Intégration avec un domaine Active Directory

Tenable Identity Exposure s'exécute sur les systèmes d'exploitation Microsoft Server qui se connectent à un domaine Active Directory (AD). Voici des directives indiquant s'il faut ou non connecter ces serveurs à un domaine AD.

• Étant donné que Tenable Identity Exposure fournit des informations de sécurité sensibles, Tenable ne recommande pas de joindre ses serveurs à un domaine AD. En effet, travailler dans un environnement isolé permet une séparation claire entre le périmètre surveillé et l'entité de surveillance (c'est-à-dire Tenable Identity Exposure). Dans cette configuration, un attaquant disposant d'un accès initial ou de privilèges limités sur le domaine surveillé ne peut pas accéder directement à Tenable Identity Exposure et à ses résultats d'analyse de sécurité.

• Si vous disposez d'une infrastructure de confiance, vous pouvez choisir d'exécuter Tenable Identity Exposure sur des serveurs joints à un domaine. Cette approche améliore la gestion des serveurs car elle fait partie du processus standard que vous utilisez pour chaque serveur joint à un domaine. En particulier, les serveurs Tenable Identity Exposure appliquent les mêmes politiques de durcissement que tout autre serveur d'entreprise. Tenable recommande cette architecture uniquement sur les environnements AD sécurisés. De plus, vous devez prendre en considération les risques suivants au cas où AD serait compromis :

  • Un attaquant disposant de privilèges d'administration de serveur peut collecter davantage d'informations sur les façons de compromettre le système à l'aide de l'analyse des données de Tenable Identity Exposure.

  • La politique de sécurité sur les serveurs joints à un domaine peut interdire l'accès administratif accordé à l'assistance Tenable ou à ses partenaires certifiés.

  • Une attaque peut corrompre la surveillance de la sécurité de Tenable Identity Exposure en masquant un incident de sécurité.