Los análisis con credenciales son análisis en los que el equipo que realiza el análisis tiene una cuenta en el equipo que se está analizando que le permite realizar una comprobación más exhaustiva en busca de problemas que no se pueden ver desde la red. Ejemplos de los tipos de comprobaciones que puede hacer un escáner con credenciales incluyen comprobaciones para ver si el sistema está ejecutando versiones inseguras de Adobe Acrobat o Java o si hay permisos de seguridad deficientes que gobiernan un servicio. La Oficina de Seguridad de la Información (ISO) utiliza escáneres Nessus que son capaces de ejecutar estos escaneos con credenciales; sin embargo, sin cuentas en las máquinas locales, no podemos utilizar esta funcionalidad. Teniendo esto en cuenta, ISO creará cuentas en uno de los escáneres Nessus para que los administradores de seguridad departamentales puedan realizar sus propios escaneos con credenciales. Para utilizar los escáneres de ISO para realizar un análisis con credenciales de un sistema Windows, Nessus requiere la siguiente configuración:
- El servicio Windows Management Instrumentation (WMI) debe estar habilitado en el objetivo.
- El servicio de registro remoto debe estar habilitado en el objetivo o las credenciales utilizadas por Nessus deben tener los permisos necesarios para iniciar el servicio de registro remoto y estar configuradas adecuadamente.
- El uso compartido de archivos &de impresora debe estar habilitado en el sistema que se va a analizar.
- Se debe utilizar una cuenta SMB que tenga derechos de administrador local en el objetivo. Una cuenta que no sea de administrador puede realizar algunos análisis limitados; sin embargo, un gran número de comprobaciones no se ejecutarán sin estos derechos. Según Tenable, la empresa que está detrás de Nessus, en Windows 7 es necesario utilizar la cuenta de administrador, no sólo una cuenta del grupo de administradores. ISO está actualmente en proceso de probar esto y buscar posibles soluciones.
- Los puertos 139 (TCP) y 445 (TCP) deben estar abiertos entre el escáner Nessus y el ordenador que se va a escanear. La información sobre qué bloque de IPs abrir en los firewalls se puede encontrar aquí: ¿Cuál es la red de origen para los escaneos de seguridad realizados por Seguridad y Política de la Información?
- Asegúrese de que no existen políticas de seguridad de Windows que bloqueen el acceso a estos servicios. Dos problemas comunes son las configuraciones de SEP que bloquean los escáneres incluso después de que los escáneres se autentifiquen y un modelo de acceso a la red que establece el acceso a la red con permisos de «Sólo para invitados» (consulte más abajo para obtener información sobre cómo cambiar esto).
- Los recursos compartidos administrativos predeterminados (es decir, IPC$, ADMIN$, C$) deben estar habilitados (AutoShareServer = 1). Dado que están activados por defecto y pueden causar otros problemas si se desactivan, esto no suele ser un problema.
Para comprobar si un sistema tiene un modelo de compartición y seguridad «sólo para invitados» vaya al Panel de control, abra «Herramientas administrativas» y luego «Política de seguridad local». En esa ventana vaya a Políticas locales –> Opciones de seguridad –> Acceso a la red: Modelo de compartición y seguridad para cuentas locales. En algunas instalaciones de Windows, esta opción está configurada por defecto como «Sólo invitados – los usuarios locales se autentican como invitados». Si esta es la configuración de su equipo, tendrá que cambiarla a «Clásico – los usuarios locales se autentican como ellos mismos».
POR FAVOR, tenga en cuenta que algunas de las configuraciones anteriores pueden, en algunos entornos, disminuir la seguridad de un sistema. Si este es el caso, una vez realizada la exploración con credenciales, es aconsejable devolver el sistema a su estado anterior.