권한 있는 분석
권한 있는 분석은 Tenable Identity Exposure의 선택 사항 기능으로, (다른 기능과는 달리) 이 기능을 사용하지 않았다면 보호되었을 데이터를 가져와 더 많은 보안 분석을 제공하기 위해 더 많은 권한이 필요한 기능입니다.
필수 조건
권한 있는 분석을 사용하려면 동적 RPC 포트 TCP/49152-65535 및 UDP/49152-65535를 열어야 합니다. 자세한 내용은 네트워크 흐름 행렬를 참조하십시오.
데이터 가져오기
권한 있는 분석을 사용하면 다음과 같은 추가 데이터를 가져옵니다.
-
비밀번호 해시 — Tenable Identity Exposure에서 비밀번호 분석을 위해 LM 및 NT 해시를 가져옵니다. Tenable Identity Exposure에서는 LM 해시를 가져와서 오래되고 약한 알고리즘을 사용하고 있는 것을 경고하지만 저장하지는 않습니다. 해시 수집 범위는 다음을 포함합니다.
-
사용으로 설정된 모든 사용자 계정
-
사용으로 설정된 모든 도메인 컨트롤러 컴퓨터 계정
-
데이터 보호
Active Directory(AD) 자체는 사용자 비밀번호를 직접적으로 저장하지 않고, LM 또는 NT 해싱 알고리즘을 사용해 해시만 저장합니다. 이 경우 원래 비밀번호 복원이 허용되지 않습니다. Tenable Identity Exposure에서는 LM 해시를 저장하지 않습니다.
Relay를 SAAS-VPN 플랫폼에서 호스팅하는 클라이언트를 제외하고, Relay만이 비밀번호 해시를 처리하므로 비밀번호 해시는 클라이언트 인프라를 떠나지 않습니다. Relay는 비밀번호와 비밀번호 해시를 저장하지 않지만, 분석을 위해 필요할 때마다 사용자의 비밀번호 해시를 검색하며 캐시에 일시적으로만(보통 몇 밀리초 동안) 보관합니다.
하지만 Tenable Identity Exposure에서는 최소 비트의 비밀번호 해시 데이터를 Relay의 RAM에 안전하게 저장한 상태로 보관하며 비밀번호가 동일한 사용자를 확인하기 위한 K-anonymity 분석을 수행하기 위한 목적일 뿐입니다.