Les scans crédités sont des scans dans lesquels l’ordinateur scanneur possède un compte sur l’ordinateur scanné qui lui permet d’effectuer un contrôle plus approfondi à la recherche de problèmes qui ne peuvent pas être vus depuis le réseau. Parmi les exemples de contrôles qu’un scanner accrédité peut effectuer, citons les vérifications visant à déterminer si le système exécute des versions non sécurisées d’Adobe Acrobat ou de Java ou si des autorisations de sécurité insuffisantes régissent un service. Le Bureau de la sécurité de l’information (ISO) utilise des scanners Nessus capables d’exécuter ces analyses accréditées ; cependant, sans comptes sur les machines locales, nous ne sommes pas en mesure d’utiliser cette fonctionnalité. Dans cette optique, l’ISO créera des comptes sur l’un des scanners Nessus pour les administrateurs de la sécurité des départements afin qu’ils puissent effectuer leurs propres analyses accréditées. Afin d’utiliser les scanners ISO pour effectuer une analyse d’accréditation d’un système Windows, les paramètres suivants sont requis par Nessus :
- Le service Windows Management Instrumentation (WMI) doit être activé sur la cible.
- Le service de registre à distance doit être activé sur la cible ou les informations d’identification utilisées par Nessus doivent avoir les autorisations nécessaires pour démarrer le service de registre à distance et être configurées de manière appropriée.
- Le partage de fichiers & d’imprimantes doit être activé sur le système à analyser.
- Un compte SMB doit être utilisé qui dispose de droits d’administrateur local sur la cible. Un compte non-administrateur peut effectuer un certain nombre d’analyses limitées ; cependant, un grand nombre de vérifications ne s’exécuteront pas sans ces droits. Selon Tenable, la société à l’origine de Nessus, sous Windows 7, il est nécessaire d’utiliser le compte Administrateur, et pas seulement un compte du groupe Administrateurs. L’ISO est actuellement en train de tester cela et de chercher des solutions de contournement potentielles.
- Les ports 139 (TCP) et 445 (TCP) doivent être ouverts entre le scanner Nessus et l’ordinateur à scanner. Des informations sur le bloc d’IP à ouvrir dans les pare-feu sont disponibles ici : Quel est le réseau source pour les scans de sécurité effectués par la sécurité de l’information et la politique ?
- Assurez-vous qu’aucune politique de sécurité Windows ne bloque l’accès à ces services. Les deux problèmes les plus courants sont les configurations SEP qui bloquent les scanners même après leur authentification et un modèle d’accès au réseau qui définit l’accès au réseau avec des autorisations » Invité uniquement » (voir ci-dessous pour des informations sur la modification de ces autorisations).
- Les partages administratifs par défaut (c’est-à-dire IPC$, ADMIN$, C$) doivent être activés (AutoShareServer = 1). Comme ils sont activés par défaut et peuvent causer d’autres problèmes s’ils sont désactivés, c’est rarement un problème.
Pour vérifier si un système a un modèle de partage et de sécurité « Invité seulement », allez dans le panneau de configuration, ouvrez « Outils d’administration », puis « Politique de sécurité locale ». Dans cette fenêtre, allez dans Politiques locales –> Options de sécurité –> Accès au réseau : Modèle de partage et de sécurité pour les comptes locaux. Sur certaines installations Windows, ce paramètre est défini par défaut sur « Invité uniquement – les utilisateurs locaux s’authentifient en tant qu’invités ». Si c’est le paramètre de votre installation, vous devrez le changer en « Classique – les utilisateurs locaux s’authentifient en tant qu’eux-mêmes ».
NOTEZ BIEN : Certains des paramètres ci-dessus peuvent, dans certains environnements, réellement diminuer la sécurité d’un système. Si c’est le cas, une fois le scan crédité effectué, il est conseillé de remettre le système dans son état précédent.
.