Notes de version Tenable Identity Exposure 2023 — Sur site

Tenable Identity Exposure 3.42 (2023-04-06)

Cette version arrive en fin de vie (EOL). Effectuez une mise à niveau vers une version prise en charge. Pour plus d'informations sur les dates et les politiques de fin de vie des produits Tenable, consultez la matrice et la politique du cycle de vie des versions des logiciels Tenable.

  • Disponibilité des données du dashboard — Permet de générer des rapports sur les scores de conformité, le nombre de déviances et le nombre d'utilisateurs sur une nouvelle période maximale d'un an (et d'un mois minimum).

  • Évolutivité — Tenable Identity Exposure a amélioré les performances des indicateurs d'attaque côté service afin de gérer les événements d'intérêt à plus grande échelle pour une meilleure précision et latence des indicateurs d'attaque.

  • Déploiement plus rapide et plus facile des indicateurs d'attaqueTenable Identity Exposure peut désormais ajouter ou supprimer automatiquement des indicateurs d'attaque depuis les contrôleurs de domaine configurés, sans aucune intervention manuelle. Pour plus d'informations, voir Install Indicators of Attack (Installer des indicateurs d'attaque) dans le guide de l'administrateur de Tenable Identity Exposure.

  • Indicateurs d'attaque

    • Inhibition de la consommation du processeur pour limiter l'impact sur le contrôleur de domaine.

    • Amélioration de l'empreinte des ressources sur les contrôleurs de domaine.

  • Chemin d'attaque — Présentation de vues des assets de niveau 0 et des chemins d'attaque qui y mènent. Pour plus d'informations, voir le guide de l'utilisateur de Tenable Identity Exposure.

  • Comptes dotés de mots de passe sans date d'expiration — Une nouvelle option dans cet indicateur d'exposition permet la mise sur liste blanche d'unités d'organisation (UO) entières.

  • Analyse privilégiée — Vous pouvez contrôler si vous souhaitez ou non envoyer la collecte de données privilégiées au service Tenable Cloud (par défaut : ne pas envoyer).

La version 3.42 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs ID de défaut
Indicateurs d'exposition et correctifs connexes  

  • Stratégies de mots de passe faibles appliquées aux utilisateurs

    • Amélioration des performances pour les scénarios de charge de travail élevée.

    • Introduction de deux nouveaux motifs pour mieux expliquer deux cas dans lesquels vous pourriez penser que la GPO s'applique, alors que ce n'est pas le cas :

      • Une unité d'organisation qui contient des ordinateurs peut bloquer l'héritage de la GPO.

      • Un filtrage de sécurité empêche la GPO de s'appliquer aux ordinateurs.

  • Vérifier la dernière modification du mot de passe du compte AAD SSO résout désormais les déviances lorsqu'elles s'appliquent aux objets AD supprimés.

  • Délégation Kerberos dangereuse gère désormais les attributs de délégation contrainte basée sur les attributs RBCD (Resource-Based Constrained Delegation) existants mais vides.

  • Les comptes utilisant un contrôle d'accès compatible avec une version antérieure à Windows 2000 (C-PRE-WIN2000-ACCESS-MEMBERS) signalent désormais tous les principaux problématiques bien connus du groupe « Accès compatible avec une version antérieure à Windows 2000 ».

  • Élimination des faux positifs sur la GPO Tenable Identity Exposure pour ces indicateurs d'exposition : Vérifier les autorisations sur les objets et les fichiers de GPO sensibles et Contrôleurs de domaine gérés par des utilisateurs mal intentionnés.

  • Tenable Identity Exposure limite désormais l'option de liste verte des unités d'organisation pour les indicateurs d'exposition Comptes dotés de mots de passe sans date d'expiration dans le back-end afin de réduire la quantité de journaux générés.

  • Il est désormais possible de consulter à nouveau les indicateurs d'exposition en allemand.

  • Tenable Identity Exposure n'affiche plus les balises tenable_ad_date dans le fichier d'exportation au format CSV.

 S/O

Indicateurs d'attaque et correctifs connexes

 

  • Réduction des faux positifs/négatifs pour les attaques Tenable Identity Exposure avec les IoA suivants : emprunt d'identité sAMAccountName, Kerberoasting, dumping des identifiants système du système d'exploitation : mémoire LSASS, DCShadow et extraction de clé de sauvegarde de domaine DPAPI.

  • Dumping des identifiants système du système d'exploitation : mémoire LSASS — Affiche des informations plus précises sur le processus et le nom d'utilisateur lors de l'affichage des informations dans l'interface utilisateur et les alertes.

  • Pulvérisation de mot de passe (Password Spraying) ne manque plus les attaques lorsque Tenable Identity Exposure ne peut pas faire correspondre une adresse IP via l'objet AD de l'enregistrement DNS.

  • MassiveComputersRecon — Suppression de l'option non pertinente Contrôleurs de domaine cibles en liste verte

  • Script IoA

    • Tenable Identity Exposure a amélioré la résilience du script de configuration de l'IoA pour les installations ultérieures du script.

    • Il est à nouveau possible d'exécuter le script Register-TenableIOA à partir d'un serveur joint à un domaine à l'aide de runas.

  • Le rapport PDF de l'indicateur d'attaque n'affiche plus d'en-tête erroné sur la page de garde.

  • Le changement de nom de la GPO Tenable Identity Exposure n'a plus d'impact sur la fonctionnalité de mise à jour automatique de la configuration de l'indicateur d'attaque Tenable Identity Exposure.

  • La détection des attaques par Tenable Identity Exposure est désormais plus précise et réduit les faux négatifs ainsi que les faux positifs.

  • L'installation d'IoA rétablit la journalisation des événements de sécurité.

  • Tenable Identity Exposure affiche correctement les attributs avec un caractère dollar ($) dans la vue d'investigation de l'indicateur d'attaque.

  • Lors de l'installation des indicateurs d'attaque sur un contrôleur de domaine Windows 2022, le serveur n'a plus besoin de redémarrer.

  • Tenable Identity Exposure ne pousse plus de configuration d'IoA sur le PDC dans une GPO supprimée. Il utilise désormais la configuration de l'IoA installé pour une expérience de mise à jour automatique et plus robuste d'indicateur d'attaque.

  • Tenable Identity Exposure nécessite désormais moins d'autorisations pour obtenir la même analyse de l'indicateur d'attaque.

 S/O
Programme d'installation de Tenable Identity Exposure  

  • Affiche des étiquettes plus précises pour les lecteurs SQL.

  • Prend en charge les langues autres que l'anglais.

  • Permet de cliquer sur le bouton « Précédent » pour revenir en arrière et modifier les options d'installation.

  • Échoue sans avertissement s'il détecte un serveur SQL existant précédemment installé sur le Storage Manager.

 S/O
Chemin d'attaque  

  • Après la suppression d'un annuaire, le chemin d'attaque actualise désormais son graphique Tier0.

  • La page affiche désormais une seule barre de menu.

  • Le service Attack Path (Chemin d'attaque) peut désormais gérer plusieurs grands descripteurs de sécurité lors de son initialisation.

 S/O
Autres correctifs  

  • Le score Tenable Identity Exposure (conformité) via l'API publique exclut désormais les vérificateurs désactivés pour le profil fourni. Cela avait conduit à un score incorrect via l'API publique. Cette situation est maintenant améliorée et cohérente avec le score de conformité disponible dans l'interface utilisateur Tenable Identity Exposure.

  • Authentification — Tenable Identity Exposure enregistre désormais une tentative de connexion réussie après l'avoir validée.

  • Sécurité — Les suggestions GraphQL n'apparaissent plus.

  • Les widgets du dashboard Tenable Identity Exposure affichent désormais « 0 » au lieu de « Aucune donnée » lorsqu'ils ne détectent aucune déviation.

  • Améliorations de l'authentification de compte de service Kerberos lorsque Tenable Identity Exposure collecte des données pour une analyse privilégiée.

  • Mise à jour de la dépendance de la bibliothèque RabbitMQ pour corriger CVE-2022-37026.

  • Tenable Identity Exposure a amélioré les performances lors du traitement d'attributs à plusieurs valeurs dotés de nombreuses entrées.

  • Tenable Identity Exposure a amélioré la tolérance aux pannes SYSVOL, par exemple contre les accès invalides.

  • Tenable Identity Exposure indique à nouveau les objets LDAP qui sont devenus hors de portée (par exemple, en raison d'autorisations).

  • Les enregistrements DNS s'affichent avec leurs adresses IPv6 correctes.

  • Tenable Identity Exposure ne répertorie plus les profils de sécurité auxquels un utilisateur n'a pas accès.

  • Service Tenable Cloud — Tenable Identity Exposure fournit des messages d'erreur plus précis lorsqu'il ne peut pas se connecter ou s'authentifier auprès du service Tenable Cloud.

    Tenable.ad ne peut pas se connecter au service Tenable Cloud.Tenable.ad ne peut pas s'authentifier auprès du service Tenable Cloud.

  • Licence — Tenable Identity Exposure base désormais son nombre d'utilisateurs actifs uniquement sur les objets AD dont objectClass est strictement User, et non sur les objectClasses qui contiennent User tels que MSMQ-Migrated-User ou strongAuthenticationUser.

  • Trail Flow — Vous pouvez désormais copier le champ SDDL lorsque vous utilisez un protocole HTTP non sécurisé (pertinent pour certains déploiements sur site qui utilisent HTTP ou un certificat HTTPS non reconnu).

  • Portail de référence de l'API Tenable Identity Exposure — Suppression de l'entrée non pertinente (événements).

  • API — Validation renforcée des entrées d'entiers et gestion appropriée de l'erreur en tant que Requête incorrecte au lieu d'Erreur interne du serveur.

  • Tenable Identity Exposure gère mieux les principaux de sécurité étrangers lorsqu'ils sont également des principaux de sécurité non résolus.

  • Tenable Identity Exposure remplace les séquences \0a dans les attributs AD par un espace lors de leur envoi via SYSLOG.

  • Il est désormais possible de modifier des rôles avec des annuaires supprimés dans certains cas extrêmes.

  • Tenable Identity Exposure relie au bon domaine les principaux de sécurité non résolus dans la fonctionnalité de chemin d'attaque.

 S/O

La version 3.42.17 de Tenable Identity Exposure corrige les bugs suivants :

Correctif ID de défaut
Lors de la mise à niveau, Tenable Identity Exposure remplit automatiquement le nom de domaine complet (FQDN) ou l'adresse IP du stockage des journaux d'événements avec la configuration existante. S/O
Tenable Identity Exposure a rectifié les chemins de désinstallation non cités dans les installations RabbitMQ et Erlang. S/O
L'indicateur d'exposition (IoE) GPO non liées, désactivées ou orphelines gère désormais plus efficacement les scénarios impliquant des GPO supprimées. S/O
La récupération de données sensibles fonctionne désormais de manière transparente avec les domaines Active Directory renommés. S/O
Dans l'indicateur d'exposition Paramétrages dangereux sur des serveurs ADCS, à des fins d'analyse des modèles de certificats, il est désormais possible d'exclure des administrateurs d'autres domaines AD en utilisant leur samAccountName ou leur userPrincipalName. S/O
Les autorisations pour NT AUTHORITY\Authenticated Users n'apparaissent plus dans le dossier d'installation de Tenable. S/O
Trail Flow peut désormais gérer correctement les clients ayant un historique d'événements volumineux. S/O
Tenable Identity Exposure a corrigé plusieurs fuites de mémoire dans le service du collecteur. S/O

Tenable Identity Exposure a corrigé une logique de corrélation qui avait un impact sur les indicateurs d'attaque suivants : DCSync, DCShadow, Changement de mot de passe sur un DC, Exploitation de DNSAdmins, Extraction de clé de sauvegarde de domaine, Reconnaissance massive de machines, Extraction NTDS, Dumping des identifiants système : mémoire LSASS, Usurpation de SamAccountName, et Exploitation Zerologon.

 S/O
Le programme d'installation Tenable Identity Exposure accepte désormais les certificats Elliptic Curves pour sécuriser les communications entre les services. S/O
Le programme d'installation de Tenable Identity Exposure sur site vous permet désormais d'utiliser des noms de domaine complets (FQDN) dans tous les champs où il demandait auparavant une adresse IP. S/O

La version 3.42.12 de Tenable Identity Exposure corrige les bugs suivants :

Correctif ID de défaut
L'analyse de sécurité a maintenant une meilleure capacité à gérer les descripteurs de sécurité qui ne sont pas correctement formatés. S/O
Un mécanisme nouvellement implémenté améliore la résilience de la base de données lorsqu'il y a de nombreuses modifications d'attributs. S/O
L'analyse de sécurité des indicateurs d'attaque revient désormais à une version précédente du journal des événements Windows si nécessaire. S/O
L'analyse de sécurité limite désormais la génération de journaux d'erreurs lorsqu'elle rencontre une expression régulière incorrecte provenant d'une option d'indicateur d'exposition. S/O
Chaque fois qu'un utilisateur modifie son mot de passe, toutes ses sessions actives deviennent non valides. S/O
Tenable Identity Exposure lit désormais les fichiers journaux des événements au format gz avec moins de tentatives de résolution des problèmes potentiels causés par les descripteurs de fichiers ouverts sur ces fichiers. S/O
En l'absence du module d'indicateur d'attaque, les journaux ne mentionnent aucun message inapproprié lié à l'indicateur d'attaque. S/O

Indicateurs d'exposition (IoE)

  • Les Stratégies de mots de passe faibles appliquées aux utilisateurs améliorent les performances lors de la vérification de sécurité initiale.

  • Durcissement insuffisant contre les ransomwares a amélioré la résilience lors du signalement de déviances.

  • Privilèges sensibles dangereux a amélioré les performances d'analyse.

 S/O

La version 3.42.11 de Tenable Identity Exposure corrige les bugs suivants :

Correctif ID de défaut
Tenable Identity Exposure peut à nouveau fonctionner avec plusieurs instances d'écouteurs (Ceti). S/O
Tenable Identity Exposure génère désormais le fichier audit.csv de la GPO IoA à l'aide des résultats des API Windows au lieu du résultat d'auditpol.exe (qui est localisable). S/O
La personnalisation des indicateurs d'attaque Tenable Identity Exposure fonctionne désormais comme prévu. S/O
Un paramètre supplémentaire, -EventLogsFileWriteFrequency X, dans le script de déploiement de l'indicateur d'attaque vous permet de résoudre les problèmes potentiels de réplication lente ou interrompue du système de fichiers distribués (DFS) que vous pouvez rencontrer. Pour plus d'informations, voir DFS Replication Issues Mitigation (Atténuation des problèmes de réplication du DFS) dans le guide de l'administrateur. S/O
Mise à jour de la dépendance xml2js vers la dernière version (de 0.4.23 à 0.5.0). S/O
Tenable Identity Exposure limite désormais l'occurrence des erreurs Access Denied (Accès refusé) provenant du partage SYSVOL afin d'éviter une utilisation excessive du disque de stockage des journaux. S/O

La version 3.42.11 sur site de Tenable Identity Exposure offre des améliorations significatives pour protéger votre infrastructure Active Directory. Cette version inclut des mises à jour de certaines dépendances afin de donner la priorité à la sécurité logicielle et garantir que les composants sont à jour pour une meilleure protection.

Tenable Identity Exposure   Version 3.42.3 Version 3.42.11 Version 3.42.17
Nom du logiciel Nom du fichier Version Version Version
cUrl curl.exe 7.66.0 8.0.1 8.4.0
SysInternals Handle handle.exe 4.22.0 5.0.0 5.0
IIS URL Rewrite Module 2 rewrite_amd64_en-US.msi 7.2.1980 7.2.1993 7.2.1993

Runtime .net
Pack d'hébergement .NET sur Windows Server

 dotnet-hosting-6.0.14-win.exe 6.0.14 6.0.16

6.0.22.32824
6.0.22.23424
NodeJS node-x64.msi 16.19.1 16.20.0 18.18.0
MSSQL setup.exe 2019.150.2000.5 2019.150.4312.2 15.0.4322.2
RabbitMQ rabbitmq-server.exe 3.10.11 3.10.19 3.12.6
Erlang OTP otp_win64.exe 25.1.2 25.1.2 26.1.1
C++ 2105-2022 Redistribuable (inchangé) vcredist_2015_x64.exe 14.24.28127.4 14.24.28127.4 14.24.28127.4
ASP.NET Core dotnet-hosting-win.exe 6.0.14 6.0.16 6.0.22.23424