Credentialed scanninger er scanninger, hvor scanningscomputeren har en konto på den computer, der scannes, som gør det muligt for scanneren at foretage en mere grundig kontrol for at finde problemer, der ikke kan ses fra netværket. Eksempler på den slags kontroller, som en scanning med legitimationsoplysninger kan udføre, omfatter kontroller for at se, om systemet kører usikre versioner af Adobe Acrobat eller Java, eller om der er dårlige sikkerhedstilladelser for en tjeneste. Information Security Office (ISO) kører Nessus-scannere, som kan udføre disse credentialed scanninger; uden konti på de lokale maskiner kan vi dog ikke bruge denne funktionalitet. ISO vil derfor oprette konti på en af Nessus-scannerne til afdelingernes sikkerhedsadministratorer, så de selv kan foretage deres egne scanninger med legitimationsoplysninger. For at kunne bruge ISO-scannerne til at foretage en legitimationsscanning af et Windows-system kræves følgende indstillinger af Nessus:
- Tjenesten Windows Management Instrumentation (WMI) skal være aktiveret på målet.
- Fjernregistreringstjenesten skal være aktiveret på målet, eller de legitimationsoplysninger, der bruges af Nessus, skal have de nødvendige tilladelser til at starte fjernregistreringstjenesten og være konfigureret korrekt.
- Fil & Printerdeling skal være aktiveret på det system, der skal scannes.
- Der skal bruges en SMB-konto, der har lokale administratorrettigheder på målet. En konto, der ikke er administrator, kan udføre en begrænset scanning; et stort antal kontroller kan dog ikke udføres uden disse rettigheder. Ifølge Tenable, firmaet bag Nessus, er det i Windows 7 nødvendigt at bruge administratorkontoen, og ikke blot en konto i gruppen Administratorer. ISO er i øjeblikket i gang med at teste dette og leder efter mulige løsninger.
- Portene 139 (TCP) og 445 (TCP) skal være åbne mellem Nessus-scanneren og den computer, der skal scannes. Oplysninger om hvilken IP-blok der skal åbnes i firewalls kan findes her: Hvad er kildenetværket for de sikkerhedsscanninger, der udføres af Informationssikkerhed og politik?
- Sørg for, at der ikke findes Windows-sikkerhedspolitikker, der blokerer adgangen til disse tjenester. To almindelige problemer er SEP-konfigurationer, der blokerer for scannerne, selv efter at scannerne er autentificeret, og en netværksadgangsmodel, der indstiller netværksadgang til “Kun gæst”-tilladelser (se nedenfor for oplysninger om ændring af dette).
- De administrative standardandele (dvs. IPC$, ADMIN$, C$) skal være aktiveret (AutoShareServer = 1). Da disse er aktiveret som standard og kan forårsage andre problemer, hvis de deaktiveres, er dette sjældent et problem.
For at kontrollere, om et system har en delings- og sikkerhedsmodel med “Kun for gæster”, skal du gå til Kontrolpanel, åbne “Administrationsværktøjer” og derefter “Lokal sikkerhedspolitik”. I det vindue skal du gå til Lokale politikker –> Sikkerhedsindstillinger –> Netværksadgang: Delings- og sikkerhedsmodel for lokale konti. På nogle Windows-installationer er dette som standard indstillet til “Kun gæst – lokale brugere godkendes som gæst”. Hvis dette er indstillingen på din boks, skal du ændre den til “Klassisk – lokale brugere godkendes som sig selv”.
BEMÆRK: Nogle af ovenstående indstillinger kan i nogle miljøer faktisk mindske sikkerheden i et system. Hvis dette er tilfældet, er det tilrådeligt at returnere systemet til dets tidligere tilstand, når den legitimationsbaserede scanning er udført.