A hitelesített ellenőrzések olyan ellenőrzések, amelyek során a vizsgáló számítógépnek van egy fiókja a vizsgált számítógépen, amely lehetővé teszi a vizsgáló számára, hogy alaposabb ellenőrzést végezzen, és olyan problémákat keressen, amelyek a hálózatról nem láthatók. A hitelesített ellenőrzés például azt vizsgálja, hogy a rendszer az Adobe Acrobat vagy a Java nem biztonságos verzióját futtatja-e, vagy hogy egy szolgáltatást nem megfelelő biztonsági engedélyek irányítanak-e. Az Információbiztonsági Hivatal (ISO) olyan Nessus-ellenőrzőket futtat, amelyek képesek ilyen hitelesített vizsgálatok futtatására; azonban a helyi gépeken lévő fiókok nélkül nem tudjuk használni ezt a funkciót. Ezt szem előtt tartva az ISO fiókokat hoz létre az egyik Nessus szkenneren a részlegek biztonsági rendszergazdái számára, hogy saját hitelesített vizsgálatokat végezzenek. Ahhoz, hogy az ISO-olvasókkal hitelesített vizsgálatot végezzenek egy Windows-rendszeren, a Nessusnak a következő beállításokra van szüksége:
- A Windows Management Instrumentation (WMI) szolgáltatásnak engedélyezve kell lennie a célponton.
- A célponton engedélyezve kell lennie a Távoli beállításjegyzék szolgáltatásnak, vagy a Nessus által használt hitelesítő adatoknak rendelkezniük kell a távoli beállításjegyzék szolgáltatás indításához szükséges jogosultságokkal és megfelelő beállításokkal.
- Fájl & Nyomtatómegosztás engedélyezve kell lennie a vizsgálandó rendszeren.
- A célponton helyi rendszergazdai jogokkal rendelkező SMB fiókot kell használni. Nem rendszergazdai fiókkal is végezhető néhány korlátozott beolvasás, azonban az ellenőrzések nagy része nem fog lefutni ezen jogok nélkül. A Tenable, a Nessus mögött álló cég szerint Windows 7-ben a rendszergazdai fiókot kell használni, nem csak a Rendszergazdák csoportba tartozó fiókot. Az ISO jelenleg teszteli ezt, és keresi a lehetséges megoldásokat.
- A 139-es (TCP) és a 445-ös (TCP) portnak nyitva kell lennie a Nessus-szkenner és a vizsgálandó számítógép között. Arról, hogy milyen IP-blokkot kell megnyitni a tűzfalakban, itt talál információt: Mi a forráshálózat az Információbiztonság és szabályzat által végzett biztonsági vizsgálatokhoz?
- Győződjön meg róla, hogy nincsenek olyan Windows biztonsági házirendek, amelyek blokkolják a hozzáférést ezekhez a szolgáltatásokhoz. Két gyakori probléma a SEP-konfigurációk, amelyek blokkolják az átvilágítókat még az átvilágítók hitelesítését követően is, valamint egy olyan hálózati hozzáférési modell, amely a hálózati hozzáférést “csak vendég” engedélyekre állítja (ennek megváltoztatásáról lásd alább).
- Az alapértelmezett rendszergazdai megosztásokat (pl. IPC$, ADMIN$, C$) engedélyezni kell (AutoShareServer = 1). Mivel ezek alapértelmezés szerint engedélyezettek, és kikapcsolásuk más problémákat okozhat, ez ritkán jelent problémát.
Az ellenőrzéshez, hogy a rendszerben van-e “Csak vendég” megosztási és biztonsági modell, lépjen be a Vezérlőpultba, nyissa meg a “Felügyeleti eszközök”, majd a “Helyi biztonsági politika” menüpontot. Ebben az ablakban lépjen a Helyi házirendek –> Biztonsági beállítások –> Hálózati hozzáférés menüpontra: Helyi fiókok megosztási és biztonsági modellje. Egyes Windows telepítéseknél ez alapértelmezés szerint a “Csak vendég – a helyi felhasználók vendégként hitelesítenek” beállításra van állítva. Ha az Ön gépén ez a beállítás, akkor ezt “Klasszikus – a helyi felhasználók önmagukként hitelesítenek” beállításra kell módosítania.
FIGYELEM: A fenti beállítások némelyike egyes környezetekben valóban csökkentheti a rendszer biztonságát. Ha ez a helyzet, akkor a hitelesítő vizsgálat elvégzése után célszerű visszaállítani a rendszer korábbi állapotát.