Integración en un dominio de Active Directory

Tenable Identity Exposure se ejecuta en sistemas operativos Microsoft Server que se conectan a un dominio de Active Directory (AD). Las siguientes son pautas sobre si se deben conectar o no estos servidores a un dominio de AD.

• Debido a que Tenable Identity Exposure ofrece información de seguridad confidencial, no se recomienda unir servidores de Tenable a ningún dominio de AD. De hecho, trabajar en un entorno aislado permite una clara separación entre el perímetro supervisado y la entidad supervisora (es decir, Tenable Identity Exposure). En esta configuración, un atacante con acceso inicial o privilegios limitados en el dominio supervisado no puede acceder directamente a Tenable Identity Exposure y a los resultados de análisis de seguridad.

• Si tiene una infraestructura confiable, puede elegir ejecutar Tenable Identity Exposure en servidores unidos a dominios. Este enfoque mejora la gestión de los servidores, ya que es parte del proceso normal que se sigue para cada servidor unido a un dominio. En particular, los servidores de Tenable Identity Exposure aplican las mismas políticas de endurecimiento que cualquier otro servidor corporativo. Tenable recomienda esta arquitectura solo en entornos de AD seguros y debe tener en cuenta los siguientes riesgos en caso de que una instancia de AD esté en peligro:

  • Un atacante con privilegios de administración de servidores puede recopilar más información sobre las formas de poner el sistema en peligro mediante el análisis de datos de Tenable Identity Exposure.

  • La política de seguridad en servidores unidos a dominios puede prohibir el acceso administrativo otorgado a Soporte de Tenable o sus socios certificados.

  • Un ataque puede ocultar un incidente de seguridad para vulnerar la supervisión de seguridad de Tenable Identity Exposure.