Tenable Identity Exposure On-Premises – Versionshinweise 2024
Diese Versionshinweise sind in umgekehrter chronologischer Reihenfolge aufgelistet.
Tenable Identity Exposure 3.77.6 (04.12.2024)
Fehlerkorrekturen
Tenable Identity Exposure Version 3.77.6 enthält die folgenden Fehlerkorrekturen:
| Die Datei updater.exe wird jetzt mit dem Tenable-Zertifikat digital signiert. Dies stellt den Schutz vor nicht autorisierten Änderungen sicher und belegt die Authentizität der Datei. |
| Tenable Identity Exposure stellt jetzt korrekte Angriffsvektoren für PetitPotam über ein verbessertes Korrelationsmodul bereit. Sie müssen den IoA-Ereignis-Listener erneut bereitstellen. |
| Tenable Identity Exposure unterstützt jetzt zusätzliche Reverse DNS-Formate, um IPv4-Adressen aus DnsNode-Objekten zu extrahieren, und behebt dadurch die früheren „Unbekannt“ -Ausgaben im Indicator of Attack (IoA). Diese Verbesserung optimiert den Warnmeldungskontext und erhöht die Genauigkeit relevanter IoAs im einfachen Modus. |
| TCP-Syslog-Warnungen funktionieren unter Windows Server 2016 wie erwartet. |
| Die geplante Secure Relay-Aufgabe enthält jetzt den gültigen Parameter -AfadRolePath. Während eines Upgrades entfernt Tenable Identity Exposure die geplanten Aufgaben und erstellt sie neu. |
| Der IoE Gefährliche ADCS-Fehlkonfigurationen berücksichtigt jetzt die Option „Liste zulässiger Vertrauensnehmer“. |
| Der IoE Gefährliche Kerberos-Delegierung erzwingt jetzt die Aufnahme deaktivierter Objekte in die Zulassungsliste. |
| Der IoE Anwendung von schwachen Passwortrichtlinien auf Benutzer zeigt keine falsch positiven Ergebnisse mehr für den Grund „Es werden keine privilegierten PSO auf die Domäne angewendet“ an. |
| Für belastende Attribute werden jetzt detaillierte Werte angezeigt, wenn sie lokalisiert sind. |
| Im Indicator of Attack NTDS-Extrahierung wurde die Option „Zulässige Prozesse“ umbenannt, um zu verdeutlichen, dass sie nur im „aggressiven“ Modus verwendet wird. Außerdem wurde die Option „Zulässige NTDS-Zielpfade“ entfernt. |
| In Tenable Identity Exposure werden CSV-Exporte jetzt richtig erstellt, indem doppelte Anführungszeichen (") mit Escape-Zeichen versehen werden. Dadurch wird die Genauigkeit der exportierten Daten verbessert. |
| Wenn einige Domänen nicht erreichbar sind, zeigen die Konnektivitätstests für alle Domänen eine bessere Leistung, um unerwartete Zeitüberschreitungen der Weboberfläche zu verhindern. |
| Tenable Identity Exposure wurde angepasst und analysiert jetzt Windows-Ereignisprotokolle, die mit Verzögerung aufgenommen wurden. |
| Die Genauigkeit des Datums der letzten Erkennung wurde in Indicators of Exposures (IoE) verbessert. |
| Für eine Microsoft Entra ID-Abweichung werden jetzt die korrekten Ergebnisse für den ausgewählten Mandanten angezeigt. |
| In bestimmten Grenzfällen kann Tenable Identity Exposure Passwort-Hashes nicht analysieren. |
| In Tenable Identity Exposure wurde das Feld „UserNameVariants“ zu DCSyncData hinzugefügt, was es ermöglicht, Benutzernamen unabhängig vom Format (SID, UPN, sAMAccountName) in die Zulassungsliste aufzunehmen. Derzeit gilt diese Änderung nur für den DCSync-IoA (Indicator of Attack). |
| Envoy speichert das CA-Zertifikat in einem verschlüsselten Format. Die Standardgröße für die Routenkonfiguration wurde von 4 KB auf 4 MB erhöht, um größere Payloads zu unterstützen. |
| Tenable Identity Exposure testet die Konnektivität zu cloud.tenable.com jetzt ordnungsgemäß. |
| Nach einem LDAP-Konnektivitätsproblem wird der Directory Listener nach 12 Stunden automatisch neu gestartet, um eine erneute Synchronisierung mit potenziell fehlenden ADObject-Status durchzuführen. |
| Bei UDP-Syslog-Warnungen wird die Payload jetzt abgeschnitten, sobald sie die MTU-Größe erreicht. |
Aktualisierte Softwareabhängigkeiten
| Softwarename | Vor dem Upgrade | Nach dem Upgrade |
|---|---|---|
| Tenable Identity Exposure | 3.77.3 | 3.77.6 |
| C++ 2015–2019 Redistributable | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 8.0.10.24468 | 8.0.11.24521 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.0 | 20.18.1.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.5 |
| Rabbit MQ | 3.12.14 | 4.0.3 |
| SQL Server | 15.0.4385.2 | 15.0.4405.4 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.9 | 1.29.10 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.11.0 |
Tenable Identity Exposure 3.77.3 (06.11.2024)
Neue Funktionen
-
Indicators of Attack (IoA)
-
Neue einfache und aggressive Modi – Der einfache Modus ist für Kunden gedacht, die ein optimiertes Setup bevorzugen, das den Zeitaufwand für die Konfiguration minimiert und zu weniger Fehlalarmen führt, wodurch unnötige Störungen durch Warnungen reduziert werden. Dies gilt für die folgenden IoAs:
-
DCSync
-
Verdächtige Änderung des DC-Passworts
-
Golden Ticket
-
NTDS-Extrahierung
-
OS Credential Dumping: LSASS-Speicher
-
Auflistung lokaler Administratoren
-
SAMAccountName-Identitätswechsel
-
-
-
Indicators of Exposure (IoE)
-
Neue IoEs
- Shadow Credentials – Ein neuer IoE erkennt Backdoors und Fehlkonfigurationen von „Schatten-Anmeldeinformationen“ in der Funktion „Windows Hello for Business“ und den zugehörigen Schlüssel-Anmeldeinformationen.
-
Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten – Ein neuer IoE stellt die ordnungsgemäße Bereitstellung und Konfiguration von verwalteten Dienstkonten sicher.
-
Konfiguration eines privilegierten Authentifizierungssilos – Unterstützt AD-Administratoren bei der Installation und Einrichtung eines Authentifizierungssilos für Stufe-0-Konten.
-
Integrität von Eigenschaftensätzen – Ein „Eigenschaftensatz“ in Microsoft Active Directory (AD) konsolidiert mehrere Attribute, um die ACL-Verwaltung einfacher und effizienter zu machen. Dieser Indicator of Exposure prüft auf Fehlkonfigurationen oder potenzielle Backdoors innerhalb dieser AD-Objekte und ihrer Attribute.
-
Mit Microsoft Entra ID synchronisierte privilegierte AD-Benutzerkonten – Überprüft, dass privilegierte Active Directory-Benutzerkonten nicht mit Microsoft Entra ID synchronisiert werden.
-
Gastkonto aktiviert – Überprüft, ob das integrierte Gastkonto deaktiviert ist.
-
In Konflikt stehende Sicherheitsprinzipale – Prüft, ob doppelte (in Konflikt stehende) Benutzer, Computer oder Gruppen vorhanden sind.
-
RSoP-basierte IoEs – Zur Verbesserung der Leistung führt Tenable Identity Exposure keine Live-RSoP-Prüfungen (Resultant Set of Policy) durch. Legen Sie stattdessen eine RSoP-Sicherheitsprüfung in 30-Minuten-Intervallen fest, was eine bessere Verwaltung zugehöriger Prüfungen ermöglicht, die während des RSoP-Prozesses ausgeführt werden müssen. Weitere Informationen finden Sie unter RSoP-basierte Indicators of Exposure.
-
Letzte Passwortänderung für das KRBTGT-Konto – Das krbtgt_AzureAD-Konto in Windows Hello for Business (Cloud Trust-Bereitstellung) wird jetzt unterstützt.
-
Umkehrbare Passwörter – Umkehrbare Passwörter, die vom PSO mit dem Attribut msDS-PasswordReversibleEncryptionEnabled definiert wurden, werden jetzt validiert.
-
Lokale Administratorkonto-Verwaltung – Unterstützt die neue Windows LAPS-Funktion. Stellt eine neue Option mit dem Namen „Installierte LAPS-Version“ bereit und validiert die Konfiguration der LAPS-Version basierend auf den vom Benutzer ausgewählten Optionen.
-
- Proxy – Während der Installation oder eines Upgrades von Tenable Identity Exposure kann eine Proxy-Konfiguration definiert werden. Diese Proxy-Verbindung ermöglicht es On-Premises-Umgebungen, mit Tenable One-Funktionen zu arbeiten.
-
Installation eines Secure Relay – Das verbesserte Installationsprogramm vereinfacht das Hochladen des selbstsignierten Zertifikats aus dem Directory Listener, wenn Sie das Secure Relay auf einem separaten (eigenständigen) Computer installieren.
Verbesserungen
-
E-Mail-Warnungen unterstützen jetzt nur noch abgesicherte Verschlüsselungsprotokolle, und zwar TLS 1.2 und 1.3. Kunden, die ihr Secure Relay so eingestellt haben, dass es veraltete SMTP-Verschlüsselungsstandards wie SSLv3 verwendet, müssen diese Einstellung aufheben. Die einzigen zulässigen Werte sind „Tls12“, „Tls13“ oder „Tls12, Tls13“ für automatischen Wechsel basierend auf der Serverversion. Die Verwendung nicht unterstützter Werte verhindert, dass das Relay gestartet wird.
-
Neue „Verzögerung” von 10 Stunden (IoA Golden Ticket), um legitime Benutzer während dieses Zeitraums auf die Zulassungsliste zu setzen und so die Anzahl von falsch positiven Ergebnissen zu reduzieren.
-
IoA-Setup – Möglichkeit, die Dauer der Ereigniserfassung auszuwählen, bevor die Ereignisanalyse ausgelöst wird. Zulässige Werte liegen im Bereich zwischen 30 Sekunden und 9 Minuten.
-
Active Directory – In Tenable Identity Exposure wurde die Größenbeschränkung für die von der Anwendung verwalteten AD-Objekte heraufgesetzt.
-
Indicators of Exposure
-
Gefährliche Kerberos-Delegierung
-
Betrachtet Benutzer mit Smartcards nicht mehr als Sicherheitsproblem, da sie nicht vom AS-REP-Roasting-Angriff betroffen sind.
-
Kennzeichnet Computer nicht mehr aus dem Grund „Nicht vor Delegierung geschützt“ als Abweichung; bestehende Abweichungen werden aufgelöst.
-
Ein neuer Grund meldet alle Konten, in denen das von der eingeschränkten Delegierung verwendete Attribut (msDS-AllowedToDelegateTo) auf einen Dienstprinzipalnamen (Service Principal Name, SPN) verweist, der nicht existiert.
-
Ein neuer Grund ermittelt die aktuelle Konfiguration der Kerberos-Delegierung für ein Microsoft Entra Connect-Konto (AZUREADSSOACC).
-
-
Primäre Gruppe des Benutzers – Dieser IoE wurde um einen zusätzlichen Grund ergänzt, der alle Konten meldet, in denen das Attribut primaryGroupID aufgrund unzureichender Rechte leer ist.
Konten mit nie ablaufenden Passwörtern – Ein neuer Grund, um zwischen privilegierten und regulären Benutzern zu unterscheiden.
In Konflikt stehende Sicherheitsprinzipale – Ein neuer IoE prüft, ob doppelte (in Konflikt stehende) Objekte wie Benutzer, Computer oder Gruppen vorhanden sind.
Benutzerkonto mit altem Passwort, Computer mit veraltetem BS und Inaktive Konten – Zwei neue Gründe, um zwischen privilegierten und regulären Benutzern zu unterscheiden.
Domäne ohne GPOs für die Computerhärtung
Neue Überprüfungen, um sicherzustellen, dass Null-Sitzungen auf allen Domänencomputern explizit deaktiviert sind.
Neue Überprüfungen im Zusammenhang mit gehärteten UNC-Pfaden, die für Domänencontroller konfiguriert sind (SYSVOL-/NETLOGON-Freigaben).
Neue Überprüfungen, um sicherzustellen, dass der Druckspooler-Dienst auf allen Domänencontrollern deaktiviert ist.
Erzwingung der SMB-Signatur – Tenable Identity Exposure stellt sicher, dass auf Domänencontrollern und anderen Servern eine ordnungsgemäße SMB-Signatur durchgesetzt wird. Hiermit wird der Parameter „Default Domain Controllers Policy“ validiert und geprüft, ob die GPO-Konfiguration auf anderen Servern korrekt ist.
Fehlerkorrekturen
Tenable Identity Exposure Version 3.77.3 enthält die folgenden Fehlerkorrekturen:
| Fehlerkorrektur |
|---|
| Mit der Option „Zulässige Benutzer“ im Indicator of Exposure „Gruppe der geschützten Benutzer wird nicht verwendet“ können Sie Benutzer jetzt nach UserPrincipalName (UPN), SID und sAMAccountName auf die Zulassungsliste setzen, anstatt wie zuvor nur nach Distinguished Name. |
| Der Indicator of Attack-Listener unterstützt jetzt die Codierung mit Nicht-ASCII-Zeichen. |
| Tenable Identity Exposure löst die Abweichung „Anwendung von schwachen Passwortrichtlinien auf Benutzer“ nicht für Computer innerhalb eines Containers auf der Zulassungsliste aus (im Profil konfiguriert). |
| Tenable Identity Exposure zeigt eine Warnmeldung an, die Ihnen empfiehlt, vor dem Upgrade einen System-Snapshot zu erstellen. |
| In Tenable Identity Exposure wurde der Rollback-Prozess verbessert, indem verbleibende Elemente jetzt entfernt werden. |
| In Tenable Identity Exposure wurde das Problem mit der Indicator of Exposure-Anzeige bei der Anzeige der Details von schreibgeschützten Profilen behoben. |
| Envoy verwendet nun zuerst IPv4 und führt dann ein Fallback auf IPv6 durch. Dies ist eine Korrektur der aktuellen Konfiguration, in der die umgekehrte Reihenfolge vorgeht. |
|
Die Möglichkeit, das Cookie für die Login-Sitzung abzusichern, um sicherzustellen, dass Sitzungscookies nur über HTTPS gesendet werden. Die erhöht die Sicherheit der Webanwendung. |
| Die geplante Secure Relay-Aufgabe enthält jetzt den gültigen Parameter -AfadRolePath. Während eines Upgrades entfernt Tenable Identity Exposure die geplanten Aufgaben und erstellt sie neu. |
| Das Tier0-Asset-Diagramm wird in Tenable Identity Exposure jetzt erfolgreich erstellt. |
| Der Sicherheitsanalyse-Dienst verarbeitet seine Eingaben während hoher CPU-Spitzen (z. B. während Sicherheitsprüfungen). |
| Tenable Identity Exposure zeigt auch für Systemdiagnoseprobleme mit unbekanntem Status eine Beschreibung an. |
| Tenable Identity Exposure analysiert Vertrauensstellungsattribute korrekt (selbst wenn sie in seltenen Szenarien fehlen), um die Topologieansicht ohne Probleme anzuzeigen. |
| Das Indicator of Attack- (IoA-)Deadlock-Problem tritt nicht mehr auf dem Computer auf, der den Sicherheitsanalysedienst hostet. |
| Die Integritätsprüfung für den AD-Datensammlerdienst wird jetzt als „true“ gemeldet. |
| Der IoE „Anwendung von schwachen Passwortrichtlinien auf Benutzer“ enthält Verbesserungen, um Grenzfälle in Bezug auf die Grenzwerte von Optionen besser zu verarbeiten. |
| Das Secure Relay-Installationsprogramm wird nach dem Upgrade und Neustart des Directory Listener nicht mehr ausgelöst. |
| Tenable Identity Exposure verhindert jetzt, dass das Secure Relay wiederholt LDAP-Abfrageergebnisse sendet, die vom Sicherheitsanalysedienst nicht mehr benötigt werden. |
| Der DCSync-IoA berücksichtigt jetzt den Grenzfall, bei dem der „samAccountName“ des Tenable-Dienstkontos mehr als 20 Zeichen umfasst, und stellt sicher, dass keine Warnungen ausgelöst werden, wenn die Funktion „Privilegierte Analyse“ aktiviert ist. |
| Wenn Sie eine lokalisierte Version des Installationsprogramms verwenden, wird beim Hochladen ungültiger Zertifikate eine Fehlermeldung in Englisch angezeigt. |
| Der IoE „Mit Microsoft Entra ID synchronisierte privilegierte AD-Benutzerkonten“ erfordert nicht mehr die Option „Zulassungsliste mit Computern“. |
| Die Option „Zeitintervall für Erkennung“ des IoA „Ermitteln von Passwörtern“ wird jetzt mit der richtigen Bezeichnung angezeigt. |
| Die Tenable Identity Exposure-Benutzeroberfläche wird beim Zugriff auf die Basis-URL der Tenable Identity Exposure-Umgebung nicht mehr zweimal geladen. |
| In Tenable Identity Exposure wurde das Verhalten von Berechtigungen im Zusammenhang mit den Seiten für Indicators of Exposure aktualisiert. |
| Tenable Identity Exposure kann jetzt die uneingeschränkte Ausführung von SQL-Abfragen auf kleinen SaaS-Plattformen besser verhindern und gewährleistet so einen zuverlässigen Datenbankzugriff. |
| In Tenable Identity Exposure werden jetzt alle Entra ID-IoEs im IoE-Fensterbereich angezeigt. |
| In Tenable Identity Exposure wurden Fehlalarme beseitigt, die durch den Indicator of Attack „Password Spraying“ (und möglicherweise andere IoAs) verursacht wurden. |
| Für einige Grenzfälle wurde in Tenable Identity Exposure der Secure Relay-Installationsprozess für in die Domäne eingebundene Computer aktualisiert: Kunden, die ein Domänenadministratorkonto verwenden, werden jetzt aufgefordert, stattdessen ein lokales Administratorkonto zu verwenden. |
| In Tenable Identity Exposure wurde ein Mechanismus eingeführt, der während des Relay-Starts eine Netzwerkprüfung zwischen dem Relay und der Plattform durchführt. Wenn die Plattform noch nicht betriebsbereit ist, wartet der Relay-Startvorgang, um eine stabile Verbindung sicherzustellen, bevor er fortfährt. |
| Wenn Sie über eine Tenable One-Lizenz verfügen, werden Benutzer in Tenable Vulnerability Management erstellt und die Informationen werden an Tenable Identity Exposure übertragen. Wenn Sie in diesem Fall in Tenable Identity Exposure auf die Schaltfläche „Benutzer erstellen“ klicken, wird eine Meldung angezeigt, die Sie zu Tenable Vulnerability Management leitet, um Benutzer zu erstellen. |
| Das Tenable Identity Exposure-Installationsprogramm funktioniert jetzt für lokalisierte Versionen korrekt. |
| Tenable Identity Exposure deinstalliert eine ältere .NET-Version während eines großen Upgrades. |
| In Tenable Identity Exposure wurde ein Protokollierungsproblem im IoA „NTDS-Extrahierung“ behoben und dadurch sichergestellt, dass der IoA in allen Szenarien korrekt funktioniert. |
| Der IoA „Ermitteln von Passwörtern“ wurde mit der neuen Option „Zeitintervall für Erkennung“ aktualisiert, die zuvor fälschlicherweise auf den IoA „Passwort Spraying“ verwies. |
| Der IoA „GoldenTicket“ wurde optimiert und vermeidet jetzt gelegentliche Pausen in der IoA- und IoE-Analyse, die zuvor eine Stunde oder länger dauerten. |
| Der verbesserte Erkennungsalgorithmus im IoA „Golden Ticket“ reduziert falsch negative und falsch positive Ergebnisse. |
| Tenable Identity Exposure kann jetzt besser verhindern, dass SQL-Abfragen auf kleinen Plattformen auf unbestimmte Zeit ausgeführt werden, sodass ein zuverlässiger Zugriff auf die Datenbank gewährleistet ist. |
| Der öffentliche API-Endpunkt /export/profile/:profileId/checkers/:checkerId funktioniert jetzt ohne Optionen korrekt. |
| Die MSI-Protokolldateien sind nach der Installation oder einem Upgrade unter C:\Tenable\Logs verfügbar. |
Aktualisierte Softwareabhängigkeiten
| Softwarename | Vor dem Upgrade | Vor dem Upgrade | Nach dem Upgrade |
|---|---|---|---|
| Tenable Identity Exposure | 3.42.20 | 3.59.8 | 3.77.3 |
| C++ 2015–2019 Redistributable | 14.38.33135.0 | 14.38.33135.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 6.0.35 | 6.0.35 | 8.0.10.24468 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.4 | 20.18.0 | 20.18.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.4 | 26.2.5.4 |
| Rabbit MQ | 3.12.14 | 3.12.4 | 3.12.14 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 1.1t | 3.2.0 | 3.3.2 |
| Envoy | -- | 1.29.9 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.10.1 | 8.10.1 |
Tenable Identity Exposure 3.59.8 (23.10.2024)
Fehlerkorrekturen
Tenable Identity Exposure Version 3.59.8 enthält die folgenden Fehlerkorrekturen:
| Fehlerkorrektur |
|---|
| Die geplante Secure Relay-Aufgabe enthält jetzt den gültigen Parameter -AfadRolePath. Während eines Upgrades entfernt Tenable Identity Exposure die geplanten Aufgaben und erstellt sie neu. |
| In Tenable Identity Exposure wurde RabbitMQ auf eine stabilere Version heruntergestuft. |
| In lokalisierten Versionen des Tenable Identity Exposure-Installationsprogramms wird beim Hochladen eines ungültigen Zertifikats eine Fehlermeldung auf Englisch ausgegeben. |
Aktualisierte Softwareabhängigkeiten
| Softwarename | Vor dem Upgrade | Nach dem Upgrade |
|---|---|---|
| Tenable Identity Exposure | 3.59.7 | 3.59.8 |
| C++ 2015–2019 Redistributable | 14.40.33810.0 | 14.38.33135.0 |
| .NET Windows Server Hosting | 6.0.32 | 6.0.35 |
| .NET Runtime | 6.0.32 | 6.0.35 |
| .Net Core | 6.0.32 | 6.0.35 |
| ASP.NET Core | 6.0.32 | 6.0.35 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.18.0 |
| Erlang OTP | 26.2.5.2 | 26.2.5.4 |
| Rabbit MQ | 3.13.6 | 3.12.4 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 3.3.0 | 3.3.2 |
| Envoy | 1.29.5 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.9.1 | 8.10.1 |
Tenable Identity Exposure 3.59.7 (14.08.2024)
Fehlerkorrekturen
Tenable Identity Exposure Version 3.59.7 enthält die folgenden Fehlerkorrekturen:
| Fehlerkorrektur |
|---|
| Wenn sich der Proxy auf dem Windows-Server ändert, wird die Verbindung der .NET-Komponenten jetzt nicht mehr getrennt, sondern geschlossen und erneut eröffnet. |
| Spezifische Fälle mit Spitzen bei der Anzahl der Threads zwischen dem Directory Listener und dem Relay führen nicht mehr dazu, dass die Verbindung zwischen diesen beiden Diensten unterbrochen wird. |
| Der Register Listener kann jetzt Leerzeichen im samaccountname des Kontos verarbeiten. |
Aktualisierte Softwareabhängigkeiten
| Softwarename | Vor dem Upgrade | Nach dem Upgrade |
|---|---|---|
| Tenable Identity Exposure | 3.59.6 | 3.59.7 |
| C++ 2015–2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.32 | 6.0.32 |
| .NET Runtime | 6.0.32 | 6.0.32 |
| .Net Core | 6.0.32 | 6.0.32 |
| ASP.NET Core | 6.0.32 | 6.0.32 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.14.0 |
| Erlang OTP | 26.2.5.2 | 26.2.5.2 |
| Rabbit MQ | 3.13.6 | 3.13.6 |
| SQL Server | 15.0.4375.4 | 15.0.4385.2 |
| OpenSSL | 3.3.0 | 3.3.0 |
| Envoy | 1.29.5 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.7.1 | 8.9.1 |
Tenable Identity Exposure 3.59.6 (05.08.2024)
Fehlerkorrekturen
Tenable Identity Exposure Version 3.59.6 enthält die folgenden Fehlerkorrekturen:
| Fehlerkorrektur |
|---|
| Das Secure Relay-Installationsprogramm überprüft jetzt, ob der aktuelle Benutzer ein lokaler Administrator ist. |
| Wenn Sie das Secure Relay unter Verwendung eines Domänenadministratorkontos auf einem in die Domäne eingebundenen Computer installieren, wird eine Popup-Meldung mit der Aufforderung angezeigt, ein lokales Administratorkonto zu verwenden. |
| Wenn auf dem Computer, der den Sicherheitsanalysedienst (Cygni) hostet, Proxy-Änderungen vorgenommen werden, verursacht dies keinen Deadlock mehr. |
Aktualisierte Softwareabhängigkeiten
| Softwarename | Vor dem Upgrade | Nach dem Upgrade |
|---|---|---|
| Tenable Identity Exposure | 3.59.5 | 3.59.6 |
| C++ 2015–2019 Redistributable | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.31 | 6.0.32 |
| .NET Runtime | 6.0.31 | 6.0.32 |
| .Net Core | 6.0.31 | 6.0.32 |
| ASP.NET Core | 6.0.31 | 6.0.32 |
| IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.14.0 |
| Erlang OTP | 26.2.5 | 26.2.5.2 |
| Rabbit MQ | 3.13.3 | 3.13.6 |
| SQL Server | 15.0.4375.4 | 15.0.4375.4 |
| OpenSSL | 3.3.0 | 3.3.0 |
| Envoy | 1.29.5 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.7.1 | 8.7.1 |
Tenable Identity Exposure 3.59.5 (02.07.2024)
Verbesserung
-
Unterstützung für OpenSSL 3.0 – In dieser Version wurde ein Upgrade auf OpenSSL Version 3.0.x durchgeführt. Infolgedessen funktionieren mit SHA1 signierte X.509-Zertifikate nicht mehr auf Sicherheitsstufe 1 oder höher. TLS verwendet standardmäßig die Sicherheitsstufe 1, wodurch SHA1-signierte Zertifikate für Authentifizierungsserver oder -clients nicht mehr vertrauenswürdig sind.
Sie müssen Ihre Zertifikate aktualisieren, um diese Änderung zu berücksichtigen. Wenn Sie die Installation fortsetzen, ohne Ihre Zertifikate für die Verwendung von OpenSSL 3.0 zu aktualisieren, gibt das Installationsprogramm von Tenable Identity Exposure die folgenden Fehlermeldungen mit empfohlenen Fehlerkorrekturen zurück:
-
Weitere Informationen finden Sie in den Versionshinweisen zu OpenSSL 3.0.
-
Informationen zum Upgrade auf Version 3.59.5 finden Sie im Abschnitt mit Upgrade-Anforderungen und -Verfahren im Tenable Identity Exposure-Benutzerhandbuch.
Fehlerkorrekturen
Tenable Identity Exposure Version 3.59.5 enthält die folgenden Fehlerkorrekturen:
| Fehlerkorrektur |
|---|
| Die von SAML generierten Tenable-Zertifikate verwenden jetzt eine Schlüsselgröße von 4096 Bit mit SHA-256-Verschlüsselung (zuvor 1024 Bit). |
| Die Implementierung eines Sicherheitsmechanismus behebt Probleme mit der Funktion zur Benutzerauflistung während Kontosperrungen. |
| Durch ein Update der Liste mit TLS-Verschlüsselungssammlungen wird die Kompatibilität mit Azure ARC Update Manager für Windows Server 2022 sichergestellt. |
| Die Secure Relay-Installation kann jetzt nach einem fehlgeschlagenen Upgrade von Tenable Identity Exposure fortgesetzt werden. |
| Die Behebung von Abweichungen für den Indicator of Exposure Konten mit einer kompatiblen Zugriffssteuerung vor Windows 2000 wird jetzt korrekt angezeigt. |
| Das Relay stellt jetzt die zuverlässige Zustellung von Syslog-Nachrichten in Netzwerken mit Latenzzeiten sicher. |
| Eine Änderung der Korrelation für den Prozessnamen im Angriffsvektor des Indicator of Attack Credential Dumping: LSASS-Speicher verringert die Anzahl von Unbekannten. |
| Ein neuer Mechanismus stellt sicher, dass die Datenbank gegenüber zu vielen Änderungen des Attributs badPwdCount resilient ist. In bestimmten Grenzfällen wurde die Verbindung zwischen dem Dienst, der die Rate der badPwdCount-Ereignisse (Anzahl ungültiger Passwörter) verwaltet, und dem Manager der Nachrichtenwarteschlange getrennt, was zu Unterbrechungen der Ereignisbehandlung führte. |
| Die Webanwendung unterstützt jetzt das Hochladen eines ECC-CA-Zertifikats, das für die Validierung von TLS-Verbindungen, einschließlich LDAPS-Authentifizierung, SMTPS und mehr, verwendet wird. |
| Aktivitätsprotokolle melden keine Aktivität interner Dienste mehr. |
| Die Rollback-Resilienz nach fehlgeschlagenen Upgrades wurde verbessert und stellt dadurch sicher, dass Umgebungsvariablen unverändert bleiben. |
| Die Fehlermeldungen, die bei einem Fehlschlag des Installationsprogramms während des Kommunikationstests zwischen dem Relay und der Plattform ausgegeben werden, wurden verbessert und bieten jetzt klarere Anweisungen. |
| Secure Relay-Installation: Im Bildschirm „Proxy-Konfiguration“ werden leere bearbeitbare Felder angezeigt, um ein potenzielles Standard-Rollback zu vermeiden. |
Aktualisierte Softwareabhängigkeiten
| Softwarename | Vor dem Upgrade | Nach dem Upgrade |
|---|---|---|
| Tenable Identity Exposure | 3.59.4 | 3.59.5 |
| C++ 2015–2019 Redistributable | 14.24.28127.4 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.27 | 6.0.31 |
| .NET Runtime | 6.0.27 | 6.0.31 |
| ASP.NET Core | 6.0.27 | 6.0.31 |
| IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.05311 | 3.0.5311 |
| NodeJS | 18.19.0 | 20.14.0 |
| Erlang OTP | 26.2.2 | 26.2.5 |
| Rabbit MQ | 3.12.12 | 3.13.3 |
| SQL Server | 15.0.4335.1 | 15.0.4375.4 |
| OpenSSL | 1.1.1t | 3.3.0 |
| Envoy | 1.29.4 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.4 | 8.7.1 |
Tenable Identity Exposure 3.59.4 (20.02.2024)
Neue Funktionen
- Secure Relay – Einführung eines neuen Modus zur Übertragung Ihrer Active Directory-Daten aus Ihrem Netzwerk an Tenable Identity Exposure, bei dem TLS (Transport Layer Security) anstelle von AMQP (Advanced Message Queuing Protocol) verwendet wird. Weitere Informationen finden Sie unter Upgrade to Use Secure Relay im Installationshandbuch und unter Relay konfigurieren im Administratorhandbuch.
Warnmeldungen und Authentifizierung – Das Secure Relay unterstützt Syslog- und SMTP-Warnmeldungen. Weitere Informationen finden Sie unter Secure Relay im Tenable Identity Exposure-Administratorhandbuch.
Authentifizierung – Sie können die LDAP-Authentifizierung konfigurieren, indem Sie ein Secure Relay auswählen. Dieses Relay stellt eine Verbindung zu Ihrem LDAP-Server her, um den Benutzer zu authentifizieren.
Warnungen – Die Syslog- und SMTP-Warnungsfunktion kann Warnungen über ein Secure Relay an private Server senden. Beim Erstellen einer Warnmeldung werden Sie von der Secure Relay-Plattform zur Auswahl eines Relay aufgefordert. Sie können Relays einrichten und diese entweder für Domänenüberwachung und -warnungen oder für beides verwenden.
Wenn Sie Secure Relay verwenden und Warnungen vorliegen, weist das Tenable Identity Exposure 3.45-Update diesen automatisch ein Relay zu, um die Servicekontinuität zu gewährleisten. Sie können dieses Relay aus Gründen bearbeiten, die mit Ihren Relay-VM-Netzwerkregeln oder Ihren Präferenzen zusammenhängen.
Unterstützung für Standardauthentifizierung und nicht authentifizierten HTTP-Proxy – Die Relay-Funktion unterstützt auch einen HTTP-Proxy mit Standardauthentifizierung oder ohne Authentifizierung, wenn das Netzwerk einen Proxy-Server benötigt, um den Directory Listener-Server zu erreichen. Weitere Informationen finden Sie unter Secure Relay im Tenable Identity Exposure-Administratorhandbuch.
- Unterstützung von Entra ID – Mit dieser Funktion wird der Anwendungsbereich von Tenable Identity Exposure erweitert, sodass nun zusätzlich zu Active Directory auch Microsoft Entra ID (ehemals Azure AD) unterstützt wird. Um Schwachstellen in Entra ID zu identifizieren, sind jetzt die folgenden neuen Indicators of Exposure (IoEs) verfügbar, die speziell auf Entra ID ausgerichtet sind:
Bekannte Verbund-Backdoor – Ein Microsoft Entra-Mandant kann einen Verbund mit einer externen Domäne einrichten, um zu Authentifizierungs- und Autorisierungszwecken eine Vertrauensbeziehung zu einer anderen Domäne herzustellen. Organisationen nutzen die Verbundfunktion, um die Authentifizierung für Active Directory-Benutzer an ihre On-Premises-Active Directory Federation Services (AD FS) zu delegieren. (Hinweis: Die externe Domäne ist keine Active Directory-„Domäne“.) Wenn sich jedoch böswillige Akteure erhöhte Rechte in Microsoft Entra ID verschaffen, können sie diesen Verbundmechanismus missbrauchen, um eine Backdoor zu erstellen. Hierzu fügen sie ihre eigene Verbunddomäne hinzu oder bearbeiten eine vorhandene Verbunddomäne, um eine zweite Konfiguration mit ihren eigenen Einstellungen hinzufügen.
Erstanbieter-Dienstprinzipal mit Anmeldeinformationen – Erstanbieter-Dienstprinzipale (Unternehmensanwendungen) stammen aus Anwendungen (Anwendungsregistrierungen), die Microsoft gehören. Die meisten haben sensible Berechtigungen in Microsoft Entra ID, die bei Sicherheitsprüfungen oft übersehen werden. Dadurch können Angreifer ihnen Anmeldeinformationen hinzufügen, um unbemerkt von ihren Berechtigungen zu profitieren.
Mit AD (Hybrid) synchronisiertes privilegiertes Entra-Konto – Prüft auf hybride Konten, insbesondere auf solche, die über Active Directory synchronisiert werden und privilegierte Rollen in Entra ID haben. Diese Konten stellen ein Sicherheitsrisiko dar, da sie Angreifern, die AD kompromittieren, einen Wechsel zu Entra ID ermöglichen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein.
Gefährliche API-Berechtigungen, die den Mandanten betreffen – Bestimmte Berechtigungen für einige Microsoft-APIs können eine ernste Bedrohung für den gesamten Microsoft Entra-Mandanten darstellen, weil ein Dienstprinzipal mit diesen Berechtigungen über viel Macht verfügt, zugleich jedoch diskreter ist als ein Benutzer mit einer mächtigen Administratorrolle wie z. B. „Globaler Administrator“. Ein Missbrauch dieser Situation kann es einem Angreifer ermöglichen, die Multifaktor-Authentifizierung (MFA) zu umgehen und sich dem Zurücksetzen von Benutzerpasswörtern zu widersetzen.
Fehlende MFA für privilegiertes Konto – Multifaktor-Authentifizierung (MFA) bietet Konten starken Schutz vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten, für die keine MFA-Methode registriert wurde, können nicht von ihr profitieren. Dieser IoE warnt Sie, wenn ein privilegiertes Konto keine registrierte MFA-Methode hat oder wenn Sie MFA erzwingen, ohne eine Methode zu registrieren. Letzteres kann Angreifern mit einem Passwort erlauben, ihre eigenen MFA-Methoden zu registrieren, und stellt ein Sicherheitsrisiko dar.
Fehlende MFA für nicht-privilegiertes Konto – Multifaktor-Authentifizierung (MFA) bietet Konten starken Schutz vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten, für die keine MFA-Methode registriert wurde, können nicht von ihr profitieren. Dieser IoE warnt Sie, wenn ein nicht privilegiertes Konto keine registrierte MFA-Methode hat oder wenn Sie MFA erzwingen, ohne eine Methode zu registrieren. Letzteres kann Angreifern mit einem Passwort erlauben, ihre eigenen MFA-Methoden zu registrieren, und stellt ein Sicherheitsrisiko dar.
Hohe Anzahl von Administratoren – Administratoren haben definitionsgemäß erhöhte Rechte. Wenn es sehr viele von ihnen gibt, können sie ein Sicherheitsrisiko darstellen, da dies die Angriffsfläche vergrößert, weil eine höhere Wahrscheinlichkeit besteht, dass einer von ihnen kompromittiert wird. Dies ist auch ein Zeichen, dass das Prinzip der geringsten Berechtigungen (Least-Privilege) nicht respektiert wird.
- Neue Indicators of Attack (IoA)
-
DC-Passwortänderung – Im Zusammenhang mit Zerologon konzentriert sich dieser IoA auf eine bestimmte Aktivität nach einer Ausnutzung, die Angreifer häufig im Zusammenhang mit der Netlogon-Schwachstelle verwenden: die Änderung des Passworts des Domänencontroller-Computerkontos. Weitere Informationen finden Sie im Tenable Identity Exposure – Referenzhandbuch zu Indicators of Attack.
-
Zerologon – Erkennt einen Fehler im Netlogon-Authentifizierungsprozess, der darauf hinweist, dass Angreifer versuchen, die Zerologon-Schwachstelle auszunutzen, um Privilegien für die Domäne zu erlangen. Weitere Informationen finden Sie im Tenable Identity Exposure – Referenzhandbuch zu Indicators of Attack.
-
Extrahierung des Domänensicherungsschlüssels – Erkennt eine Vielzahl von Angriffstools, die mithilfe von LSA RPC-Aufrufen auf Sicherungsschlüssel zugreifen. Weitere Informationen finden Sie im Tenable Identity Exposure – Referenzhandbuch zu Indicators of Attack.
-
-
Indicators of Exposure (IoE)
-
Neue IoEs:
-
Unsichere dynamische Updates von DNS-Zonen zulässig – Identifiziert eine unsichere Konfiguration von dynamischen Updates von DNS-Zonen, die dazu führen kann, dass DNS-Einträge von nicht authentifizierten Benutzern bearbeitet werden können, was sie anfällig für Rogue-DNS-Einträge macht.
-
Integrität von Eigenschaftssätzen – Prüft, ob Fehlkonfigurationen oder Backdoors von böswilligen Akteuren in Eigenschaftssätzen und deren Attributen innerhalb des AD-Schemas vorhanden sind. Obwohl derzeit keine öffentlichen Angriffsvektoren im Zusammenhang mit der Verwendung von Eigenschaftssätzen bekannt sind, konzentriert sich dieser IoE in erster Linie auf die Identifizierung von Fehlkonfigurationen oder Auffälligkeiten, die aus Drittanbieterprodukten stammen, die diese Funktion nutzen.
-
Gefährliche WSUS-Fehlkonfigurationen – Überprüft Windows Server Update Services (WSUS) – ein Microsoft-Produkt, das Windows-Updates auf Arbeitsstationen und Servern bereitstellt – auf falsch konfigurierte Einstellungen, die dazu führen können, dass die Berechtigungen eines Standardkontos auf Administratorrechte hochgestuft werden.
-
Erkennung von Passwortschwächen – Überprüft auf starke Passwörter, um die Sicherheit der Active Directory-Authentifizierung zu gewährleisten. Schwache Passwörter sind auf Faktoren wie unzureichende Komplexität, veraltete Hashing-Algorithmen, gemeinsam genutzte Passwörter und Exposition in geleakten Datenbanken zurückzuführen. Angreifer nutzen diese Schwächen aus, um Konten zu imitieren, insbesondere privilegierte Konten, sodass sie unbefugten Zugriff innerhalb von Active Directory erlangen.
-
DFS-Fehlkonfiguration – Überprüft, ob SYSVOL die verteilte Dateisystemreplikation (Distributed File System Replication, DFSR) verwendet, einen Mechanismus, der als Ersatz für den Dateireplikationsdienst (File Replication Service, FRS) eingeführt wurde, um Robustheit, Skalierbarkeit und Replikationsleistung zu verbessern.
-
Ausschlüsse abweichender Objekte – Tenable Identity Exposure erlaubt Ausschlüsse für abweichende Objekte in ausgewählten IoEs, einschließlich:
-
Gruppe: Login-Beschränkungen für privilegierte Benutzer
-
Betriebssystem: Computer, auf denen ein veraltetes Betriebssystem ausgeführt wird
-
Organisationseinheit: Login-Beschränkungen für privilegierte Benutzer, Computer mit veraltetem Betriebssystem, Anwendung von schwachen Passwortrichtlinien auf Benutzer, Inaktive Konten, Benutzerkonto mit altem Passwort
-
-
IoE-Analyse – On-Premises-Benutzer können jetzt die IoE-Analyse im standardmäßigen Tenable-Sicherheitsprofil deaktivieren, um die Ressourcennutzung zu reduzieren und eine niedrige Latenz bei der Sicherheitsanalyse zu erzielen. Um dies zu implementieren, setzen Sie die Umgebungsvariable ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile im Security Engine Node (SEN) auf true und starten den Cygni-Dienst neu.
-
-
Reporting Center – Diese Funktion bietet eine Möglichkeit, wichtige Daten mithilfe eines optimierten Berichtserstellungsprozesses als Berichte an wichtige Stakeholder in einer Organisation zu exportieren. Weitere Informationen finden Sie unter Reporting Center im Tenable Identity Exposure-Administratorhandbuch.
-
Dashboard-Vorlagen – Mit gebrauchsfertigen Vorlagen können Sie sich auf die vorrangigen Themen konzentrieren, die Ihr Unternehmen betreffen, z. B. Compliance, Risiko, Passwortverwaltung und Benutzer-/Administratorüberwachung. Weitere Informationen finden Sie unter Dashboards im Tenable Identity Exposure-Benutzerhandbuch.
-
Funktionen zur Prüfung der Plattformintegrität – Tenable Identity Exposure listet die durchgeführten Prüfungen der Plattformintegrität in einer konsolidierten Ansicht auf, damit Sie Konfigurationsanomalien umgehend untersuchen und beheben können. Weitere Informationen finden Sie unter Integritätsprüfungen im Tenable Identity Exposure-Administratorhandbuch.
- Onboarding – Zur Verbesserung der Sicherheit erfordert der Onboarding-Prozess nun, dass Benutzer die für die Erstanmeldung bereitgestellten Standardanmeldeinformationen ändern, wenn sie sich zum ersten Mal einloggen. In Tenable Identity Exposure wurden auch die Regeln für neue Passwörter verbessert.
-
Skalierbarkeit – In Tenable Identity Exposure wurde die Leistung von Indicators of Attack auf der Serviceseite verbessert, um relevante Ereignisse für eine bessere IoA-Genauigkeit und -Latenz in größerem Umfang zu verarbeiten. Weitere Informationen finden Sie unter Scale Tenable Identity Exposure Services im Tenable Identity Exposure-Installationshandbuch.
-
Trail Flow
-
Tenable Identity Exposure empfängt Ereignisse von Active Directory umgehend, sobald Änderungen vorgenommen werden. Bei sehr häufigen Änderungen in großen Gruppen wird jedoch eine 10-minütige Verzögerung angewendet, um Ereignisse zu aggregieren, bevor der Rest des Systems benachrichtigt wird, wodurch Leistungsprobleme vermieden werden.
-
Trail Flow-Ereignisse können jetzt sowohl nach Datum als auch nach Uhrzeit gefiltert werden.
-
Fehlerkorrekturen
Tenable Identity Exposure Version 3.59.4 enthält alle Fehlerkorrekturen seit Version 3.42.
Aktualisierte Softwareabhängigkeiten
Tenable Identity Exposure On-Premises Version 3.59.4 bietet erhebliche Verbesserungen zum Schutz Ihrer Active Directory-Infrastruktur. Diese Version enthält Aktualisierungen für bestimmte Abhängigkeiten, um der Softwaresicherheit Priorität einzuräumen und aktuelle Komponenten für verbesserten Schutz sicherzustellen. Die Komponenten sind:
-
Storage Manager (SM)
-
Security Engine Node (SEN)
-
Directory Listener (DL)
| Softwarename | Komponente | Version vor dem Upgrade | Version nach dem Upgrade |
|---|---|---|---|
| Tenable Identity Exposure | 3.42 | 3.59 | |
| C++ 2015–2019 Redistributable | Alle (unverändert) | 14.24.28127.4 | 14.24.28127.4 |
| .NET Windows Server Hosting | SEN, DL | 6.0.22.23424 | 6.0.27 |
| .NET Runtime | SEN, DL | 6.0.22.32824 | 6.0.27 |
| ASP.NET Core | SEN, DL | 6.0.22.23424 | 6.0.27 |
| IIS URL Rewrite Module 2 | SEN (unverändert) | 7.2.1993 | 7.21993 |
| Application Request Routing 3.0 | SEN (unverändert) | 3.0.05311 | 3.0.05311 |
| NodeJS | SM, SEN | 18.18.0 | 18.19.0 |
| Erlang OTP | SEN | 26.1.1 | 26.2.2 |
| Rabbit MQ |
SEN |
3.12.6 | 3.12.12 |
| SQL Server | SM | 15.0.4322.2 | 15.0.4335.1 |