Privilegierte Analyse
„Privilegierte Analyse“ ist eine optionale Tenable Identity Exposure-Funktion, die – im Gegensatz zu den anderen Funktionen – mehr Rechte erfordert, um ansonsten geschützte Daten abzurufen und eine umfassendere Sicherheitsanalyse durchzuführen.
Voraussetzungen
Um die Funktion „Privilegierte Analyse“ zu nutzen, müssen Sie die dynamischen RPC-Ports TCP/49152-65535 und UDP/49152-65535 öffnen. Weitere Informationen finden Sie unter Network Flow Matrix.
Datenabruf
Wenn die Funktion „Privilegierte Analyse“ aktiviert ist, ruft sie die folgenden zusätzlichen Daten ab:
-
Passwort-Hashes – Tenable Identity Exposure ruft LM- und NT-Hashes zur Passwortanalyse ab. Tenable Identity Exposure ruft LM-Hashes lediglich ab, um vor ihrem Vorhandensein zu warnen, da sie einen veralteten und schwachen Algorithmus verwenden. Diese Hashes werden jedoch nicht gespeichert. Die Hash-Erfassung umfasst Folgendes:
-
Alle aktivierten Benutzerkonten
-
Alle aktivierten Domänencontroller-Computerkonten
-
Datenschutz
Das Active Directory (AD) selbst speichert Benutzerkennwörter nicht direkt, sondern nur deren Hashes. Der hierzu verwendete LM- oder NT-Hashing-Algorithmus lässt keine Wiederherstellung des ursprünglichen Passworts zu. Tenable Identity Exposure speichert keine LM-Hashes.
Mit Ausnahme von Clients, die ihr Relay auf einer SAAS-VPN-Plattform hosten, verlassen Passwort-Hashes nie die Infrastruktur des Clients, da sie nur vom Relay verarbeitet werden. Das Relay speichert weder Passwörter noch Passwort-Hashes, sondern ruft den Passwort-Hash des Benutzers jedes Mal ab, wenn er für Analysen benötigt wird. Er wird nur vorübergehend in seinem Cache gespeichert, in der Regel nur für einige Millisekunden.
Tenable Identity Exposure bewahrt jedoch eine minimale Anzahl von Passwort-Hash-Datenbits auf, die sicher im RAM des Relay gespeichert werden. Diese dienen ausschließlich zur Durchführung einer K-Anonymitätsanalyse, um nach Benutzern mit identischen Passwörtern zu suchen.