• 警报和身份验证 ：安全中继支持 Syslog 和 SMTP 警报。有关更多信息，请参阅《 Tenable Identity Exposure 管理员指南》中的 “安全中继” 。

  • 身份验证：您可选择“安全中继”来配置 LDAP 身份验证。此中继会连接到您的 LDAP 服务器以对用户进行身份验证。

  • 警报：Syslog 和 SMTP 警报功能可通过安全中继向私人服务器发送警报。当您创建警报时，安全中继平台会要求您选择中继。您可以设置中继并将其用于域监控和/或警报。

    如果您使用安全中继并拥有现有警报， Tenable Identity Exposure 3.45 更新会自动为其分配中继以实现服务连续性。您可以出于与 Relay-VM 网络规则或您的偏好相关的原因编辑此中继。

• 基本身份验证和未经身份验证的 HTTP 代理支持 ：中继功能也支持通过基本身份验证使用 HTTP 代理（若您的网络需要代理服务器才能访问目录侦听器服务器，也可不使用身份验证）。有关更多信息，请参阅《 Tenable Identity Exposure 管理员指南》中的 “安全中继” 。

• 已知联合后门程序 ：Microsoft Entra 租户可以与外部域联合，以便与另一个域建立信任，从而进行身份验证和授权。组织使用联合功能，将 Active Directory 用户的身份验证委派到本地 Active Directory 联合服务 (AD FS)。（请注意：外部域不是 Active Directory“域”。）但是，如果恶意攻击者在 Microsoft Entra ID 中获得了更高的特权，他们可以添加自己的联合域或编辑现有的联合域来添加由自己设置的辅助设置，从而滥用这种联合机制来创建后门程序。

• 具有凭据的第一方服务主体 ：第一方服务主体（企业应用程序）来自 Microsoft 的应用程序（应用程序注册）。大多数主体在 Microsoft Entra ID 中拥有一些在安全检查过程中经常被忽略的敏感权限。攻击者可以借此向这些主体添加凭据，以隐蔽的方式利用主体的特权获益。

• 与 AD 同步的特权 Entra 帐户（混合） ：适用于混合帐户的检查，特别是那些从 Active Directory 同步且在 Entra ID 中具有特权角色的帐户。这些帐户会带来安全风险，因为它们允许攻击者入侵 AD，转而攻击 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。

• 影响租户的危险 API 权限 ：部分 Microsoft API 的一些权限可能对整个 Microsoft Entra 租户造成严重威胁，因为具有这些权限的服务主体会拥有很高的权限，同时也比高权限的管理员角色（例如，全局管理员）等更加谨慎。滥用这些权限可能导致攻击者绕过多因素身份验证 (MFA) 并阻止用户密码重置。

• 特权帐户缺少 MFA ：多因素身份验证 (MFA) 可为帐户提供强大的保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。在 特权帐户 没有已注册的 MFA 方法，或者您在没有注册 MFA 方法的情况下强制执行 MFA （上述两种情况可能会允许具有密码的攻击者注册他们自己的 MFA 方法并造成安全风险）时，此 IoE 会向您发出警报。

• 非特权帐户缺少 MFA ：多因素身份验证 (MFA) 可为帐户提供强大的保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。在 非特权帐户 没有已注册的 MFA 方法，或者您在没有注册 MFA 方法的情况下强制执行 MFA （上述两种情况可能会允许具有密码的攻击者注册他们自己的 MFA 方法并造成安全风险）时，此 IoE 会向您发出警报。

• 管理员数量太多 ：根据定义，管理员具有更高的特权。管理员数量太多会增加管理员帐户被入侵的几率，导致攻击面增加，从而造成安全风险。这也是最低特权原则未受到遵循的表现。

DC 密码变更 — 此 IoA 与 Zerologon 相关，主要关注攻击者在利用 Netlogon 漏洞后经常会伴随实施的特定攻击后活动：修改域控制器计算机帐户密码。有关更多信息，请参阅 《 Tenable Identity Exposure 攻击指标参考指南》 。

Zerologon ：可检测 Netlogon 身份验证进程是否失败，失败则表明攻击者正试图利用 Zerologon 漏洞获取域上的特权。有关更多信息，请参阅 《 Tenable Identity Exposure 攻击指标参考指南》 。

域备份密钥提取 ：可检测多种使用 LSA RPC 调用访问备份密钥的攻击工具。有关更多信息，请参阅 《 Tenable Identity Exposure 攻击指标参考指南》 。

属性集合理性 ：可用于检查 AD 架构中的属性集及其属性中是否存在任何错误配置，或恶意执行者安装的后门程序。虽然目前还没有与使用属性集相关的已知公共攻击向量，但此 IoE 主要侧重于识别由使用此功能的第三方产品引起的错误配置或特性问题。

存在风险的 WSUS 错误配置 ：检查 Windows Server Update Services (WSUS)，该 Microsoft 产品可将 Windows 更新部署到工作站和服务器，从而解决错误配置的设置会导致标准帐户的管理员权限升级的问题。

密码缺陷检测 ：可检查密码是否健全，以确保 Active Directory 身份验证的安全性。弱密码的产生原因有很多，例如复杂性不足、哈希算法过时、为共享密码以及暴露在遭泄露的数据库中。攻击者会利用这些漏洞来冒充帐户，特别是涉及特权帐户的帐户，从而在 Active Directory 中进行未经授权的访问。

DFS 错误配置 ：可检查 SYSVOL 是否使用分布式文件系统复制 (DFSR)，这是一种取代文件复制服务 (FRS) 的机制，具有更好的稳健性、扩展性和复制性能。

报告中心 ：此功能提供一种通过简化的报告创建过程向组织中的关键利益相关者导出重要数据的方式。有关更多信息，请参阅《 Tenable Identity Exposure 管理员指南》中的 “报告中心” 。

仪表盘模板 ：一个即用型模板，可帮助您专注于和组织有关的首要问题，例如合规性、风险、密码管理和用户/管理员监控。如需了解更多信息，请参阅《 Tenable Identity Exposure 用户指南》中的 “仪表盘” 。

平台运行状况检查功能 ： Tenable Identity Exposure 会在一个合并视图中列出其执行的平台运行状况检查，以便您及时调查和解决配置异常。有关更多信息，请参阅《 Tenable Identity Exposure 管理员指南》中的 “运行状况检查” 。