Tenable Identity Exposure – Versionshinweise 2025

• Exposure Center –Verweise auf Vulnerability Priority Rating (VPR) wurden aus der Exposure-Übersicht entfernt, da Tenable Identity Exposure diese Werte für identitätsbezogene Indicators of Exposure nicht ausfüllt.

Tenable Identity Exposure Version 3.87 enthält die folgenden Fehlerkorrekturen:

• Exposure Center – Das Exposure Center ist eine Funktion von Tenable Identity Exposure, die die Identitätssicherheitslage Ihrer Organisation verbessert. Es identifiziert Schwächen und Fehlkonfigurationen in der gesamten identitätsbezogenen Risikofläche und deckt sowohl die zugrunde liegenden Identitätssysteme wie Entra ID als auch die Identitäten innerhalb dieser Systeme ab.

  Die Benutzeroberfläche dieser Funktion konzentriert sich auf drei miteinander zusammenhängende Konzepte: Exposure-Übersicht, Exposure-Instanzen und Feststellungen. Tenable Research unterstützt diese Konzepte mit einem neuen Sicherheitsmodul und speziell entwickelten Indicators of Exposure (IoEs), um ihre Funktionalität zu optimieren.

  Weitere Informationen finden Sie unter „Exposure Center“ im Tenable Identity Exposure-Benutzerhandbuch.

• Neue Indicators of Exposure für Entra ID

  Name	Beschreibung
  Möglichkeit von Standardkonten zur Registrierung von Anwendungen	Standardmäßig kann jeder Entra-Benutzer Anwendungen innerhalb des Mandanten registrieren. Diese Funktion ist zwar praktisch und stellt keine unmittelbare Sicherheitslücke dar, sie birgt jedoch bestimmte Risiken. Daher empfiehlt Tenable gemäß Best Practices, diese Funktion zu deaktivieren.
  Anwendung, die mehrinstanzenfähige Authentifizierung zulässt	Entra-Anwendungen erlauben eine mehrinstanzenfähige Authentifizierung und können so böswilligen Benutzern nicht autorisierten Zugriff gewähren, wenn diese Konfiguration nicht mit vollem Bewusstsein aktiviert wurde und ohne dass angemessene Berechtigungsprüfungen innerhalb des Anwendungscodes implementiert werden.
  Richtlinie für bedingten Zugriff deaktiviert fortlaufende Zugriffsevaluierung	Die fortlaufende Zugriffsevaluierung ist eine Sicherheitsfunktion in Entra ID, die schnelle Reaktionen auf Änderungen von Sicherheitsrichtlinien oder Updates des Benutzerstatus ermöglicht. Deaktivieren Sie die Funktion daher nicht.
  Gefährliche Anwendungsberechtigungen mit Auswirkungen auf den Mandanten	Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen.
  Gefährliche delegierte Berechtigungen mit Auswirkungen auf den Mandanten	Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen.
  Deaktiviertes Konto ist einer privilegierten Rolle zugewiesen	Zu einem soliden Kontoverwaltungsprozess gehört die Überwachung von Zuweisungen zu privilegierten Rollen.
  Inaktives Gerät	Inaktive Geräte bergen Sicherheitsrisiken wie veraltete Konfigurationen und ungepatchte Schwachstellen. Ohne regelmäßige Überwachung und Updates werden diese veralteten Geräte zu potenziellen Zielen für Ausnutzungen und kompromittieren die Mandantenintegrität und die Datenvertraulichkeit.
  Inaktiver nicht privilegierter Benutzer	Inaktive nicht privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich unbefugten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern.
  Inaktiver privilegierter Benutzer	Inaktive privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich unbefugten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern.
  Dynamische Gruppe mit ausnutzbarer Regel	Angreifer können dynamische Gruppen in Microsoft Entra ID ausnutzen, indem sie selbstveränderbare Attribute manipulieren, was es ihnen ermöglicht, sich selbst als Gruppenmitglieder hinzuzufügen. Diese Manipulation ermöglicht eine Rechteausweitung und den nicht autorisierten Zugriff auf sensible Ressourcen, die mit den Gruppen verbunden sind.
  Leere Entra-Gruppe	Leere Gruppen können Benutzer verwirren, die Sicherheit kompromittieren und zu ungenutzten Ressourcen führen. Im Allgemeinen ist es ratsam, einen klaren Zweck für Gruppen festzulegen und sicherzustellen, dass sie relevante Mitglieder enthalten.
  Entra-Sicherheitsstandards nicht aktiviert	Entra ID-Sicherheitsstandards bieten vorkonfigurierte, von Microsoft empfohlene Einstellungen zur Verbesserung des Mandantenschutzes.
  Liste der Verbunddomänen	Eine bösartige Verbunddomänenkonfiguration ist eine häufige Bedrohung, die von Angreifern als Authentifizierungs-Backdoor genutzt wird, um sich Zugang zum Entra ID-Mandanten zu verschaffen. Vorhandene und neu hinzugefügte Verbunddomänen müssen unbedingt verifiziert werden, um sicherzustellen, dass ihre Konfigurationen vertrauenswürdig und legitim sind. Dieser Indicator of Exposure stellt eine umfassende Liste von Verbunddomänen und ihren relevanten Attributen bereit, anhand derer Sie fundierte Entscheidungen über ihren Sicherheitsstatus treffen können.
  Fehlende Übereinstimmung der Verbundsignaturzertifikate	In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ein bösartiges Tokensignaturzertifikat hinzufügen und so Persistenz und Rechteausweitung ermöglichen.
  Erstanbieter-Dienstprinzipal mit Anmeldeinformationen	Erstanbieter-Dienstprinzipale verfügen über weitreichende Berechtigungen, werden aber aufgrund ihres hohen Volumens, ihrer fehlenden Sichtbarkeit und der Tatsache, dass Microsoft der Besitzer ist, häufig übersehen. Angreifer können dies ausnutzen, indem sie diesen Prinzipalen Anmeldeinformationen hinzufügen, um ihre Berechtigungen unbemerkt für Rechteausweitung und Persistenz zu nutzen.
  Gastkonto mit privilegierter Rolle	Gastkonten sind externe Identitäten, die ein Sicherheitsrisiko darstellen können, wenn ihnen privilegierte Rollen zugewiesen werden. Dadurch werden Personen außerhalb Ihrer Organisation erhebliche Rechte innerhalb des Mandanten gewährt.
  Gastkonten mit gleichem Zugriff wie normale Konten	Es ist nicht ratsam, Entra ID so zu konfigurieren, dass Gäste als reguläre Benutzer betrachtet werden, da böswillige Gäste so möglicherweise die Ressourcen des Mandanten umfassend auskundschaften können.
  Hohe Anzahl von Administratoren	Administratoren verfügen über erhöhte Rechte und können ein Sicherheitsrisiko darstellen, wenn es eine große Anzahl von ihnen gibt, da dies die Angriffsfläche vergrößert. Dies weist auch darauf hin, dass das Prinzip der geringsten Rechte nicht gewahrt wird.
  Bekannte Verbunddomänen-Backdoor	In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ihre bösartige Verbunddomäne hinzufügen und so Persistenz und Rechteausweitung ermöglichen.
  Legacy-Authentifizierung nicht blockiert	Legacy-Authentifizierungsmethoden unterstützen keine Multifaktor-Authentifizierung (MFA), sodass Angreifer weiterhin Brute-Force-, Credential-Stuffing- und Passwort-Spraying-Angriffe durchführen können.
  Fehlende Multifaktor-Authentifizierung für nicht privilegierte Konten	MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren.
  Fehlende Multifaktor-Authentifizierung für privilegierte Konten	MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren.
  Multifaktor-Authentifizierung für privilegierte Rolle nicht erforderlich	MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Sicherheitsstandards empfehlen, dass Sie MFA aktivieren, insbesondere für privilegierte Konten, denen privilegierte Rollen zugewiesen sind.
  Multifaktor-Authentifizierung für riskante Anmeldungen nicht erforderlich	MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen, MFA für riskante Anmeldungen zu fordern, zum Beispiel, wenn die Authentifizierungsanforderung möglicherweise nicht vom legitimen Identitätsbesitzer stammt.
  Nie verwendetes Gerät	Vermeiden Sie vorab erstellte, nie verwendete Gerätekonten, da sie auf schlechte Hygienepraktiken hinweisen und potenzielle Sicherheitsrisiken darstellen können.
  Nie verwendeter nicht privilegierter Benutzer	Nie verwendete nicht privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer Standardpasswörter ein bevorzugtes Ziel für Angreifer.
  Nie verwendeter privilegierter Benutzer	Nie verwendete privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer Standardpasswörter ein bevorzugtes Ziel für Angreifer.
  Kennwortschutz für On-Premises-Umgebungen nicht aktiviert	Microsoft Entra-Kennwortschutz ist eine Sicherheitsfunktion, die Benutzer daran hindert, leicht zu erratende Passwörter festzulegen, um die Passwortsicherheit in einer Organisation insgesamt zu verbessern.
  Namenskonvention für privilegierte Konten	Eine Namenskonvention für privilegierte Benutzer in Entra ID ist für Sicherheit, Standardisierung und Audit-Compliance unerlässlich und vereinfacht die Verwaltung.
  Privilegiertes mit Active Directory synchronisiertes Entra-Konto (Hybridkonto)	Hybridkonten (d. h. aus Active Directory synchronisierte Konten) mit privilegierten Rollen in Entra ID stellen ein Sicherheitsrisiko dar, da sie es Angreifern, die AD kompromittieren, ein Umschwenken auf Entra ID ermöglichen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein.
  Privilegiertes Entra-Konto mit Zugriff auf Microsoft 365-Dienste	Verwenden Sie separate Entra-Konten für administrative Aufgaben: ein Standardkonto für den täglichen Gebrauch und ein dediziertes privilegiertes Konto für Verwaltungstätigkeiten. Dieser Ansatz minimiert die Angriffsfläche des privilegierten Kontos und verbessert so die Sicherheit.
  Öffentliche Microsoft 365-Gruppe	In Entra ID gespeicherte Microsoft 365-Gruppen sind entweder öffentlich oder privat. Öffentliche Gruppen stellen ein Sicherheitsrisiko dar, da jeder Benutzer innerhalb des Mandanten ihnen beitreten und Zugriff auf ihre Daten erhalten kann (Team-Chats/-Dateien, E-Mails usw.).
  Zusätzlichen Kontext in Microsoft Authenticator-Benachrichtigungen anzeigen	Aktivieren Sie Microsoft Authenticator-Benachrichtigungen, um zusätzlichen Kontext anzuzeigen, wie z. B. den Anwendungsnamen und den Standort, und so einen besseren Einblick zu erhalten. Dieser zusätzliche Kontext hilft Benutzern, potenziell bösartige Anforderungen zur MFA oder passwortlosen Authentifizierung zu identifizieren und abzuwehren und so das Risiko von MFA-Müdigkeitsangriffen effektiv zu mindern.
  Entra-Gruppe mit nur einem Mitglied	Die Erstellung einer Gruppe mit nur einem Mitglied ist nicht ratsam, da dies zu unnötiger Redundanz und Komplexität führt. Durch diese Praxis werden zusätzliche Verwaltungsebenen hinzugefügt, was die Effizienz, die durch Verwendung von Gruppen für eine optimierte Zugriffskontrolle und -verwaltung eigentlich erzielt werden sollte, untergraben kann.
  Verdächtige Zuweisung der Rolle „Verzeichnissynchronisierungskonten”	„Verzeichnissynchronisierungskonten“ ist eine privilegierte Entra-Rolle, die in den Azure- und Entra ID-Portalen ausgeblendet ist und in der Regel für Microsoft Entra Connect (früher Azure AD Connect)-Dienstkonten bestimmt ist. Allerdings können böswillige Akteure diese Rolle für verdeckte Angriffe ausnutzen.
  Funktion „Befristeter Zugriffspass“ aktiviert	Die Funktion „Befristeter Zugriffspass“ (Temporary Access Pass, TAP) ist eine temporäre Authentifizierungsmethode, die einen zeitlich begrenzten oder eingeschränkt verwendbaren Passcode nutzt. Es handelt sich zwar um eine legitime Funktion, sie sollte jedoch aus Sicherheitsgründen deaktiviert werden, wenn Ihr Unternehmen sie nicht benötigt, um die Angriffsfläche zu reduzieren.
  Uneingeschränkte Gastkonten	Standardmäßig schränkt Entra ID den Zugriff von Gastbenutzern ein, um die Menge der für sie sichtbaren Elemente innerhalb des Mandanten zu verringern. Sie können diese Einschränkungen verschärfen, um die Sicherheit und den Datenschutz weiter zu verbessern.
  Uneingeschränkte Benutzereinwilligung für Anwendungen	In Entra ID können Benutzer autonom dem Zugriff externer Anwendungen auf Daten der Organisation zustimmen, was böswillige Akteure für Angriffe vom Typ „unzulässige Einwilligungserteilung“ (Consent Phishing) ausnutzen können. Verhindern Sie dies, indem Sie den Zugriff auf verifizierte Herausgeber beschränken oder die Genehmigung eines Administrators erfordern.
  Ungewöhnliche Gültigkeitsdauer des Verbundsignaturzertifikats	Eine ungewöhnlich lange Gültigkeitsdauer für ein Verbundsignaturzertifikat ist verdächtig, da sie darauf hinweisen könnte, dass ein Angreifer erhöhte Rechte in Entra ID erlangt und über den Vertrauensstellungsmechanismus des Verbunds eine Backdoor erstellt hat.
  Nicht verifizierte Domäne	Bestätigen Sie den Besitz aller benutzerdefinierten Domänen in Entra ID. Behalten Sie nicht verifizierte Domänen nur vorübergehend bei – Sie sollten sie entweder verifizieren oder entfernen, um eine saubere Domänenliste zu führen und effiziente Überprüfungen zu ermöglichen.

• Indicator of Exposure – Der neue IoE Entra ID-Hybridinformationen bietet Einblicke in Microsoft Entra ID-Daten, die in ein On-Premises Active Directory repliziert werden, und ermöglicht es Organisationen, potenzielle Sicherheitsrisiken zu identifizieren und Richtlinienabweichungen zu beheben.

• Indicators of Exposure

  • Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten – Dieser IoE wurde verbessert und unterstützt nun auch Gruppen, was eine optimierte Kontrolle des Zugriffs auf ein gMSA ermöglicht.

  • SDProp-Konsistenz sicherstellen – Verbesserte Empfehlungen.

  • Shadow Credentials – Verbesserte Empfehlungen zur Behebung der ROCA-Schwachstelle (Return of Coppersmith's Attack).

  • Zwei neue Optionen, mit denen die Kontrolle über Objektbesitzer und -berechtigungen nach Gruppenmitgliedschaft verbessert wird:

  • Zulässiger Objektbesitzer (nach Gruppenmitgliedschaft): Ermöglicht es, Sicherheitsprinzipale über ihre Gruppenmitgliedschaft zu Objektbesitzern zu ernennen.

  • Liste zulässiger Vertrauensnehmer (nach Gruppenmitgliedschaft): Ermöglicht es, Sicherheitsprinzipalen auf der Grundlage ihrer Gruppenmitgliedschaft spezielle Berechtigungen zuzuweisen.

• Indicator of Attack – Im IoA Golden Ticket wurde der Text des Angriffsvektors verbessert.

• Attribute und Typen von Vertrauensstellungen in Verzeichnisdiensten

  • Das Attribut trustType unterstützt jetzt den TTAAD-Wert (TRUST_TYPE_AAD).

  • Das Attribut trustAttributes unterstützt jetzt den TDAV-Wert (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION).

• Exportfunktion – Benutzer können das Trennzeichen (Komma oder Semikolon) auswählen, wenn sie einen CSV-Export durchführen, wodurch Flexibilität für verschiedene Anwendungsfälle ermöglicht wird. Der Browser merkt sich das zuletzt verwendete Trennzeichen für zukünftige Exporte.

Tenable Identity Exposure Version 3.86 enthält die folgenden Fehlerkorrekturen:

• Identity 360 – Eine neue identitätszentrierte Funktion in Tenable Identity Exposure bietet eine umfassende und ausführliche Inventarisierung aller Identitäten auf der gesamten identitätsbezogenen Risikofläche der Organisation.

  Diese Funktion vereinheitlicht Identitäten in Active Directory und Entra ID und ermöglicht ihre Einstufung nach dem jeweiligen Risiko, sodass Sie Identitäten in Ihrem Unternehmen vom höchsten zum niedrigsten Risiko einordnen können.

  Darüber hinaus können sich Benutzer mit Identity 360 ein umfassendes Bild von jeder Identität machen, indem sie verschiedene kontextbezogene Aspekte wie Konten, Schwachstellen und Geräte betrachten, die mit einer bestimmten Identität verbunden sind.

  Weitere Informationen finden Sie unter „Identity 360“ im Tenable Identity Exposure-Benutzerhandbuch.

• Integritätsprüfung – Eine neue Integritätsprüfung für Domänen stärkt das Vertrauen in Ihre Indicator of Attack-Bereitstellung, indem sie bekannte Fehler für jede Domäne einzeln identifiziert und behebt.

  Weitere Informationen finden Sie unter „Integritätsprüfungen“ im Tenable Identity Exposure-Benutzerhandbuch.

Tenable Identity Exposure Version 3.85 enthält die folgenden Fehlerkorrekturen: