Integration mit einer Active Directory-Domäne

Tenable Identity Exposure wird auf Microsoft Server-Betriebssystemen ausgeführt, die eine Verbindung zu einer Active Directory (AD)-Domäne herstellen. Im Folgenden finden Sie Richtlinien dafür, ob diese Server mit einer AD-Domäne verbunden werden sollten oder nicht.

• Da Tenable Identity Exposure sensible Sicherheitsinformationen enthält, rät Tenable davon ab, die Server in eine AD-Domäne einzubinden. Das Arbeiten in einer isolierten Umgebung ermöglicht eine klare Trennung zwischen dem überwachten Perimeter und der überwachenden Entität (d. h. Tenable Identity Exposure). In dieser Konfiguration kann ein Angreifer mit Erstzugriff oder eingeschränkten Rechten in der überwachten Domäne nicht direkt auf Tenable Identity Exposure und die Ergebnisse der Sicherheitsanalyse zugreifen.

• Wenn Sie über eine vertrauenswürdige Infrastruktur verfügen, können Sie Tenable Identity Exposure auf Servern ausführen, die in eine Domäne eingebunden sind. Durch diese Methode wird die Serververwaltung verbessert, da sie Teil des regulären Prozesses ist, den Sie für jeden in eine Domäne eingebundenen Server verwenden. Insbesondere wenden Tenable Identity Exposure-Server dieselben Härtungsrichtlinien an wie alle anderen Unternehmensserver. Tenable empfiehlt diese Architektur nur in sicheren AD-Umgebungen. Außerdem müssen Sie die folgenden Risiken berücksichtigen, die im Fall einer AD-Kompromittierung bestehen:

  • Ein Angreifer mit Serveradministratorrechten kann mithilfe der Datenanalyse von Tenable Identity Exposure weitere Informationen über Möglichkeiten zur Kompromittierung des Systems sammeln.

  • Die Sicherheitsrichtlinie auf Servern, die in eine Domäne eingebunden sind, kann den Administratorzugriff verbieten, der Tenable Support oder seinen zertifizierten Partnern gewährt wird.

  • Ein Angriff kann die Sicherheitsüberwachung von Tenable Identity Exposure untergraben, indem ein Sicherheitsvorfall verschleiert wird.