Accès pour l'analyse privilégiée

La fonctionnalité facultative Analyse privilégiée nécessite des privilèges administratifs. Vous devez attribuer des autorisations au compte de service que Tenable Identity Exposure utilise.

Pour plus d'informations, voir Analyse privilégiée.

Remarque : vous devez attribuer des autorisations sur chaque domaine où vous activez l'Analyse privilégiée.
Exigence : pour attribuer des autorisations, vous devez utiliser un compte avec des droits d'administrateur de domaine ou l'équivalent.

  • Dans l'interface de ligne de commande du contrôleur de domaine, exécutez la commande suivante pour ajouter les deux autorisations :

    Copier 
    dsacls "<__DOMAIN_ROOT__>"  /g "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes" "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes All"

    • Où :

  • <__DOMAIN_ROOT__> fait référence au nom distinctif de la racine du domaine. Exemple : « DC=<DOMAINE>,DC=<TLD> « 

  • <__SERVICE_ACCOUNT__> désigne le compte de service que Tenable Identity Exposure utilise. Exemple : « DOMAIN\tenablead ».

  1. Depuis le menu Démarrer de Windows, ouvrez Utilisateurs et ordinateurs Active Directory.

  2. Dans le menu Affichage, sélectionnez Fonctions avancées.

  3. Cliquez avec le bouton droit sur la racine du domaine et sélectionnez Propriétés.

    Le volet des propriétés de la racine du domaine apparaît.

  4. Cliquez sur l'onglet Sécurité et sur Ajouter.

  5. Localisez le compte de service Tenable Identity Exposure :

    Remarque : dans un environnement de forêt avec plusieurs domaines, le compte de service peut se trouver dans un domaine Active Directory différent.

  6. Faites défiler la liste et désélectionnez toutes les autorisations définies par défaut.

  7. Dans la colonne Autoriser, activez les autorisations Réplication des modifications d'annuaire et Réplication de toutes les modifications de l'annuaire.

  8. Cliquez sur OK.

Remarques importantes

Tenable Identity Exposure ne nécessite qu'un seul compte de service par forêt. Par conséquent, lorsque vous attribuez des autorisations dans un domaine, il peut-être nécessaire de rechercher le compte de service dans un autre domaine.
Vous devez attribuer des autorisations supplémentaires au niveau de la racine du domaine. Active Directory ne prend pas en charge les autorisations attribuées à une unité d'organisation ou à un utilisateur spécifique (par exemple, pour limiter l'analyse privilégiée à l'UO ou à l'utilisateur) et celles-ci n'ont donc aucun effet.
Ces autorisations confèrent au compte de service Tenable Identity Exposure beaucoup plus de pouvoir sur le domaine Active Directory. Vous devez alors le considérer comme un compte privilégié (Tier 0) et le protéger de la même manière qu'un compte d'administrateur de domaine. Pour la procédure complète, voir Protection des comptes de service.