特権分析

特権分析は Tenable Identity Exposure のオプション機能で、保護データを取得し、より多くのセキュリティ分析を提供するために、他の機能とは対照的により多くの権限を必要とします。

データ取得

注意: 特権分析機能には、昇格された権限が必要です。特権分析のアクセスを参照してください。

特権分析を有効にすると、次の追加データが取得されます。

  • パスワードハッシュ - Tenable Identity Exposure はパスワード分析のために LM および NT ハッシュを取得します。Tenable Identity Exposure は、古くて弱いアルゴリズムを使用する LM ハッシュの存在について警告するためだけに LM ハッシュを取得しますが、保存はしません。ハッシュコレクションの範囲には以下が含まれます。

    • すべての有効なユーザーアカウント

    • すべての有効なドメインコントローラーコンピューターアカウント

データ保護

Active Directory (AD) 自体はユーザーパスワードを直接保存しません。元のパスワードの回復できないように、LM または NT ハッシュアルゴリズムを使ってハッシュ化のみを行います。Tenable Identity Exposure は、LM ハッシュを保存しません。

SAAS-VPN プラットフォームでリレーをホストしているクライアントを除き、リレーのみがパスワードを処理するため、パスワードがクライアントのインフラから離れることはありません。リレーはパスワードを保存しませんが、分析に必要になるたびにユーザーのパスワードを取得し、一時的に (通常は数ミリ秒のみ) キャッシュに保存します。ただし、 Tenable Identity Exposure は、K-匿名性分析を実行して同一のパスワードを使用するユーザーをチェックするためだけに、最小限のビット数のパスワードハッシュデータをリレーの RAM に安全に保存します。

注意: SaaS-VPN プラットフォームクライアントの場合も動作は同じですが、Tenable がリレーをホストします。