Analyse privilégiée

L'analyse privilégiée est une fonctionnalité facultative de Tenable Identity Exposure qui nécessite davantage de privilèges (contrairement à ses autres fonctionnalités) pour récupérer des données protégées et fournir une analyse de sécurité plus approfondie.

Conditions préalables

Pour utiliser la fonctionnalité « Analyse privilégiée », vous devez ouvrir les ports RPC dynamiques TCP/49152-65535 et UDP/49152-65535. Pour plus d'informations, voir Matrice de flux réseau.

Récupération de données

Remarque : la fonctionnalité Analyse privilégiée nécessite des privilèges élevés. Voir Accès pour l'analyse privilégiée.

Lorsque l'analyse privilégiée est activée, elle récupère les données supplémentaires suivantes :

  • Empreintes de mot de passe — Tenable Identity Exposure récupère les empreintes LM et NT pour l'analyse des mots de passe. Tenable Identity Exposure récupère les empreintes LM uniquement pour signaler leur présence parce qu'elles utilisent un algorithme ancien et faible, mais ne les stocke pas. La collecte des empreintes couvre :

    • Tous les comptes utilisateur activés

    • Tous les comptes d'ordinateur de contrôleur de domaine activés

Protection des données

Active Directory (AD) lui-même ne stocke pas directement les mots de passe des utilisateurs. Il ne stocke que leurs empreintes en utilisant les algorithmes de hachage LM ou NT qui ne permettent pas de récupérer le mot de passe d'origine. Tenable Identity Exposure ne stocke pas les empreintes LM.

À l'exception des clients hébergeant leur Relay dans une plateforme SaaS-VPN, les empreintes de mot de passe ne quittent jamais l'infrastructure du client, car seul le Relay les gère. Le Relay ne stocke pas les mots de passe ni les empreintes de mot de passe, mais récupère l'empreinte du mot de passe de l'utilisateur chaque fois qu'elle est nécessaire à des fins d'analyse ; il ne la conserve dans son cache que temporairement, généralement pendant quelques millisecondes.

Cependant, Tenable Identity Exposure maintient un nombre minimal de bits de données d'empreinte de mot de passe, stockés en toute sécurité dans la RAM du Relay, uniquement pour effectuer une analyse du k-anonymat afin de vérifier si des utilisateurs ont des mots de passe identiques.

Remarque : pour les clients de la plateforme SaaS-VPN, le comportement est le même, mais c'est Tenable qui héberge votre Relay.