Scans mit Berechtigungsnachweis sind Scans, bei denen der scannende Computer über ein Konto auf dem zu scannenden Computer verfügt, das es dem Scanner ermöglicht, eine gründlichere Prüfung durchzuführen und nach Problemen zu suchen, die vom Netzwerk aus nicht sichtbar sind. Beispiele für die Art von Überprüfungen, die ein Credentialed Scan durchführen kann, sind Überprüfungen, ob auf dem System unsichere Versionen von Adobe Acrobat oder Java ausgeführt werden oder ob für einen Dienst unzureichende Sicherheitsberechtigungen bestehen. Das Information Security Office (ISO) führt Nessus-Scanner aus, die in der Lage sind, diese Prüfungen mit Berechtigungsnachweis durchzuführen; ohne Konten auf den lokalen Rechnern können wir diese Funktion jedoch nicht nutzen. Aus diesem Grund wird das ISO auf einem der Nessus-Scanner Konten für die Sicherheitsadministratoren der Abteilungen einrichten, damit diese ihre eigenen Credentialed-Scans durchführen können. Um mit den ISO-Scannern einen Credentialed Scan eines Windows-Systems durchführen zu können, sind folgende Einstellungen von Nessus erforderlich:
- Der Windows Management Instrumentation (WMI)-Dienst muss auf dem Zielsystem aktiviert sein.
- Der Remote-Registrierungsdienst muss auf dem Zielsystem aktiviert sein, oder die von Nessus verwendeten Anmeldeinformationen müssen über die erforderlichen Berechtigungen zum Starten des Remote-Registrierungsdienstes verfügen und entsprechend konfiguriert sein.
- Datei &Druckerfreigabe muss auf dem zu überprüfenden System aktiviert sein.
- Ein SMB-Konto muss verwendet werden, das auf dem Zielsystem über lokale Administratorrechte verfügt. Ein Nicht-Administrator-Konto kann einige begrenzte Scans durchführen; eine große Anzahl von Prüfungen wird jedoch ohne diese Rechte nicht ausgeführt. Laut Tenable, dem Unternehmen hinter Nessus, muss unter Windows 7 das Administratorkonto verwendet werden, nicht nur ein Konto in der Administratorengruppe. ISO ist derzeit dabei, dies zu testen und nach möglichen Umgehungsmöglichkeiten zu suchen.
- Die Ports 139 (TCP) und 445 (TCP) müssen zwischen dem Nessus-Scanner und dem zu überprüfenden Computer geöffnet sein. Informationen darüber, welcher IP-Block in den Firewalls geöffnet werden muss, finden Sie hier: Welches ist das Quellnetz für Sicherheitsscans, die von Informationssicherheit und -politik durchgeführt werden?
- Stellen Sie sicher, dass keine Windows-Sicherheitsrichtlinien vorhanden sind, die den Zugriff auf diese Dienste blockieren. Zwei häufige Probleme sind SEP-Konfigurationen, die den Zugriff auf die Scanner blockieren, selbst wenn der Scanner authentifiziert ist, und ein Netzwerkzugriffsmodell, das den Netzwerkzugriff auf die Berechtigung „Nur für Gäste“ einstellt (siehe unten für Informationen zur Änderung dieser Einstellung).
- Die administrativen Standardfreigaben (d.h. IPC$, ADMIN$, C$) müssen aktiviert sein (AutoShareServer = 1). Da diese standardmäßig aktiviert sind und andere Probleme verursachen können, wenn sie deaktiviert werden, ist dies selten ein Problem.
Um zu überprüfen, ob ein System ein Freigabe- und Sicherheitsmodell „Nur für Gäste“ hat, gehen Sie zur Systemsteuerung, öffnen Sie „Verwaltung“ und dann „Lokale Sicherheitsrichtlinie“. In diesem Fenster gehen Sie zu „Lokale Richtlinien“ –> Sicherheitsoptionen –> Netzwerkzugriff: Freigabe- und Sicherheitsmodell für lokale Konten. Bei einigen Windows-Installationen ist dies standardmäßig auf „Nur Gast – lokale Benutzer authentifizieren sich als Gast“ eingestellt. Wenn dies die Einstellung auf Ihrem System ist, müssen Sie sie in „Klassisch – lokale Benutzer authentifizieren sich als sie selbst“ ändern.
Bitte beachten Sie: Einige der oben genannten Einstellungen können in manchen Umgebungen die Sicherheit eines Systems tatsächlich verringern. In diesem Fall ist es ratsam, das System nach der Überprüfung der Anmeldeinformationen wieder in den vorherigen Zustand zu versetzen.