Miten suoritan Windows-tietokoneen valtuutetun Nessus-skannauksen?

Valtuutetut skannaukset ovat skannauksia, joissa skannaavalla tietokoneella on tili skannattavassa tietokoneessa, jonka avulla skanneri voi tehdä perusteellisemman tarkistuksen etsien ongelmia, joita ei voi nähdä verkosta. Esimerkkejä tarkastuksista, joita valtuutetun skannauksen avulla voidaan tehdä, ovat tarkastukset, joilla selvitetään, onko järjestelmässä käytössä Adobe Acrobatin tai Javan epävarmat versiot tai onko palvelussa huonot suojausoikeudet. Tietoturvatoimisto (ISO) käyttää Nessus-skannereita, jotka pystyvät suorittamaan tällaisia valtuutettuja tarkistuksia; emme kuitenkaan pysty käyttämään tätä toimintoa ilman paikallisten koneiden tilejä. Tätä silmällä pitäen ISO luo tilit yhdelle Nessus-skannerista osastojen turvallisuushallinnoijille, jotta he voivat tehdä omia valtuutettuja skannauksiaan. Jotta ISO-skannereita voidaan käyttää Windows-järjestelmän valtuutetun skannauksen suorittamiseen, Nessus tarvitsee seuraavat asetukset:

  1. Windows Management Instrumentation (WMI) -palvelun on oltava käytössä kohteessa.
  2. Kohteessa on oltava käytössä etärekisteripalvelu tai Nessuksen käyttämillä valtuustiedoilla on oltava etärekisteripalvelun käynnistämiseen tarvittavat oikeudet ja ne on määritettävä asianmukaisesti.
  3. Tiedoston & tulostimen jakaminen on otettava käyttöön skannattavassa järjestelmässä.
  4. Kohteessa on käytettävä SMB-tiliä, jolla on kohteen paikalliset järjestelmänvalvojan oikeudet. Muulla kuin järjestelmänvalvojan tilillä voidaan tehdä joitakin rajoitettuja tarkistuksia, mutta suuri osa tarkistuksista ei kuitenkaan onnistu ilman näitä oikeuksia. Nessusin takana olevan Tenable-yhtiön mukaan Windows 7:ssä on käytettävä järjestelmänvalvojan tiliä, ei vain Järjestelmänvalvojat-ryhmän tiliä. ISO testaa tätä parhaillaan ja etsii mahdollisia kiertoteitä.
  5. Porttien 139 (TCP) ja 445 (TCP) on oltava auki Nessus-skannerin ja skannattavan tietokoneen välillä. Tietoa siitä, mikä IP-lohko on avattava palomuurissa, löytyy täältä: Mikä on tietoturvan ja käytäntöjen suorittamien tietoturvaskannausten lähdeverkko?
  6. Varmista, ettei käytössä ole Windowsin tietoturvakäytäntöjä, jotka estävät pääsyn näihin palveluihin. Kaksi yleistä ongelmaa ovat SEP-konfiguraatiot, jotka estävät skannerit jopa sen jälkeen, kun skannerit on todennettu, ja verkkokäyttömalli, jossa verkkokäyttö on asetettu ”Vain vieras”-oikeuksiin (tämän muuttamista koskevia tietoja on jäljempänä).
  7. Vakiokäytössä olevien hallinnollisten jakojen (esim. IPC$, ADMIN$, C$) on oltava käytössä (AutoShareServer = 1). Koska nämä ovat oletusarvoisesti käytössä ja voivat aiheuttaa muita ongelmia, jos ne poistetaan käytöstä, tämä on harvoin ongelma.

Tarkistaaksesi, onko järjestelmässä ”Vain vieraat” -jako- ja suojausmalli, mene Ohjauspaneeliin, avaa ”Hallintatyökalut” ja sitten ”Paikallinen suojauskäytäntö”. Siirry tuossa ikkunassa kohtaan Local Policies –> Security Options –> Network access: Sharing and security model for local accounts. Joissakin Windows-asennuksissa tämä on oletusarvoisesti asetettu ”Vain vieras – paikalliset käyttäjät tunnistautuvat vieraana”. Jos tämä asetus on käytössäsi, sinun on muutettava se muotoon ”Classic – paikalliset käyttäjät tunnistautuvat omina niminään”.
Huomaa: Jotkin yllä olevista asetuksista voivat joissakin ympäristöissä itse asiassa heikentää järjestelmän turvallisuutta. Jos näin on, on suositeltavaa palauttaa järjestelmä aiempaan tilaan sen jälkeen, kun valtuutustarkistus on suoritettu.

Vastaa

Sähköpostiosoitettasi ei julkaista.