Secure Relay-Anforderungen

Secure Relay ist ein Modus zur Übertragung Ihrer Active Directory-Daten aus Ihrem Netzwerk an Tenable Identity Exposure, bei dem TLS (Transport Layer Security) anstelle eines VPN verwendet wird, wie in dieser Abbildung dargestellt. Die Relay-Funktion unterstützt auch HTTP-Proxy mit oder ohne Authentifizierung, wenn das Netzwerk einen Proxy-Server benötigt, um das Internet zu erreichen.

Tenable Identity Exposure kann mehrere Secure Relays unterstützen, die Sie Ihren Anforderungen entsprechend Domänen zuordnen können.

Um TLS 1.2 verwenden zu können, muss Ihr Relay-Server ab dem 24. Januar 2024 mindestens eine der folgenden Verschlüsselungssammlungen unterstützen:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Stellen Sie außerdem sicher, dass Ihre Windows-Konfiguration auf die angegebenen Verschlüsselungssammlungen abgestimmt ist, damit die Kompatibilität mit der Relay-Funktion gegeben ist.

  1. Führen Sie in PowerShell den folgenden Befehl aus:

    Kopieren 
    @("TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256") | % { Get-TlsCipherSuite -Name $_ }

  2. Prüfen Sie die Ausgabe: TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

  3. Wenn kein Ergebnis zurückgegeben wird (leere Ausgabe), bedeutet dies, dass keine der erforderlichen Verschlüsselungssammlungen aktiviert ist, damit die TLS-Verbindung des Relay funktioniert. Aktivieren Sie mindestens eine Verschlüsselungssammlung.

  4. Überprüfen Sie die ECC-Kurve (Elliptic Curve Cryptography) vom Relay-Server. Diese Überprüfung ist für die Verwendung von ECDHE-Verschlüsselungssammlungen (Elliptic Curve Diffie-Hellman Ephemeral) obligatorisch. Führen Sie in PowerShell den folgenden Befehl aus:

    Kopieren 
    Get-TlsEccCurve

  5. Prüfen Sie, ob die Kurve 25519 vorhanden ist. Wenn dies nicht der Fall ist, aktivieren Sie sie.

  1. Prüfen Sie mithilfe eines IIS-Kryptotools, ob die folgenden Optionen aktiviert sind:

    • Client-Protokolle: TLS 1.2

    • Verschlüsselungen: AES 128/128 und AES 256/256

    • Schlüsselaustausch: ECDH

  2. Nachdem Sie die Kryptografieeinstellungen geändert haben, starten Sie den Computer neu.

    Hinweis: Eine Änderung der Windows-Kryptografieeinstellungen betrifft alle Anwendungen, die auf dem Computer ausgeführt werden und die die Windows TLS-Bibliothek, auch „Schannel“ genannt, verwenden. Stellen Sie daher sicher, dass die von Ihnen vorgenommenen Anpassungen keine unbeabsichtigten Nebenwirkungen haben. Überprüfen Sie, ob die ausgewählten Konfigurationen auf die allgemeinen Härtungsziele oder Compliance-Vorgaben des Unternehmens abgestimmt sind.

  • Für ein klassisches Setup ohne Proxy-Server benötigt das Relay folgende Ports:

    Für ein Setup mit Proxy-Server benötigt das Relay folgende Ports:

    Hinweis: Die Netzwerkflüsse funktionieren sowohl für On-Premises- als auch für SaaS-Plattformen auf dieselbe Weise.

Für die virtuelle Maschine (VM), auf der das Secure Relay gehostet wird, gelten folgende Anforderungen:

Kundengröße Tenable Identity Exposure-Dienste Erforderliche Instanz Arbeitsspeicher (pro Instanz) vCPU (pro Instanz) Festplattentopologie Verfügbarer Festplattenspeicher (pro Instanz)
Beliebige Größe

  • tenable_Relay

  • tenable_envoy

 1 8 GB RAM 2 vCPU Partition für Protokolle getrennt von der Systempartition 30 GB
Hinweis: Wenn Sie das Secure Relay und den Directory Listener auf derselben virtuellen Maschine installieren, müssen Sie die Dimensionierungsanforderungen der beiden kombinieren. Siehe Ressourcen-Dimensionierung.
Tipp: Bei der Erstinstallation sollte die VM nicht in die Domäne eingebunden sein, um zu vermeiden, dass vorhandene GPO-Richtlinien, die den Installationsprozess stören könnten, geerbt werden. Nach Abschluss der Installation können Sie die VM in die Domäne einbinden.

Die VM muss außerdem über Folgendes verfügen:

  • HTTP/HTTPS-Datenverkehr – Sie können jeden Client, der HTTP/HTTPS-Datenverkehr in Richtung des Secure Relay-Computers leiten kann, entfernen, deaktivieren, umgehen oder auf die Zulassungsliste setzen. Diese Aktion blockiert die Secure Relay-Installation und stoppt oder verlangsamt den Datenverkehr, der die Tenable-Plattform erreicht.

  • Betriebssystem Windows Server 2016 oder höher (kein Linux)

  • Gelöste Internet-DNS-Abfragen und Internetzugang für mindestens cloud.tenable.com und *.tenable.ad (TLS 1.2).

  • Lokale Administratorrechte

  • EDR-, Antivirus- und GPO-Konfiguration:

    • Ausreichend verbleibende CPU-Leistung auf der VM – zum Beispiel verbraucht die Echtzeitfunktion von Windows Defender eine beträchtliche Menge an CPU-Leistung und kann den Rechner auslasten.

    • Automatische Updates:

      • Erlauben Sie Aufrufe an *.tenable.ad, damit die automatische Aktualisierungsfunktion eine ausführbare Relay-Datei herunterladen kann.

      • Stellen Sie sicher, dass kein Gruppenrichtlinienobjekt (GPO) die automatische Aktualisierungsfunktion blockiert.

      • Löschen oder ändern Sie die geplante Aufgabe „Relay Updater“ nicht:

Windows
Dateien
C:\Tenable\*
C:\tools\*
C:\ProgramData\Tenable\*
Prozesse
nssm.exe –> Pfad: C:\tools\nssm.exe
Tenable.Relay.exe –> Pfad: C:\Tenable\Tenable.ad\SecureRelay\Tenable.Relay.exe
envoy.exe –> Pfad: C:\Tenable\Tenable.ad\SecureRelay\envoy.exe
updater.exe –> Pfad: C:\Tenable\Tenable.ad\updater.exe
powershell.exe –> Pfad: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (kann je nach Betriebssystemversion unterschiedlich sein)
Geplante Aufgaben
C:\Windows\System32\Tasks\Relay Updater
C:\Windows\System32\Tasks\Manual Renew Apikey
C:\Windows\System32\Tasks\Tenable\Tenable.ad\SecureRelay\CompressLogsSecureRelay
C:\Windows\System32\Tasks\Tenable\Tenable.ad\SecureRelay\RemoveLogsSecureRelay
Registrierungsschlüssel
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Tenable\Tenable.ad Secure Relay