Indicateurs d'exposition basé sur un RSoP

Tenable Identity Exposure utilise un ensemble d'indicateurs d'exposition (IoE) basés sur un RSoP (jeu de stratégies résultant) pour évaluer et assurer la sécurité et la conformité de divers aspects. Cette section fournit des informations sur le comportement actuel de certains IoE basés sur un RSoP et sur la manière dont Tenable Identity Exposure traite les problèmes de performances associés à leurs calculs.

Les IoE suivants, qui dépendent d'un RSoP, jouent un rôle dans l'infrastructure de sécurité de Tenable Identity Exposure :

  • Restrictions d'authentification des utilisateurs avec privilèges

  • Privilèges sensibles dangereux

  • Application de stratégies de mot de passe faible aux utilisateurs

  • Durcissement insuffisant contre les ransomwares

  • Configuration non sécurisée du protocole Netlogon

Ces IoE dépendent du cache des résultats de calcul d'un RSoP qui est initialisé en cas de besoin, ce qui permet de calculer les valeurs ajoutées à la demande au lieu de s'appuyer sur des valeurs pré-existantes. Auparavant, les modifications apportées aux AdObjects provoquaient l'invalidation du cache, entraînant fréquemment un recalcul pendant les exécutions du RSoP de l'IoE.

Tenable Identity Exposure traite l'impact exercé sur les performances par les calculs d'un RSoP de la manière suivante :

  1. Analyse d'IoE en direct avec des données potentiellement obsolètes — Le calcul (événement d'entrée/sortie) d'IoE qui dépendent de RSoP a lieu en temps réel à mesure qu'ils se produisent, même si les données utilisées pour le traitement ne sont pas les plus récentes. Les événements mis en mémoire tampon qui sont susceptibles d'invalider le cache du RSoP restent stockés jusqu'à ce qu'ils remplissent une condition spécifique, ce qui déclenche alors le calcul prévu.

  2. Invalidation de RSoP planifiée — Après avoir rempli la condition d'un nouveau calcul, le système invalide le cache du RSoP, en tenant compte des événements mis en mémoire tampon pendant le processus d'invalidation.

  3. Réexécution des IoE avec un cache à jour — Après l'invalidation du cache, les IoE sont réexécutés avec la dernière version de l'AdObject du cache, en intégrant les événements mis en mémoire tampon. Tenable Identity Exposure calcule chaque IoE individuellement pour chaque événement mis en mémoire tampon.

Pour ces raisons, la durée de calcul optimisée pour les IoE dépendant d'un RSoP entraîne un calcul plus lent des déviances liées au RSoP.