Notes de version Tenable Identity Exposure 2024 – Sur site
Ces notes de version sont répertoriées dans l'ordre chronologique inverse.
Tenable Identity Exposure 3.77.6 (2024-12-04)
Correctifs
La version 3.77.6 de Tenable Identity Exposure contient les correctifs suivants :
| Le fichier updater.exe est désormais signé numériquement avec le certificat Tenable. Cette signature apporte une protection contre les modifications non autorisées et garantit l'authenticité du fichier. |
| Tenable Identity Exposure fournit désormais les vecteurs d'attaque appropriés pour PetitPotam via un moteur de corrélation amélioré. Vous devez redéployer l'observateur d'événements IoA. |
| Tenable Identity Exposure prend désormais en charge des formats DNS inversés supplémentaires pour extraire les adresses IPv4 des objets DnsNode, et ainsi traiter les sorties précédemment « inconnues » dans la fonction Indicateur d'attaque. Cette amélioration optimise la contextualisation des alertes et augmente la précision des IoA pertinents en mode standard. |
| Les alertes TCP Syslog fonctionnent comme prévu sous Windows Server 2016. |
| La tâche planifiée Secure Relay a désormais le paramètre valide -AfadRolePath. Pendant une mise à niveau, Tenable Identity Exposure supprime et recrée les tâches planifiées. |
| L'IoE « Paramétrages dangereux sur des serveurs ADCS » prend désormais en compte l'option « Whitelisted Trustee » (DN de confiance). |
| L'IoE « Délégation Kerberos dangereuse » applique désormais la liste blanche des objets désactivés. |
| L'IoE « Stratégies de mots de passe faibles appliquées aux utilisateurs » n'affiche plus de faux positifs pour le motif « Aucune PSO privilégiée n'est appliquée sur le domaine ». |
| Les attributs incriminants affichent désormais des valeurs détaillées lorsqu'ils sont localisés. |
| L'indicateur d'attaque « Extraction NTDS » a renommé l'option « Processus autorisés » pour clarifier son utilisation en mode « agressif » uniquement et a supprimé l'option non utilisée « Chemins de destination NTDS autorisés ». |
| Tenable Identity Exposure produit désormais des exportations au format CSV appropriées en échappant les guillemets doubles ("), améliorant ainsi la précision des données exportées. |
| Lorsque certains domaines sont inaccessibles, les tests de connectivité pour tous les domaines affichent de meilleures performances pour éviter les délais d'expiration inattendus de l'interface web. |
| Tenable Identity Exposure s'adapte désormais pour analyser les journaux d'événements Windows importés avec un retard. |
| Les indicateurs d'exposition (IoE) affichent désormais la date de la dernière détection avec une plus grande précision. |
| Les détections d'une déviance Microsoft Entra ID correspondent désormais correctement au tenant sélectionné. |
| Dans certains cas extrêmes, Tenable Identity Exposure ne peut pas analyser les empreintes de mot de passe. |
| Tenable Identity Exposure a ajouté le champ « UserNameVariants » à DCSyncData, permettant la création d'une liste blanche de noms d'utilisateurs indépendamment du format (SID, UPN, sAMAccountName). Actuellement, cette modification s'applique uniquement à l'indicateur d'attaque DCSync (IoA). |
| Envoy stocke le certificat CA dans un format chiffré, la taille de la configuration de l'itinéraire par défaut étant passée de 4 Ko à 4 Mo pour accueillir des charges de travail plus importantes. |
| Tenable Identity Exposure teste désormais correctement la connectivité à cloud.tenable.com. |
| Après un problème de connectivité LDAP, le Directory Listener redémarre automatiquement après 12 heures pour se resynchroniser avec tous les états ADObject qu'il aurait pu manquer. |
| Les alertes UDP Syslog tronquent désormais la charge de travail une fois qu'elle a atteint la taille de la MTU. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|
| Tenable Identity Exposure | 3.77.3 | 3.77.6 |
| C++ 2015-2019 Redistribuable | 14.38.33135.0 | 14.38.33135.0 |
| Pack d'hébergement .NET sur Windows Server | 8.0.10.24468 | 8.0.11.24521 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.18.0 | 20.18.1.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.5 |
| RabbitMQ | 3.12.14 | 4.0.3 |
| SQL Server | 15.0.4385.2 | 15.0.4405.4 |
| OpenSSL | 3.3.2 | 3.3.2 |
| Envoy | 1.29.9 | 1.29.10 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.11.0 |
Tenable Identity Exposure 3.77.3 (2024-11-06)
Nouvelles fonctionnalités
-
Indicateurs d'attaque (IoA)
-
Nouveaux modes standard et agressif – Le mode standard est conçu pour les clients qui préfèrent une configuration simplifiée : il minimise le temps de configuration et réduit le nombre de faux positifs, ce qui améliore le rapport signal-bruit des alertes. Cela s'applique aux IoA suivants :
-
DCSync
-
Changement de mot de passe suspect sur un DC
-
Golden Ticket
-
Extraction NTDS
-
Dumping des identifiants système : mémoire LSASS
-
Énumération des administrateurs locaux
-
Usurpation de sAMAccountName
-
-
-
Indicateurs d'exposition (IoE)
-
Nouveaux IoE
- Shadow Credentials – Un nouvel IoE détecte les portes dérobées et les mauvaises configurations d'identifiants/informations d'authentification fantômes dans la fonctionnalité « Windows Hello Entreprise » et les identifiants de clé associés.
-
Paramétrages dangereux sur des comptes de service administrés – Un nouvel IoE s'assure que les comptes de service administrés disposent du déploiement et de la configuration appropriés.
-
Configuration de silo d'authentification privilégié – Aide les administrateurs AD à installer et à configurer un silo d'authentification pour les comptes Tier-0.
-
Intégrité des property sets – « Property Set » dans Microsoft Active Directory (AD) regroupe plusieurs attributs pour une gestion plus facile et plus efficace des ACL. Cet indicateur d'exposition vérifie les mauvaises configurations ou les portes dérobées potentielles au sein de ces objets AD et de leurs attributs.
-
Comptes utilisateurs AD privilégiés synchronisés avec Microsoft Entra ID – Vérifie que les comptes utilisateurs privilégiés Active Directory ne sont pas synchronisés avec Microsoft Entra ID.
-
Compte invité activé – Vérifie que le compte invité intégré est désactivé.
-
Principaux de sécurité en conflit – S'assure de l'absence d'utilisateurs, d'ordinateurs ou de groupes dupliqués (en conflit).
-
IoE basés sur un RSOP – Pour améliorer les performances, Tenable Identity Exposure exclut les vérifications RSoP (jeu de stratégies résultant) en direct. Au lieu de cela, planifiez une vérification de sécurité RSoP toutes les 30 minutes, ce qui permet une meilleure gestion des vérifications connexes qui sont nécessaires pendant le processus RSoP. Pour plus d'informations, voir RSOP-based Indicators of Exposure (Indicateurs d'exposition basés sur un RSoP).
-
Date de la dernière modification du mot de passe du compte KRBTGT – Ajout de la prise en charge du compte krbtgt_AzureAD dans Windows Hello Entreprise (déploiement Cloud Trust).
-
Mots de passe utilisant un algorithme de chiffrement réversible – Inclut désormais la validation des mots de passe utilisant un algorithme de chiffrement réversible définis par la PSO avec l'attribut msDS-PasswordReversibleEncryptionEnabled.
-
Gestion des comptes d'administration locaux – Prise en charge de la nouvelle version de Windows LAPS. Introduit une nouvelle option appelée « Version LAPS installée » et valide la configuration de la version LAPS en fonction des sélections de l'utilisateur.
-
- Proxy – Possibilité de définir une connexion proxy lors de l'installation ou de la mise à niveau de Tenable Identity Exposure. Cette connexion proxy permet aux environnements sur site de fonctionner avec les fonctionnalités Tenable One.
-
Installation du Secure Relay – Le programme d'installation amélioré facilite le chargement du certificat auto-signé à partir du Directory Listener lorsque vous installez le Secure Relay sur une machine distincte (autonome).
Améliorations
-
Les alertes par e-mail ne prennent désormais en charge que les protocoles de chiffrement sécurisés, plus précisément TLS 1.2 et 1.3. Les clients qui ont configuré leur Secure Relay de manière à forcer l'utilisation de normes de chiffrement SMTP obsolètes, comme SSLv3, doivent supprimer cette configuration. Les seules valeurs autorisées sont « Tls12 », « Tls13 » et « TLS12, Tls13 » pour basculer automatiquement en fonction de la version du serveur. L'utilisation de valeurs non prises en charge empêchera le relais de démarrer.
-
Nouveau « délai avant l'envoi d'alertes » de 10 heures (IoA Golden Ticket) pour autoriser les utilisateurs légitimes pendant cette période et ainsi réduire le nombre de faux positifs.
-
Configuration IoA – Possibilité de choisir la durée de collecte d'événements avant de déclencher l'analyse des événements. Les valeurs sont limitées de 30 secondes à 9 minutes.
-
Active Directory – La limite de taille des objets AD gérés par Tenable Identity Exposure a été augmentée.
-
Indicateurs d'exposition
-
Délégation Kerberos dangereuse
-
Ne considère plus les utilisateurs possédant une carte à puce comme un problème de sécurité, car ils ne sont pas affectés par l'attaque AS-REP Roasting.
-
Ne signale plus les ordinateurs comme déviants pour le motif « Non protégés contre la délégation » ; résout toutes les déviances existantes.
-
Un nouveau motif signale tous les comptes pour lesquels l'attribut utilisé par la délégation contrainte (msDS-AllowedToDelegateTo) fait référence à un nom de principal de service (SPN) qui n'existe pas.
-
Un nouveau motif détecte la configuration actuelle de la délégation Kerberos sur un compte Microsoft Entra Connect (AZUREADSSOACC).
-
-
Groupe principal de comptes utilisateur – Un motif supplémentaire signale tous les comptes dont l'attribut primaryGroupID apparaît vide en raison de droits insuffisants.
Comptes dotés de mots de passe sans date d'expiration – Ajout d'un nouveau motif pour faire la distinction entre les utilisateurs avec privilèges et ceux qui n'en ont pas.
Principaux de sécurité en conflit – Un nouvel IoE s'assure de l'absence de duplication (conflit) d'objets tels que des utilisateurs, des ordinateurs ou des groupes.
Compte Utilisateur utilisant un mot de passe trop ancien, Ordinateurs exécutant un système d'exploitation obsolète et Comptes dormants – Ajout de deux nouveaux motifs pour faire la distinction entre les utilisateurs avec privilèges et ceux qui ne le sont pas.
Domaine sans GPO de durcissement
Nouvelles vérifications garantissant que les sessions null sont explicitement désactivées sur tous les ordinateurs du domaine.
Nouvelles vérifications liées aux chemins UNC durcis configurés pour les contrôleurs de domaine (partages SYSVOL/NETLOGON).
Nouvelles vérifications garantissant que le spouleur d'impression est désactivé sur tous les contrôleurs de domaine.
Application de la signature SMB – Tenable Identity Exposure garantit une application correcte de la signature SMB sur les contrôleurs de domaine et les autres serveurs. Elle valide le paramètre « Stratégie par défaut des contrôleurs de domaine » et vérifie si la configuration GPO des autres serveurs est correcte.
Correctifs
La version 3.77.3 de Tenable Identity Exposure contient les correctifs suivants :
| Correctif |
|---|
| L'option « Liste blanche d'utilisateurs » dans l'indicateur d'exposition « Groupe Protected Users non utilisé » permet désormais d'autoriser les utilisateurs à l'aide du UserPrincipalName (UPN), du SID et du sAMAccountName, et non plus à l'aide de la méthode précédente qui consistait à utiliser uniquement le nom distinctif. |
| L'observateur des indicateurs d'attaque prend désormais en charge le codage non ASCII. |
| Tenable Identity Exposure ne déclenche pas la déviance « Stratégies de mots de passe faibles appliquées aux utilisateurs » pour les ordinateurs situés dans un conteneur autorisé (configuré dans le profil). |
| Tenable Identity Exposure affiche un message d'avertissement vous conseillant de prendre un instantané du système avant d'effectuer la mise à niveau. |
| Tenable Identity Exposure a amélioré le processus d'annulation en supprimant les éléments résiduels. |
| Tenable Identity Exposure a résolu l'affichage de l'indicateur d'exposition lors de la visualisation des détails de profils en lecture seule. |
| Envoy donne désormais la priorité au processus de résolution par IPv4 avant de revenir à IPv6, corrigeant ainsi la configuration actuelle qui applique l'ordre inverse. |
|
Possibilité de sécuriser le cookie de session de connexion pour que l'envoi de cookies de session ne se fasse que sur HTTPS, afin d'améliorer la sécurité de l'application web. |
| La tâche planifiée Secure Relay a désormais le paramètre valide -AfadRolePath. Pendant une mise à niveau, Tenable Identity Exposure supprime et recrée les tâches planifiées. |
| Tenable Identity Exposure assure désormais une construction réussie du graphe des assets Tier 0. |
| Le service d'analyse de sécurité traite ses entrées pendant les pics d'utilisation du processeur (par exemple pendant les vérifications de sécurité). |
| Tenable Identity Exposure affiche une description de réussite lorsque des problèmes de vérification de l'état du système présentent un statut inconnu. |
| Tenable Identity Exposure analyse correctement les attributs d'approbation (même lorsqu'ils sont manquants dans de rares scénarios) pour afficher la vue topologique sans problèmes. |
| Le problème de blocage des indicateurs d'attaque (IoA) ne se produit plus sur la machine hébergeant le service d'analyse de sécurité. |
| La vérification de l'état du service Collecteur de données AD est désormais signalée comme vraie. |
| L'IoE « Stratégies de mots de passe faibles appliquées » aux utilisateurs a été amélioré pour mieux gérer les cas extrêmes liés aux limites des options. |
| Le programme d'installation de Secure Relay ne se déclenche plus après la mise à niveau et le redémarrage de Directory Listener. |
| Tenable Identity Exposure empêche désormais le Secure Relay d'envoyer à plusieurs reprises des résultats de requête LDAP qui ne sont plus requis par le service d'analyse de la sécurité. |
| L'IoA DCSync prend désormais en compte le cas extrême où le « samAccountName » du compte de service Tenable dépasse 20 caractères, garantissant que les alertes ne se déclenchent pas lorsque la fonction « Analyse privilégiée » est activée. |
| Lorsque vous utilisez le programme d'installation dans une version localisée, un message d'erreur apparaît en anglais lors du chargement de certificats non valides. |
| L'IoE « Comptes utilisateurs AD privilégiés synchronisés avec Microsoft Entra ID » ne nécessite plus l'option « Mettre des ordinateurs sur liste blanche ». |
| L'option « Intervalle de temps pour la détection » de l'IoA « Attaque de mot de passe par force brute » affiche désormais la bonne étiquette. |
| L'interface utilisateur Tenable Identity Exposure ne se charge plus deux fois lors de l'accès à l'URL de base de l'environnement Tenable Identity Exposure. |
| Tenable Identity Exposure a mis à jour le comportement des autorisations liées aux pages Indicateurs d'exposition. |
| Tenable Identity Exposure parvient mieux à empêcher les requêtes SQL de s'exécuter indéfiniment sur les petites plateformes SaaS, ce qui fiabilise l'accessibilité de la base de données. |
| Tenable Identity Exposure affiche désormais tous les IoE Entra ID sur le volet IoE. |
| Tenable Identity Exposure a corrigé les faux positifs causés par l'indicateur d'attaque « Pulvérisation de mot de passe » (et potentiellement d'autres IoA). |
| Pour certains cas extrêmes, Tenable Identity Exposure a mis à jour le processus d'installation de Secure Relay pour les machines jointes à un domaine : les clients utilisant un compte d'administrateur de domaine reçoivent désormais une invite leur demandant d'utiliser un compte d'administrateur local à la place. |
| Tenable Identity Exposure a introduit un mécanisme au démarrage du Relay pour effectuer une vérification du réseau entre le Relay et la plateforme. Si la plateforme n'est pas encore opérationnelle, le processus de démarrage du Relay attend pour assurer une connexion stable avant de continuer. |
| Si vous disposez d'une licence Tenable One, la création de l'utilisateur a lieu dans Tenable Vulnerability Management et est propagée à Tenable Identity Exposure. Dans ce cas, lorsque vous cliquez sur le bouton « Créer un utilisateur » dans Tenable Identity Exposure, un message apparaît pour vous diriger vers Tenable Vulnerability Management afin de créer des utilisateurs. |
| Le programme d'installation de Tenable Identity Exposure fonctionne désormais correctement pour les versions localisées. |
| Tenable Identity Exposure désinstalle l'ancienne version de .NET lors d'une mise à niveau majeure. |
| Tenable Identity Exposure a résolu un problème de journalisation dans l'IoA « Extraction NTDS », de manière à ce qu'il fonctionne correctement dans tous les scénarios. |
| L'IoA « Attaque de mot de passe par force brute » a été mise à jour et propose désormais une nouvelle option « Intervalle de temps pour la détection », qui faisait précédemment référence à l'IoA « Pulvérisation de mot de passe » à tort. |
| Optimisation de l'IoA « Golden Ticket » pour éliminer les pauses occasionnelles dans l'analyse des IoA et IoE, qui duraient auparavant une heure ou plus. |
| L'algorithme de détection amélioré dans l'IoA « Golden Ticket » produit moins de faux négatifs et de faux positifs. |
| Tenable Identity Exposure parvient mieux à empêcher les requêtes SQL de s'exécuter indéfiniment sur les petites plateformes, ce qui fiabilise l'accessibilité de la base de données. |
| Le terminal d'API publique /export/profile/:profileId/checkers/:checkerId fonctionne désormais correctement sans options. |
| Les fichiers journaux MSI sont disponibles dans C:\Tenable\Logs après une installation ou une mise à niveau. |
Dépendances logicielles mises à jour
| Nom du logiciel | Avant la mise à niveau | Avant la mise à niveau | Après la mise à niveau |
|---|---|---|---|
| Tenable Identity Exposure | 3.42.20 | 3.59.8 | 3.77.3 |
| C++ 2015-2019 Redistribuable | 14.38.33135.0 | 14.38.33135.0 | 14.38.33135.0 |
| Pack d'hébergement .NET sur Windows Server | 6.0.35 | 6.0.35 | 8.0.10.24468 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.4 | 20.18.0 | 20.18.0 |
| Erlang OTP | 26.2.5.4 | 26.2.5.4 | 26.2.5.4 |
| RabbitMQ | 3.12.14 | 3.12.4 | 3.12.14 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 1.1t | 3.2.0 | 3.3.2 |
| Envoy | -- | 1.29.9 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 | 5.0.0 |
| Curl | 8.10.1 | 8.10.1 | 8.10.1 |
Tenable Identity Exposure 3.59.4 (20/02/2024)
Cette version arrive en fin de vie (EOL). Effectuez une mise à niveau vers une version prise en charge. Pour plus d'informations sur les dates et les politiques de fin de vie des produits Tenable, consultez la matrice et la politique du cycle de vie des versions des logiciels Tenable.