Tenable Identity Exposure On-Premises – Versionshinweise 2023

Tenable Identity Exposure 3.42 (2023-04-06)

  • Dashboard-Datenverfügbarkeit – Ermöglicht die Erstellung von Berichten über Konformitätsbewertungen, die Anzahl der Abweichungen und die Anzahl der Benutzer über einen neuen Zeitraum von maximal 1 Jahr (zuvor ein Monat).

  • Skalierbarkeit – In Tenable Identity Exposure wurde die Leistung von Indicators of Attack auf der Serviceseite verbessert, um relevante Ereignisse für eine bessere IoA-Genauigkeit und -Latenz in größerem Umfang zu verarbeiten.

  • Schnellere und einfachere Bereitstellung von Indicators of Attack – Tenable Identity Exposure kann Indicators of Attack jetzt ohne manuellen Eingriff automatisch zu konfigurierten Domänencontrollern hinzufügen oder daraus entfernen. Weitere Informationen finden Sie unter „Indicators of Attack installieren“ im Tenable Identity Exposure-Administratorhandbuch.

  • Indicators of Attack

    • Verringert die CPU-Auslastung, um die Auswirkungen auf den Domänencontroller zu begrenzen.

    • Verbesserter Ressourcen-Speicherbedarf auf Domänencontrollern.

  • Angriffspfad – Einführung von Ansichten von Tier-0-Assets und den Angriffspfaden, die zu ihnen führen. Weitere Informationen finden Sie im Tenable Identity Exposure-Benutzerhandbuch.

  • Konten mit nie ablaufenden Passwörtern – Eine neue Option in diesem IoE ermöglicht es, ganze Organisationseinheiten (OUs) auf die Zulassungsliste zu setzen.

  • Privilegierte Analyse – Sie können steuern, ob die von der privilegierten Analyse erfassten Daten an den Tenable Cloud-Service gesendet werden sollen oder nicht (Standard: nicht senden).

Tenable Identity Exposure Version 3.42 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen Fehler-ID
Indicators of Exposure und zugehörige Fehlerkorrekturen  

  • Anwendung von schwachen Passwortrichtlinien auf Benutzer

    • Verbesserte Leistung in Szenarien mit hohem Workload.

    • Einführung von zwei neuen Begründungen zur besseren Erläuterung von zwei Fällen, in denen man meinen könnte, dass das GPO gilt, dies jedoch nicht der Fall ist:

      • Eine Organisationseinheit, die Computer enthält, kann die GPO-Vererbung blockieren.

      • Eine Sicherheitsfilterung verhindert, dass das GPO auf Computer angewendet wird.

  • Letzte Änderung des AAD-SSO-Kontokennworts überprüfen behebt jetzt Abweichungen, wenn sie sich auf gelöschte AD-Objekte beziehen.

  • Gefährliche Kerberos-Delegierung verarbeitet jetzt vorhandene, aber leere Attribute für die ressourcenbasierte eingeschränkte Delegierung (Resource-Based Constrained Delegation, RBCD).

  • Konten, die eine Prä-Windows 2000 kompatible Zugriffssteuerung verwenden (C-PRE-WIN2000-ACCESS-MEMBERS) meldet jetzt alle problematischen bekannten Prinzipale der Gruppe „Prä-Windows 2000 kompatibler Zugriff“.

  • Eliminierung von falsch positiven Ergebnissen im Tenable Identity Exposure-GPO für diese IoEs: Berechtigung für sehr sensible GPO-Objekte und -Dateien prüfen und Domänencontroller werden von nicht legitimen Benutzern verwaltet.

  • Tenable Identity Exposure schränkt jetzt die Zulassungslistenoption für die Organisationseinheit auf den IoE-Konten mit nie ablaufenden Passwörtern im Backend ein, um die Menge der generierten Protokolle zu reduzieren.

  • Indicators of Exposure können nun wieder in deutscher Sprache angezeigt werden.

  • Tenable Identity Exposure zeigt in der CSV-Exportdatei keine tenable_ad_date-Tags mehr an.

 N/A

Indicators of Attack und zugehörige Fehlerkorrekturen

 

  • Weniger falsch positive/falsch negative Ergebnisse für Tenable Identity Exposure-Angriffe für die folgenden IoAs: Identitätswechsel bei sAMAccountName, Kerberoasting, OS Credential Dumping: LSASS-Speicher, DCShadow und Extrahierung des DPAPI-Domänensicherungsschlüssels.

  • OS Credential Dumping: LSASS-Speicher – Zeigt genauere Prozess- und Benutzernameninformationen an, wenn die Informationen in der Benutzeroberfläche und in Warnungen angezeigt werden.

  • Password Spraying verpasst keine Angriffe mehr, wenn Tenable Identity Exposure keine IP-Adresse über das AD-Objekt des DNS-Eintrags abgleichen kann.

  • MassiveComputersRecon – Die nicht relevante Option „In der Zulassungsliste enthaltene Ziel-Domänencontroller“ wurde entfernt.

  • IoA-Skript

    • In Tenable Identity Exposure wurde die Resilienz des IoA-Setup-Skripts für nachfolgende Installationen des Skripts verbessert.

    • Das Skript Register-TenableIOA kann jetzt wieder mit runas von einem in die Domäne eingebundenen Server ausgeführt werden.

  • Das Deckblatt des Indicator of Attack-PDF-Berichts enthält keine fehlerhafte Kopfzeile mehr.

  • Die Umbenennung des Tenable Identity Exposure-GPO hat keine Auswirkungen mehr auf die Funktion für automatische Updates der Indicator of Attack-Konfiguration von Tenable Identity Exposure.

  • Die Angriffserkennung in Tenable Identity Exposure ist jetzt präziser und führt zu weniger falsch negativen und falsch positiven Ergebnissen.

  • Bei der IoA-Installation werden Sicherheitsereignisse wieder protokolliert.

  • Tenable Identity Exposure zeigt Attribute in der Ansicht zur Untersuchung eines Indicators of Attack ordnungsgemäß mit einem Dollarzeichen ($) an.

  • Bei Installation der IoAs auf einem Windows 2022-Domänencontroller muss der Server nicht mehr neu gestartet werden.

  • Tenable Identity Exposure verschiebt jetzt nicht mehr eine IoA-Konfiguration auf dem PDC in ein gelöschtes GPO. Stattdessen wird jetzt die installierte IoA-Konfiguration verwendet, um robustere automatische IoA-Updates zu ermöglichen.

  • Tenable Identity Exposure erfordert jetzt weniger Berechtigungen, um die gleiche Indicator of Attack-Analyse zu erhalten.

 N/A
Tenable Identity Exposure-Installationsprogramm  

  • Zeigt genauere Bezeichnungen für SQL-Laufwerke an.

  • Unterstützt nicht-englische Sprachen.

  • Ermöglicht es Ihnen, auf die Schaltfläche „Zurück“ zu klicken, um zurückzugehen und die Installationsoptionen zu ändern.

  • Schlägt automatisch fehl, wenn ein vorhandener SQL-Server erkannt wird, der zuvor auf dem Storage Manager installiert wurde.

 N/A
Angriffspfad  

  • Nach dem Löschen eines Verzeichnisses aktualisiert der Angriffspfad jetzt sein Tier0-Diagramm.

  • Auf der Seite wird jetzt eine einzige Menüleiste angezeigt.

  • Der Angriffspfad-Dienst kann jetzt während seiner Initialisierung mehrere große Sicherheitsbeschreibungen verarbeiten.

 N/A
Andere Korrekturen  

  • Die Tenable Identity Exposure-(Konformitäts-)Bewertung über die öffentliche API schließt jetzt deaktivierte Prüfungen für das bereitgestellte Profil aus. Dies hatte zu einer falschen Bewertung über die öffentliche API geführt. Der Prozess wurde jetzt verbessert und steht in Einklang mit der Konformitätsbewertung in der Tenable Identity Exposure-Benutzeroberfläche.

  • Authentifizierung – Erfolgreiche Login-Versuche werden jetzt im Anschluss an ihre Validierung von Tenable Identity Exposure protokolliert.

  • Sicherheit – GraphQL-Vorschläge werden nicht mehr angezeigt.

  • Widgets im Tenable Identity Exposure-Dashboard zeigen jetzt „0“ anstelle von „Keine Daten“ an, wenn keine Abweichungen festgestellt werden.

  • Verbesserungen bei der Authentifizierung des Kerberos-Dienstkontos, wenn Tenable Identity Exposure Daten für privilegierte Analysen sammelt.

  • Die Abhängigkeit der RabbitMQ-Bibliothek wurde aktualisiert, um CVE-2022-37026 zu beheben.

  • In Tenable Identity Exposure wurde die Leistung beim Umgang mit mehrwertigen Attributen mit zahlreichen Einträgen verbessert.

  • In Tenable Identity Exposure wurde die SYSVOL-Fehlertoleranz verbessert, z. B. gegen ungültige Zugriffe.

  • Tenable Identity Exposure gibt erneut die LDAP-Objekte an, die nicht mehr im Gültigkeitsbereich enthalten sind (z. B. aufgrund von Berechtigungen).

  • DNS-Einträge werden mit ihren korrekten IPv6-Adressen angezeigt.

  • Tenable Identity Exposure listet nicht mehr die Sicherheitsprofile auf, auf die ein Benutzer keinen Zugriff hat.

  • Tenable Cloud-Service – Tenable Identity Exposure gibt genauere Fehlermeldungen aus, wenn es keine Verbindung zum Tenable Cloud-Service herstellen oder sich nicht bei diesem authentifizieren kann.

    Tenable.ad kann keine Verbindung zum Tenable Cloud-Service herstellen.Tenable.ad kann sich nicht beim Tenable Cloud-Service authentifizieren.

  • Lizenz – Tenable Identity Exposure stützt sich jetzt bei der Zählung der aktiven Benutzer nur auf die AD-Objekte, deren objectClass ausschließlich User ist. ObjectClasses, die User enthalten, wie z. B. MSMQ-Migrated-User oder strongAuthenticationUser, werden nicht mehr berücksichtigt.

  • Trail Flow – Sie können jetzt das SDDL-Feld kopieren, wenn Sie ein nicht abgesichertes HTTP-Protokoll verwenden (relevant für einige On-Premises-Bereitstellungen, die entweder HTTP oder ein nicht anerkanntes HTTPS-Zertifikat verwenden).

  • Tenable Identity Exposure API-Referenzportal – Unwichtiger Eintrag (Ereignisse) wurde entfernt.

  • API – Verstärkte Validierung von ganzzahligen Eingaben und entsprechende Behandlung des Fehlers als Ungültige Anforderung (Bad Request) statt als Interner Serverfehler (Internal server error).

  • Tenable Identity Exposure verarbeitet fremde Sicherheitsprinzipale besser, wenn es sich dabei auch um nicht aufgelöste Sicherheitsprinzipale handelt.

  • Tenable Identity Exposure ersetzt die \0a-Sequenzen in AD-Attributen beim Senden über SYSLOG durch ein Leerzeichen.

  • In einigen Grenzfällen können jetzt Rollen mit entfernten Verzeichnissen bearbeitet werden.

  • Tenable Identity Exposure verknüpft nicht aufgelöste Sicherheitsprinzipale in der Angriffspfad-Funktion mit der richtigen Domäne.

 N/A

Eine vollständige Liste der Patches für diese Version finden Sie in den Versionshinweisen für Tenable Identity Exposure 3.42.18 On-Premises (18.04.2024).

Tenable Identity Exposure Version 3.42.17 beinhaltet die folgenden Patches:

Patch Fehler-ID
Beim Upgrade füllt Tenable Identity Exposure automatisch den vollständig qualifizierten Domänennamen (FQDN) oder die IP-Adresse des Speichers für Ereignisprotokolle mit der vorhandenen Konfiguration aus. N/A
In Tenable Identity Exposure wurden Deinstallationspfade für RabbitMQ- und Erlang-Installationen, die nicht in Anführungszeichen gesetzt waren, korrigiert. N/A
Der Indicator of Exposure (IoE) Nicht verknüpftes, deaktiviertes oder verwaistes Gruppenrichtlinienobjekt (GPO) kann Szenarien mit entfernten GPOs jetzt effektiver verwalten. N/A
Das Abrufen sensibler Daten funktioniert nun auch, wenn Active Directory-Domänen unbenannt wurden. N/A
Für den IoE Gefährliche ADCS-Fehlkonfigurationen ist es jetzt für die Analyse der Zertifikatvorlagen möglich, die Vertrauensnehmer aus anderen AD-Domänen mithilfe ihres samAccountName oder userPrincipalName auszuschließen. N/A
Berechtigungen für „NT AUTHORITY\Authenticated Users“ werden nicht mehr im Tenable-Installationsordner angezeigt. N/A
Im Trail Flow können Kunden mit umfangreichen Ereignisverläufen jetzt effektiv verwaltet werden. N/A
In Tenable Identity Exposure wurden mehrere Probleme mit Arbeitsspeicherverlust im Datensammlerdienst behoben. N/A

In Tenable Identity Exposure wurde eine Korrelationslogik behoben, die Auswirkungen auf die folgenden Indicators of Attack (IoA) hatte: DCSync, DCShadow, Änderung des DC-Passworts, DNSAdmins-Ausnutzung, Extrahierung des Domänensicherungsschlüssels, Massiver Aufklärungsangriff auf Computern, NTDS-Extrahierung, Credential Dumping: LSASS-Speicher, Identitätswechsel bei SAM-Namen und Zerologon-Ausnutzung.

 N/A
Das Tenable Identity Exposure-Installationsprogramm akzeptiert jetzt Elliptic Curves-Zertifikate für die sichere Kommunikation zwischen Diensten. N/A
Das Tenable Identity Exposure-Installationsprogramm für On-Premises-Installationen ermöglicht jetzt die Verwendung von vollständig qualifizierten Domänennamen (FQDNs) in jedem Feld, in dem zuvor nach einer IP-Adresse gefragt wurde. N/A

Tenable Identity Exposure Version 3.42.12 beinhaltet die folgenden Patches:

Patch Fehler-ID
Die Sicherheitsanalyse verfügt jetzt über eine verbesserte Fähigkeit, Sicherheitsbeschreibungen zu verwalten, die nicht ordnungsgemäß formatiert sind. N/A
Ein neu implementierter Mechanismus erhöht die Resilienz der Datenbank, wenn zahlreiche Attributänderungen vorliegen. N/A
Die IoA-Sicherheitsanalyse führt nun bei Bedarf einen Fallback auf eine frühere Windows-Ereignisprotokollversion durch. N/A
Die Sicherheitsanalyse begrenzt jetzt die Generierung von Fehlerprotokollen, wenn sie auf einen falschen regulären Ausdruck aus einer IoE-Option stößt. N/A
Wenn ein Benutzer sein Passwort ändert, werden alle seine aktiven Sitzungen ungültig. N/A
Tenable Identity Exposure liest jetzt Ereignisprotokolldateien im gz-Format mit weniger Wiederholungsversuchen, um potenzielle Probleme zu beheben, die durch offene Datei-Handles für diese Dateien verursacht werden. N/A
Da das IoA-Modul nicht vorhanden ist, werden in den Protokollen keine unangemessenen IoA-bezogenen Nachrichten erwähnt. N/A

Indicators of Exposure (IoE)

  • Anwendung von schwachen Passwortrichtlinien auf Benutzer zeigt eine verbesserte Leistung bei der Durchführung der ersten Sicherheitsüberprüfung.

  • Unzureichende Härtung gegen Ransomware verfügt über verbesserte Resilienz bei der Meldung von Abweichungen.

  • Gefährliche sensible Berechtigungen weist eine verbesserte Analyseleistung auf.

 N/A

Tenable Identity Exposure Version 3.42.11 beinhaltet die folgenden Patches:

Patch Fehler-ID
Tenable Identity Exposure kann wieder mit mehreren Listener-Instanzen (Ceti) ausgeführt werden. N/A
Tenable Identity Exposure generiert jetzt die GPO-Datei audit.csv für IoAs mithilfe der Ergebnisse von Windows-APIs anstelle der Ausgabe von auditpol.exe (die lokalisierbar ist). N/A
Die Anpassung von Tenable Identity Exposure-IoAs funktioniert jetzt wie erwartet. N/A
Ein zusätzlicher Parameter, -EventLogsFileWriteFrequency X, im Indicator of Attack-Bereitstellungsskript erlaubt Ihnen das Beheben potenzieller Probleme durch langsame oder fehlerhafte Distributed File System-Replikation (DFS). Weitere Informationen finden Sie unter DFS Replication Issues Mitigation (Behebung von Problemen mit der DFS-Replikation) im Administratorhandbuch. N/A
Aktualisierung der xml2js-Abhängigkeit auf die neueste Version (von 0.4.23 auf 0.5.0). N/A
Tenable Identity Exposure begrenzt jetzt das Auftreten von Zugriff verweigert-Fehlern, die von der SYSVOL-Freigabe ausgehen, um eine übermäßige Protokolldatenträgernutzung zu verhindern. N/A

Tenable Identity Exposure On-Premises Version 3.42.11 bietet erhebliche Verbesserungen zum Schutz Ihrer Active Directory-Infrastruktur. Diese Version enthält Aktualisierungen für bestimmte Abhängigkeiten, um der Softwaresicherheit Priorität einzuräumen und aktuelle Komponenten für verbesserten Schutz sicherzustellen.

Tenable Identity Exposure   Version 3.42.3 Version 3.42.11 Version 3.42.17
Softwarename Dateiname Version Version Version
cUrl curl.exe 7.66.0 8.0.1 8.4.0
SysInternals-Handle handle.exe 4.22.0 5.0.0 5.0
IIS URL Rewrite Module 2 rewrite_amd64_en-US.msi 7.2.1980 7.2.1993 7.2.1993

net Runtime
.net Windows Server Hosting

 dotnet-hosting-6.0.14-win.exe 6.0.14 6.0.16

6.0.22.32824
6.0.22.23424
NodeJS node-x64.msi 16.19.1 16.20.0 18.18.0
MSSQL setup.exe 2019.150.2000.5 2019.150.4312.2 15.0.4322.2
RabbitMQ rabbitmq-server.exe 3.10.11 3.10.19 3.12.6
Erlang OTP otp_win64.exe 25.1.2 25.1.2 26.1.1
C++ 2105-2022 Redistributable (unverändert) vcredist_2015_x64.exe 14.24.28127.4 14.24.28127.4 14.24.28127.4
ASP.NET Core dotnet-hosting-win.exe 6.0.14 6.0.16 6.0.22.23424