Pověřené skenování je skenování, při kterém má skenující počítač účet na skenovaném počítači, který umožňuje skeneru provést důkladnější kontrolu a hledat problémy, které nelze vidět ze sítě. Příklady druhů kontrol, které může provádět pověřený sken, zahrnují kontrolu, zda systém nepoužívá nezabezpečené verze Adobe Acrobatu nebo Javy nebo zda nejsou špatná bezpečnostní oprávnění řídící službu. Úřad pro informační bezpečnost (ISO) provozuje skenery Nessus, které jsou schopny tyto kontroly s pověřením provádět; bez účtů na místních počítačích však tuto funkci nemůžeme využívat. S ohledem na tuto skutečnost ISO vytvoří účty na jednom ze skenerů Nessus pro správce zabezpečení jednotlivých oddělení, aby mohli provádět vlastní pověřené skenování. Aby bylo možné používat skenery ISO k provádění pověřeného skenování systému Windows, vyžaduje Nessus následující nastavení:
- Na cíli musí být povolena služba Windows Management Instrumentation (WMI).
- V cíli musí být povolena služba Vzdálený registr nebo pověření používaná programem Nessus musí mít oprávnění potřebná ke spuštění služby Vzdálený registr a musí být vhodně nakonfigurována.
- V systému, který má být skenován, musí být povoleno sdílení souborů & tiskáren.
- V cíli musí být použit účet SMB, který má práva místního správce. Účet, který není správcem, může provádět některé omezené kontroly; bez těchto práv však velké množství kontrol neproběhne. Podle společnosti Tenable, která stojí za programem Nessus, je v systému Windows 7 nutné použít účet správce, nikoli pouze účet ve skupině Administrators. V současné době probíhá testování ISO a hledá se možné řešení.
- Mezi skenerem Nessus a kontrolovaným počítačem musí být otevřeny porty 139 (TCP) a 445 (TCP). Informace o tom, jaký blok IP je třeba otevřít ve firewallech, naleznete zde: Jaká je zdrojová síť pro bezpečnostní skenování prováděné oddělením bezpečnosti informací a zásad?
- Ujistěte se, že nejsou zavedeny žádné zásady zabezpečení systému Windows, které by blokovaly přístup k těmto službám. Dvěma častými problémy jsou konfigurace SEP, které blokují skenery i po jejich ověření, a model přístupu k síti, který nastavuje přístup k síti na oprávnění „Pouze host“ (informace o změně tohoto oprávnění naleznete níže).
- Musí být povoleny výchozí správní sdílené položky (tj. IPC$, ADMIN$, C$) (AutoShareServer = 1). Vzhledem k tomu, že jsou ve výchozím nastavení povoleny a jejich zakázání může způsobit jiné problémy, bývá to zřídkakdy problém.
Chcete-li zkontrolovat, zda má systém model sdílení a zabezpečení „Pouze pro hosty“, přejděte do Ovládacích panelů, otevřete „Nástroje pro správu“ a poté „Místní zásady zabezpečení“. V tomto okně přejděte na Místní zásady –> Možnosti zabezpečení –> Přístup k síti: Sdílení a model zabezpečení pro místní účty. V některých instalacích systému Windows je toto nastavení ve výchozím nastavení nastaveno na „Pouze host – místní uživatelé se ověřují jako host“. Pokud je toto nastavení ve vašem počítači nastaveno, je třeba jej změnit na „Klasické – místní uživatelé se ověřují jako oni sami“.
PŘIPOMÍNKA: Některá z výše uvedených nastavení mohou v některých prostředích skutečně snížit zabezpečení systému. V takovém případě je vhodné po provedení kontroly pověření vrátit systém do předchozího stavu.