Tenable Identity Exposure On-Premises – Versionshinweise 2025

• SMTP-OAuth-Warnmeldungen – Neue Unterstützung für OAuth, das moderne und sichere Authentifizierungsprotokoll von Microsoft 365 für Warnfunktionen.

  Weitere Informationen finden Sie unter SMTP-OAuth-Konfiguration für Microsoft 365 im Tenable Identity Exposure-Benutzerhandbuch.

Tenable Identity Exposure Version 3.77.12 enthält die folgenden Fehlerkorrekturen:

• Exposure Center – Eine Funktion, mit der Sie die Identitätssicherheit Ihres Unternehmens stärken können. Es identifiziert Schwächen und Fehlkonfigurationen in der gesamten identitätsbezogenen Risikofläche und deckt sowohl die zugrunde liegenden Identitätssysteme wie Entra ID als auch die Identitäten innerhalb dieser Systeme ab.

  • Die Funktion Exposure-Übersicht funktioniert mit Active Directory- und/oder Entra ID-Daten.

  • Die Funktion Exposure-Instanzen funktioniert derzeit nur mit Entra ID-Daten.

• Identity 360 – Eine neue identitätszentrierte Funktion bietet eine umfassende Inventarisierung aller Identitäten in der gesamten identitätsbezogenen Risikofläche Ihrer Organisation. Sie vereinheitlicht Identitäten aus Active Directory und Entra ID und ermöglicht es Ihnen, sie zu bewerten und nach Risiko einzuordnen, um die anfälligsten Identitäten in Ihrer Umgebung schnell zu identifizieren und zu priorisieren.

  • Die Funktion Identity 360 funktioniert mit Active Directory- und/oder Entra ID-Daten.

  Tipp: Wenn Sie cloudbasierte Tenable-Funktionen nutzen möchten, müssen Sie bestimmte Einstellungen aktivieren, um Daten zu Analysezwecken an die Tenable Cloud weiterzuleiten. Entsprechende Anweisungen finden Sie unter Aktivierung des Supports für Identity 360, Exposure Center und Microsoft Entra ID und Tenable Cloud-Datensammlung.

Indicators of Exposure (IoE) für Active Directory (AD)

• Sensible Exchange-Berechtigungen – Dieser IoE verwaltet Berechtigungen in Bezug auf Exchange-Gruppen und -Ressourcen innerhalb der Domäne. Es werden jetzt ausschließlich alle Berechtigungen angezeigt, die entweder von Exchange stammen oder auf Exchange abzielen, um die Lesbarkeit in anderen IoEs zu verbessern.

• Mitglieder von Exchange-Gruppen – Dieser IoE verfolgt Mitglieder sensibler Exchange-Gruppen.

• Nicht unterstützte oder veraltete Exchange-Server – Dieser neue IoE erkennt veraltete Exchange-Server, die von Microsoft nicht mehr unterstützt werden, sowie solche, auf denen die neuesten kumulativen Updates fehlen. Damit Ihre Exchange-Umgebung auch weiterhin sicher ist und vollständig unterstützt wird, aktualisieren Sie umgehend veraltete oder ungepatchte Server. Andernfalls erhöht sich das Ausnutzungsrisiko und Ihre Organisation wird anfällig für Datenschutzvorfälle und Ransomware-Angriffe.

• Gefährliche Exchange-Fehlkonfigurationen – Listet Fehlkonfigurationen auf, die sich auf Exchange-Ressourcen oder ihre zugrunde liegenden Active Directory-Schemaobjekte auswirken.

• Mitglieder von Exchange-Gruppen – Dieser IoE verfolgt Mitglieder sensibler Exchange-Gruppen.

• Gefährliche ADCS-Fehlkonfigurationen – Dieser IoE identifiziert Ausstellungsrichtlinien (Enterprise-OIDs), die es Prinzipalen ermöglichen, auf implizite Weise zu Mitgliedern von AD-Gruppen zu werden.

• Domäne ohne GPOs für die Computerhärtung – Dieser IoE überprüft die GPO-Einstellung zum Blockieren von NTLM über SMB.

Weitere Funktionen

• Integritätsprüfung – Eine neue Integritätsprüfung für Domänen stärkt das Vertrauen in Ihre Indicator of Attack-Bereitstellung, indem sie bekannte Fehler für jede Domäne einzeln identifiziert und behebt. Weitere Informationen finden Sie unter „Integritätsprüfungen“ im Tenable Identity Exposure-Benutzerhandbuch.

• Benutzerfreundlichkeit – Tenable Identity Exposure hilft jetzt dabei, einen Einblick in den jüngsten Bericht der „Five Eyes”-Allianz oder ihrer Zivilbehörden zu erhalten.

Indicators of Exposure

• AD-/Entra-Gruppe mit nur einem Mitglied – Der IoE gibt jetzt das Gruppenmitglied in der Beschreibung „Warum dies wichtig ist“ an.

• Erstanbieter-Dienstprinzipal mit Anmeldeinformationen – Der IoE gibt jetzt die Details für die identifizierten Anmeldeinformationen in der Beschreibung „Warum dies wichtig ist“ an.

• AD-/Entra-Gruppe mit nur einem Mitglied und Leere Gruppe – Diese IoEs zählen jetzt nur noch direkte Mitglieder, um genauere und aussagekräftigere Ergebnisse zu erzielen.

• Zugeordnete Zertifikate für Konten

  • Dieses IoE meldet nun schwache explizite Zertifikatszuordnungen und begegnet damit der AD CS ESC14-Missbrauchstechnik.

  • Dieser IoE meldete privilegierte Benutzer bisher mit nur zwei Arten von Zuordnungen: X509IssuerSubject und X509SubjectOnly. Dies wurde nun um zusätzliche Zuordnungen erweitert: X509RFC822, X509IssuerSerialNumber, X509SKI und X509SHA1PublicKey.

• Domäne ohne GPOs für die Computerhärtung – Neue Prüfungen im Zusammenhang mit der Sicherheitsfunktion „Windows Defender Credential Guard“, die verwendet wird, um im Speicher abgelegte Anmeldeinformationen zu schützen.

• SDProp-Konsistenz sicherstellen – Verbesserte Empfehlungen.

• Shadow Credentials – Verbesserte Empfehlungen zur Behebung der ROCA-Schwachstelle (Return of Coppersmith's Attack). Einführung einer neuen Option zum Entfernen potenzieller falsch positiver Ergebnisse im Zusammenhang mit Hybridumgebungen mit Entra ID, wenn die Funktion „Geräterückschreiben“ deaktiviert ist. Dies wirkt sich auf den Grund „Verwaiste Schlüssel-Anmeldeinformationen“ in diesem IoE aus.

• Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten – Dieser IoE wurde verbessert und unterstützt nun auch Gruppen, was eine optimierte Kontrolle des Zugriffs auf ein gMSA ermöglicht.

• Anpassung des Sicherheitsprofils – Die Beschreibung der Optionen „Zulässiger Objektbesitzer (nach Gruppenmitgliedschaft)“ wurde für geltende IoEs verbessert.

• Zwei neue Optionen, mit denen die Kontrolle über Objektbesitzer und -berechtigungen nach Gruppenmitgliedschaft verbessert wird:

  • Zulässiger Objektbesitzer (nach Gruppenmitgliedschaft): Ermöglicht es, Sicherheitsprinzipale über ihre Gruppenmitgliedschaft zu Objektbesitzern zu ernennen.

  • Liste zulässiger Vertrauensnehmer (nach Gruppenmitgliedschaft): Ermöglicht es, Sicherheitsprinzipalen auf der Grundlage ihrer Gruppenmitgliedschaft spezielle Berechtigungen zuzuweisen.

• Nicht abgesicherte Konfiguration des Netlogon-Protokolls – Tenable Identity Exposure legt jetzt den Standardwert der Option „Überprüfung des Registrierungsschlüssels auslassen“ auf „True“ fest. Diese Änderung setzt voraus, dass Benutzer die Updates vom 9. Februar 2021 installiert haben. Diese Änderung gilt nur für das Standardprofil, benutzerdefinierte Profile sind daher nicht betroffen.

• Risiko bei Passwortverwaltung – Das IoE-Widget Erkennung von Passwortschwächen wurde der Dashboard-Vorlage hinzugefügt.

• Stammobjektberechtigungen, die DCSync-artige Angriffe zulassen – Verfügt jetzt über die neue Option „MSOL_*-Konten beibehalten“, mit der diese Konten ausgeschlossen und Fehlalarme verringert werden können. Standardmäßig ist diese Option im Sicherheitsprofil deaktiviert, sodass der IoE MSOL_*-Konten nicht als abweichend kennzeichnet.

Indicators of Attack

• IoA Golden Ticket – Der Text des Angriffsvektors wurde verbessert.

• DCSync löst keine Warnung aus, wenn die Quelle von einem Benutzernamen mit dem Präfix MSOL_ stammt (hartcodiert und nur für den einfachen Modus gültig).

• Auflistung lokaler Administratoren löst keine Warnung aus, wenn die Ziel-IP unbekannt ist.

• Golden Ticket löst nur eine Warnung aus, wenn sich ein Angreifer nach der Fälschung eines TGT authentifiziert (nur einfacher Modus).

• OS Credential Dumping: LSASS-Speicher löst keine Warnung aus, wenn das Tool zum Arctic Wolf Network gehört (nur einfacher Modus).

• Diese IoAs lösen in den folgenden Fällen keine Warnungen mehr aus:

  • DC-Synchronisierung – Wenn die Quelle ein Benutzer oder Hostname ist, der sich auf das Azure ADConnect-Tool bezieht (nur einfacher Modus).

  • NTDS-Extrahierung – Wenn das Quelltool entweder VSS Requestor oder Veeam (legitime Sicherungstools) ist.

  • Auflistung lokaler Administratoren – Wenn der IoA die SID des Quellbenutzers nicht finden kann (nur einfacher Modus).

  • Petit Potam – Wenn der IoA das zugehörige Login-Ereignis nicht abrufen kann.

  • Golden Ticket – Wenn der IoA die Quellvektoren nicht abrufen kann (nur einfacher Modus).

Weitere Verbesserungen

• Identity 360 und Exposure-Übersicht werden jetzt auf die Seite Exposure-Instanzen umgeleitet, wenn die zugehörigen Schwächen aufgeschlüsselt werden.

• Attribute und Typen von Vertrauensstellungen in Verzeichnisdiensten

  • Das Attribut trustType unterstützt jetzt den TTAAD-Wert (TRUST_TYPE_AAD).

  • Das Attribut trustAttributes unterstützt jetzt den TDAV-Wert (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION).

• Tenable One-Container-Wechsel – Um ein optimales Produkterlebnis zu gewährleisten, verhindert Tenable Identity Exposure jetzt, dass beim Hochladen einer neuen Lizenzdatei zu einem anderen Tenable One-Container gewechselt wird.

• Exportfunktion – Benutzer können das Trennzeichen (Komma oder Semikolon) auswählen, wenn sie einen CSV-Export durchführen, wodurch Flexibilität für verschiedene Anwendungsfälle ermöglicht wird. Der Browser merkt sich das zuletzt verwendete Trennzeichen für zukünftige Exporte.

• Identity 360 – Die Ladezeit für Seiten wurde verbessert, z. B. für Asset-Details auf den Registerkarten für Zugriff und Berechtigungen.

• Berechtigungen zum Sammeln der AD-Domänendaten – Blendet jetzt die Details zu „Berechtigungen zum Sammeln privilegierter Daten“ aus, wenn „Privilegierte Analyse“ in der Benutzeroberfläche deaktiviert ist. Vergewissern Sie sich, dass das Relay auf dem neuesten Stand ist, damit diese Funktion funktioniert.

Tenable Identity Exposure Version 3.93 enthält die folgenden Fehlerkorrekturen:

Tenable Identity Exposure Version 3.77.10 enthält die folgenden Fehlerkorrekturen:

• In Tenable Identity Exposure wurde der Rollback-Prozess optimiert, um die Umgebung effektiv auf ihren vorherigen Zustand zurückzusetzen und sicherzustellen, dass sie nicht überladen wird und keine Inkonsistenzen verbleiben.

  Neue Voraussetzung: Stellen Sie sicher, dass dem Storage Manager mindestens 20 GB freier Festplattenspeicher zur Verfügung stehen, bevor Sie das Rollback-Verfahren initiieren. Informationen dazu finden Sie unter Ressourcendimensionierung im Tenable Identity Exposure-Benutzerhandbuch.

Tenable Identity Exposure Version 3.77.9 enthält die folgenden Fehlerkorrekturen: