Tenable Identity Exposure On-Premises – Versionshinweise 2024

Tipp: Sie können Benachrichtigungen abonnieren, um über Updates der Tenable-Dokumentation informiert zu werden.

Diese Versionshinweise sind in umgekehrter chronologischer Reihenfolge aufgelistet.

Tenable Identity Exposure 3.77.6 (04.12.2024)

Tenable Identity Exposure Version 3.77.6 enthält die folgenden Fehlerkorrekturen:

 
Die Datei updater.exe wird jetzt mit dem Tenable-Zertifikat digital signiert. Dies stellt den Schutz vor nicht autorisierten Änderungen sicher und belegt die Authentizität der Datei.
Tenable Identity Exposure stellt jetzt korrekte Angriffsvektoren für PetitPotam über ein verbessertes Korrelationsmodul bereit. Sie müssen den IoA-Ereignis-Listener erneut bereitstellen.
Tenable Identity Exposure unterstützt jetzt zusätzliche Reverse DNS-Formate, um IPv4-Adressen aus DnsNode-Objekten zu extrahieren, und behebt dadurch die früheren „Unbekannt“ -Ausgaben im Indicator of Attack (IoA). Diese Verbesserung optimiert den Warnmeldungskontext und erhöht die Genauigkeit relevanter IoAs im einfachen Modus.
TCP-Syslog-Warnungen funktionieren unter Windows Server 2016 wie erwartet.
Die geplante Secure Relay-Aufgabe enthält jetzt den gültigen Parameter -AfadRolePath. Während eines Upgrades entfernt Tenable Identity Exposure die geplanten Aufgaben und erstellt sie neu.
Der IoE Gefährliche ADCS-Fehlkonfigurationen berücksichtigt jetzt die Option „Liste zulässiger Vertrauensnehmer“.
Der IoE Gefährliche Kerberos-Delegierung erzwingt jetzt die Aufnahme deaktivierter Objekte in die Zulassungsliste.
Der IoE Anwendung von schwachen Passwortrichtlinien auf Benutzer zeigt keine falsch positiven Ergebnisse mehr für den Grund „Es werden keine privilegierten PSO auf die Domäne angewendet“ an.
Für belastende Attribute werden jetzt detaillierte Werte angezeigt, wenn sie lokalisiert sind.
Im Indicator of Attack NTDS-Extrahierung wurde die Option „Zulässige Prozesse“ umbenannt, um zu verdeutlichen, dass sie nur im „aggressiven“ Modus verwendet wird. Außerdem wurde die Option „Zulässige NTDS-Zielpfade“ entfernt.
In Tenable Identity Exposure werden CSV-Exporte jetzt richtig erstellt, indem doppelte Anführungszeichen (") mit Escape-Zeichen versehen werden. Dadurch wird die Genauigkeit der exportierten Daten verbessert.
Wenn einige Domänen nicht erreichbar sind, zeigen die Konnektivitätstests für alle Domänen eine bessere Leistung, um unerwartete Zeitüberschreitungen der Weboberfläche zu verhindern.
Tenable Identity Exposure wurde angepasst und analysiert jetzt Windows-Ereignisprotokolle, die mit Verzögerung aufgenommen wurden.
Die Genauigkeit des Datums der letzten Erkennung wurde in Indicators of Exposures (IoE) verbessert.
Für eine Microsoft Entra ID-Abweichung werden jetzt die korrekten Ergebnisse für den ausgewählten Mandanten angezeigt.
In bestimmten Grenzfällen kann Tenable Identity Exposure Passwort-Hashes nicht analysieren.
In Tenable Identity Exposure wurde das Feld „UserNameVariants“ zu DCSyncData hinzugefügt, was es ermöglicht, Benutzernamen unabhängig vom Format (SID, UPN, sAMAccountName) in die Zulassungsliste aufzunehmen. Derzeit gilt diese Änderung nur für den DCSync-IoA (Indicator of Attack).
Envoy speichert das CA-Zertifikat in einem verschlüsselten Format. Die Standardgröße für die Routenkonfiguration wurde von 4 KB auf 4 MB erhöht, um größere Payloads zu unterstützen.
Tenable Identity Exposure testet die Konnektivität zu cloud.tenable.com jetzt ordnungsgemäß.
Nach einem LDAP-Konnektivitätsproblem wird der Directory Listener nach 12 Stunden automatisch neu gestartet, um eine erneute Synchronisierung mit potenziell fehlenden ADObject-Status durchzuführen.
Bei UDP-Syslog-Warnungen wird die Payload jetzt abgeschnitten, sobald sie die MTU-Größe erreicht.
Softwarename Vor dem Upgrade Nach dem Upgrade
Tenable Identity Exposure 3.77.3 3.77.6
C++ 2015–2019 Redistributable 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 8.0.10.24468 8.0.11.24521
IIS URL Rewrite Module 2 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311
NodeJS 20.18.0 20.18.1.0
Erlang OTP 26.2.5.4 26.2.5.5
RabbitMQ 3.12.14 4.0.3
SQL Server 15.0.4385.2 15.0.4405.4
OpenSSL 3.3.2 3.3.2
Envoy 1.29.9 1.29.10
Handle 5.0.0 5.0.0
Curl 8.10.1 8.11.0

Tenable Identity Exposure 3.77.3 (06.11.2024)

  • Indicators of Attack (IoA)

    • Neue einfache und aggressive Modi – Der einfache Modus ist für Kunden gedacht, die ein optimiertes Setup bevorzugen, das den Zeitaufwand für die Konfiguration minimiert und zu weniger Fehlalarmen führt, wodurch unnötige Störungen durch Warnungen reduziert werden. Dies gilt für die folgenden IoAs:

      • DCSync

      • Verdächtige Änderung des DC-Passworts

      • Golden Ticket

      • NTDS-Extrahierung

      • OS Credential Dumping: LSASS-Speicher

      • Auflistung lokaler Administratoren

      • SAMAccountName-Identitätswechsel

  • Indicators of Exposure (IoE)

    • Neue IoEs

    • Shadow Credentials – Ein neuer IoE erkennt Backdoors und Fehlkonfigurationen von „Schatten-Anmeldeinformationen“ in der Funktion „Windows Hello for Business“ und den zugehörigen Schlüssel-Anmeldeinformationen.

    • Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten – Ein neuer IoE stellt die ordnungsgemäße Bereitstellung und Konfiguration von verwalteten Dienstkonten sicher.

    • Konfiguration eines privilegierten Authentifizierungssilos – Unterstützt AD-Administratoren bei der Installation und Einrichtung eines Authentifizierungssilos für Stufe-0-Konten.

    • Integrität von Eigenschaftensätzen – Ein „Eigenschaftensatz“ in Microsoft Active Directory (AD) konsolidiert mehrere Attribute, um die ACL-Verwaltung einfacher und effizienter zu machen. Dieser Indicator of Exposure prüft auf Fehlkonfigurationen oder potenzielle Backdoors innerhalb dieser AD-Objekte und ihrer Attribute.

    • Mit Microsoft Entra ID synchronisierte privilegierte AD-Benutzerkonten – Überprüft, dass privilegierte Active Directory-Benutzerkonten nicht mit Microsoft Entra ID synchronisiert werden.

    • Gastkonto aktiviert – Überprüft, ob das integrierte Gastkonto deaktiviert ist.

    • In Konflikt stehende Sicherheitsprinzipale – Prüft, ob doppelte (in Konflikt stehende) Benutzer, Computer oder Gruppen vorhanden sind.

    • RSoP-basierte IoEs – Zur Verbesserung der Leistung führt Tenable Identity Exposure keine Live-RSoP-Prüfungen (Resultant Set of Policy) durch. Legen Sie stattdessen eine RSoP-Sicherheitsprüfung in 30-Minuten-Intervallen fest, was eine bessere Verwaltung zugehöriger Prüfungen ermöglicht, die während des RSoP-Prozesses ausgeführt werden müssen. Weitere Informationen finden Sie unter RSoP-basierte Indicators of Exposure.

    • Letzte Passwortänderung für das KRBTGT-Konto – Das krbtgt_AzureAD-Konto in Windows Hello for Business (Cloud Trust-Bereitstellung) wird jetzt unterstützt.

    • Umkehrbare Passwörter – Umkehrbare Passwörter, die vom PSO mit dem Attribut msDS-PasswordReversibleEncryptionEnabled definiert wurden, werden jetzt validiert.

    • Lokale Administratorkonto-Verwaltung – Unterstützt die neue Windows LAPS-Funktion. Stellt eine neue Option mit dem Namen „Installierte LAPS-Version“ bereit und validiert die Konfiguration der LAPS-Version basierend auf den vom Benutzer ausgewählten Optionen.

  • Proxy – Während der Installation oder eines Upgrades von Tenable Identity Exposure kann eine Proxy-Konfiguration definiert werden. Diese Proxy-Verbindung ermöglicht es On-Premises-Umgebungen, mit Tenable One-Funktionen zu arbeiten.

  • Installation eines Secure Relay – Das verbesserte Installationsprogramm vereinfacht das Hochladen des selbstsignierten Zertifikats aus dem Directory Listener, wenn Sie das Secure Relay auf einem separaten (eigenständigen) Computer installieren.

  • E-Mail-Warnungen unterstützen jetzt nur noch abgesicherte Verschlüsselungsprotokolle, und zwar TLS 1.2 und 1.3. Kunden, die ihr Secure Relay so eingestellt haben, dass es veraltete SMTP-Verschlüsselungsstandards wie SSLv3 verwendet, müssen diese Einstellung aufheben. Die einzigen zulässigen Werte sind „Tls12“, „Tls13“ oder „Tls12, Tls13“ für automatischen Wechsel basierend auf der Serverversion. Die Verwendung nicht unterstützter Werte verhindert, dass das Relay gestartet wird.

  • Neue „Verzögerung” von 10 Stunden (IoA Golden Ticket), um legitime Benutzer während dieses Zeitraums auf die Zulassungsliste zu setzen und so die Anzahl von falsch positiven Ergebnissen zu reduzieren.

  • IoA-Setup – Möglichkeit, die Dauer der Ereigniserfassung auszuwählen, bevor die Ereignisanalyse ausgelöst wird. Zulässige Werte liegen im Bereich zwischen 30 Sekunden und 9 Minuten.

  • Active Directory – In Tenable Identity Exposure wurde die Größenbeschränkung für die von der Anwendung verwalteten AD-Objekte heraufgesetzt.

  • Indicators of Exposure

    • Gefährliche Kerberos-Delegierung

      • Betrachtet Benutzer mit Smartcards nicht mehr als Sicherheitsproblem, da sie nicht vom AS-REP-Roasting-Angriff betroffen sind.

      • Kennzeichnet Computer nicht mehr aus dem Grund „Nicht vor Delegierung geschützt“ als Abweichung; bestehende Abweichungen werden aufgelöst.

      • Ein neuer Grund meldet alle Konten, in denen das von der eingeschränkten Delegierung verwendete Attribut (msDS-AllowedToDelegateTo) auf einen Dienstprinzipalnamen (Service Principal Name, SPN) verweist, der nicht existiert.

      • Ein neuer Grund ermittelt die aktuelle Konfiguration der Kerberos-Delegierung für ein Microsoft Entra Connect-Konto (AZUREADSSOACC).

  • Primäre Gruppe des Benutzers – Dieser IoE wurde um einen zusätzlichen Grund ergänzt, der alle Konten meldet, in denen das Attribut primaryGroupID aufgrund unzureichender Rechte leer ist.

  • Konten mit nie ablaufenden Passwörtern – Ein neuer Grund, um zwischen privilegierten und regulären Benutzern zu unterscheiden.

  • In Konflikt stehende Sicherheitsprinzipale – Ein neuer IoE prüft, ob doppelte (in Konflikt stehende) Objekte wie Benutzer, Computer oder Gruppen vorhanden sind.

  • Benutzerkonto mit altem Passwort, Computer mit veraltetem BS und Inaktive Konten – Zwei neue Gründe, um zwischen privilegierten und regulären Benutzern zu unterscheiden.

  • Domäne ohne GPOs für die Computerhärtung

    • Neue Überprüfungen, um sicherzustellen, dass Null-Sitzungen auf allen Domänencomputern explizit deaktiviert sind.

    • Neue Überprüfungen im Zusammenhang mit gehärteten UNC-Pfaden, die für Domänencontroller konfiguriert sind (SYSVOL-/NETLOGON-Freigaben).

    • Neue Überprüfungen, um sicherzustellen, dass der Druckspooler-Dienst auf allen Domänencontrollern deaktiviert ist.

    • Erzwingung der SMB-Signatur – Tenable Identity Exposure stellt sicher, dass auf Domänencontrollern und anderen Servern eine ordnungsgemäße SMB-Signatur durchgesetzt wird. Hiermit wird der Parameter „Default Domain Controllers Policy“ validiert und geprüft, ob die GPO-Konfiguration auf anderen Servern korrekt ist.

Tenable Identity Exposure Version 3.77.3 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrektur
Mit der Option „Zulässige Benutzer“ im Indicator of Exposure „Gruppe der geschützten Benutzer wird nicht verwendet“ können Sie Benutzer jetzt nach UserPrincipalName (UPN), SID und sAMAccountName auf die Zulassungsliste setzen, anstatt wie zuvor nur nach Distinguished Name.
Der Indicator of Attack-Listener unterstützt jetzt die Codierung mit Nicht-ASCII-Zeichen.
Tenable Identity Exposure löst die Abweichung „Anwendung von schwachen Passwortrichtlinien auf Benutzer“ nicht für Computer innerhalb eines Containers auf der Zulassungsliste aus (im Profil konfiguriert).
Tenable Identity Exposure zeigt eine Warnmeldung an, die Ihnen empfiehlt, vor dem Upgrade einen System-Snapshot zu erstellen.
In Tenable Identity Exposure wurde der Rollback-Prozess verbessert, indem verbleibende Elemente jetzt entfernt werden.
In Tenable Identity Exposure wurde das Problem mit der Indicator of Exposure-Anzeige bei der Anzeige der Details von schreibgeschützten Profilen behoben.
Envoy verwendet nun zuerst IPv4 und führt dann ein Fallback auf IPv6 durch. Dies ist eine Korrektur der aktuellen Konfiguration, in der die umgekehrte Reihenfolge vorgeht.

Die Möglichkeit, das Cookie für die Login-Sitzung abzusichern, um sicherzustellen, dass Sitzungscookies nur über HTTPS gesendet werden. Die erhöht die Sicherheit der Webanwendung.
Die geplante Secure Relay-Aufgabe enthält jetzt den gültigen Parameter -AfadRolePath. Während eines Upgrades entfernt Tenable Identity Exposure die geplanten Aufgaben und erstellt sie neu.
Das Tier0-Asset-Diagramm wird in Tenable Identity Exposure jetzt erfolgreich erstellt.
Der Sicherheitsanalyse-Dienst verarbeitet seine Eingaben während hoher CPU-Spitzen (z. B. während Sicherheitsprüfungen).
Tenable Identity Exposure zeigt auch für Systemdiagnoseprobleme mit unbekanntem Status eine Beschreibung an.
Tenable Identity Exposure analysiert Vertrauensstellungsattribute korrekt (selbst wenn sie in seltenen Szenarien fehlen), um die Topologieansicht ohne Probleme anzuzeigen.
Das Indicator of Attack- (IoA-)Deadlock-Problem tritt nicht mehr auf dem Computer auf, der den Sicherheitsanalysedienst hostet.
Die Integritätsprüfung für den AD-Datensammlerdienst wird jetzt als „true“ gemeldet.
Der IoE „Anwendung von schwachen Passwortrichtlinien auf Benutzer“ enthält Verbesserungen, um Grenzfälle in Bezug auf die Grenzwerte von Optionen besser zu verarbeiten.
Das Secure Relay-Installationsprogramm wird nach dem Upgrade und Neustart des Directory Listener nicht mehr ausgelöst.
Tenable Identity Exposure verhindert jetzt, dass das Secure Relay wiederholt LDAP-Abfrageergebnisse sendet, die vom Sicherheitsanalysedienst nicht mehr benötigt werden.
Der DCSync-IoA berücksichtigt jetzt den Grenzfall, bei dem der „samAccountName“ des Tenable-Dienstkontos mehr als 20 Zeichen umfasst, und stellt sicher, dass keine Warnungen ausgelöst werden, wenn die Funktion „Privilegierte Analyse“ aktiviert ist.
Wenn Sie eine lokalisierte Version des Installationsprogramms verwenden, wird beim Hochladen ungültiger Zertifikate eine Fehlermeldung in Englisch angezeigt.
Der IoE „Mit Microsoft Entra ID synchronisierte privilegierte AD-Benutzerkonten“ erfordert nicht mehr die Option „Zulassungsliste mit Computern“.
Die Option „Zeitintervall für Erkennung“ des IoA „Ermitteln von Passwörtern“ wird jetzt mit der richtigen Bezeichnung angezeigt.
Die Tenable Identity Exposure-Benutzeroberfläche wird beim Zugriff auf die Basis-URL der Tenable Identity Exposure-Umgebung nicht mehr zweimal geladen.
In Tenable Identity Exposure wurde das Verhalten von Berechtigungen im Zusammenhang mit den Seiten für Indicators of Exposure aktualisiert.
Tenable Identity Exposure kann jetzt die uneingeschränkte Ausführung von SQL-Abfragen auf kleinen SaaS-Plattformen besser verhindern und gewährleistet so einen zuverlässigen Datenbankzugriff.
In Tenable Identity Exposure werden jetzt alle Entra ID-IoEs im IoE-Fensterbereich angezeigt.
In Tenable Identity Exposure wurden Fehlalarme beseitigt, die durch den Indicator of Attack „Password Spraying“ (und möglicherweise andere IoAs) verursacht wurden.
Für einige Grenzfälle wurde in Tenable Identity Exposure der Secure Relay-Installationsprozess für in die Domäne eingebundene Computer aktualisiert: Kunden, die ein Domänenadministratorkonto verwenden, werden jetzt aufgefordert, stattdessen ein lokales Administratorkonto zu verwenden.
In Tenable Identity Exposure wurde ein Mechanismus eingeführt, der während des Relay-Starts eine Netzwerkprüfung zwischen dem Relay und der Plattform durchführt. Wenn die Plattform noch nicht betriebsbereit ist, wartet der Relay-Startvorgang, um eine stabile Verbindung sicherzustellen, bevor er fortfährt.
Wenn Sie über eine Tenable One-Lizenz verfügen, werden Benutzer in Tenable Vulnerability Management erstellt und die Informationen werden an Tenable Identity Exposure übertragen. Wenn Sie in diesem Fall in Tenable Identity Exposure auf die Schaltfläche „Benutzer erstellen“ klicken, wird eine Meldung angezeigt, die Sie zu Tenable Vulnerability Management leitet, um Benutzer zu erstellen.
Das Tenable Identity Exposure-Installationsprogramm funktioniert jetzt für lokalisierte Versionen korrekt.
Tenable Identity Exposure deinstalliert eine ältere .NET-Version während eines großen Upgrades.
In Tenable Identity Exposure wurde ein Protokollierungsproblem im IoA „NTDS-Extrahierung“ behoben und dadurch sichergestellt, dass der IoA in allen Szenarien korrekt funktioniert.
Der IoA „Ermitteln von Passwörtern“ wurde mit der neuen Option „Zeitintervall für Erkennung“ aktualisiert, die zuvor fälschlicherweise auf den IoA „Passwort Spraying“ verwies.
Der IoA „GoldenTicket“ wurde optimiert und vermeidet jetzt gelegentliche Pausen in der IoA- und IoE-Analyse, die zuvor eine Stunde oder länger dauerten.
Der verbesserte Erkennungsalgorithmus im IoA „Golden Ticket“ reduziert falsch negative und falsch positive Ergebnisse.
Tenable Identity Exposure kann jetzt besser verhindern, dass SQL-Abfragen auf kleinen Plattformen auf unbestimmte Zeit ausgeführt werden, sodass ein zuverlässiger Zugriff auf die Datenbank gewährleistet ist.
Der öffentliche API-Endpunkt /export/profile/:profileId/checkers/:checkerId funktioniert jetzt ohne Optionen korrekt.
Die MSI-Protokolldateien sind nach der Installation oder einem Upgrade unter C:\Tenable\Logs verfügbar.
Softwarename Vor dem Upgrade Vor dem Upgrade Nach dem Upgrade
Tenable Identity Exposure 3.42.20 3.59.8 3.77.3
C++ 2015–2019 Redistributable 14.38.33135.0 14.38.33135.0 14.38.33135.0
.NET Windows Server Hosting 6.0.35 6.0.35 8.0.10.24468
IIS URL Rewrite Module 2 7.2.1993 7.2.1993 7.2.1993
Application Request Routing 3.0 3.0.5311 3.0.5311 3.0.5311
NodeJS 18.20.4 20.18.0 20.18.0
Erlang OTP 26.2.5.4 26.2.5.4 26.2.5.4
RabbitMQ 3.12.14 3.12.4 3.12.14
SQL Server 15.0.4385.2 15.0.4385.2 15.0.4385.2
OpenSSL 1.1t 3.2.0 3.3.2
Envoy -- 1.29.9 1.29.9
Handle 5.0.0 5.0.0 5.0.0
Curl 8.10.1 8.10.1 8.10.1
Hinweis: Tenable Identity Exposure zeigt eine Warnung an, wenn die Anzahl der Benutzer 95 % der maximalen Lizenzanzahl erreicht. Wenn Sie diesen Grenzwert überschreiten, werden Sie aufgefordert, Ihre Lizenz zu überprüfen. Sobald die Nutzung 110 % überschreitet, blockiert Tenable Identity Exposure bestimmte IoE-Funktionen, bis Sie die Überschreitung der maximalen Lizenzanzahl behoben haben.

Tenable Identity Exposure 3.59 (20.02.2024)

Diese Version hat das Ende des Lebenszyklus (End of Life, EOL) erreicht. Führen Sie ein Upgrade auf eine unterstützte Version durch. Informationen zu EOL-Terminen und Richtlinien für Tenable-Produkte finden Sie in der Matrix und Richtlinie zum Tenable Software Release Lifecycle.