做法。
  不受限制的訪客帳戶	根據預設，Entra ID 會限制訪客使用者的存取權，以降低其在租用戶內的能見度。您可以透過加強這些限制，進一步增強安全性和隱私性。
  應用程式的不受限制使用者同意	Entra ID 允許使用者自行同意外部應用程式存取組織資料，攻擊者可在「非法同意授予」攻擊中惡意利用此弱點。藉由限制已驗證發布者的存取權或要求系統管理員核准可防止此情況發生。
  異常同盟簽署憑證有效期	同盟簽署憑證有效期限異常長是可疑的情況，因為這可能表示攻擊者已在 Entra ID 中取得提升的特權，並透過同盟信任機制建立後門程式。
  未經驗證的網域	確認 Entra ID 中所有自訂網域的擁有權。僅暫時保留未經驗證的網域，請驗證或移除這些網域，以維護乾淨的網域清單並提升審查效率。

• 曝險指標：新的「混合 Entra ID 資訊」曝險指標 (IoE) 可讓您深入瞭解複製到內部部署 Active Directory 的 Microsoft Entra ID 資料，讓組織能夠識別潛在安全性風險並解決原則不一致的問題。

• 曝險指標

  • 受管理服務帳戶的危險錯誤設定：此曝險指標 (IoE) 經過改善，現在支援群組，讓控制 gMSA 存取權更簡單。

  • 確保 SDProp 一致性：提供更實用的建議。

  • 影子憑證: 針對 Return of Coppersmith’s Attack (ROCA)，提供更實用的修復建議。導入新選項，可在停用「裝置回寫」功能時，移除與 Entra ID 混合環境相關的可能誤報。這會影響此曝險指標 (IoE) 中的「孤立金鑰認證」原因。

  • 增加兩個新選項，可根據群組成員資格加強對物件所有權和權限的控制:

  • 獲准的物件所有者 (依群組成員資格)：允許根據群組成員資格，將安全性主體指定為物件所有者。

  • 獲准的信任者清單 (依群組成員資格)：允許根據群組成員資格，將特殊權限指派給安全性主體。

• 攻擊指標：「Golden Ticket」攻擊指標 (IoA) 的攻擊媒介內容已改善。

• 目錄服務中的信任屬性和類型

  • trustType 屬性現在支援 TTAAD (TRUST_TYPE_AAD) 值。

  • trustAttributes 屬性現在支援 TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION) 值。

• 匯出功能：使用者可以在匯出 CSV 檔案時選擇分隔符號 (逗號或分號)，依照使用情況彈性調整。瀏覽器會記住上次使用的分隔字元以供之後匯出使用。

Tenable Identity Exposure 3.86 版包含下列錯誤修正：

• Identity 360：此為 Tenable Identity Exposure 中以身分為核心的新功能，可針對整個組織身分風險途徑的每個身分，提供豐富而詳盡的清單。

  此功能可統合 Active Directory 和 Entra ID 中的身分，並依據風險進行排序，因此您可以將組織內的身分從風險最高排到最低。

  此外，Identity 360 讓使用者可透過與特定身分相關聯的帳戶、弱點和裝置等各種情境類別，深入瞭解並全面掌握每個身分。

  詳情請參閱 Tenable Identity Exposure 使用者指南中關於 Identity 360 的內容。

• 運作狀況檢查：此為新的網域運作狀況檢查，可針對每個網域識別並解決已知錯誤，藉此增強攻擊指標部署的可靠度。

  詳情請參閱 Tenable Identity Exposure 使用者指南中關於運作狀況檢查的內容。

Tenable Identity Exposure 3.85 版包含下列錯誤修正：