Credentialed scans är scanningar där skanningsdatorn har ett konto på den dator som ska skannas, vilket gör det möjligt för skannern att göra en noggrannare kontroll och leta efter problem som inte kan ses från nätverket. Exempel på den typ av kontroller som en autentiserad skanning kan utföra är kontroller för att se om systemet kör osäkra versioner av Adobe Acrobat eller Java eller om det finns bristfälliga säkerhetsbehörigheter för en tjänst. Information Security Office (ISO) använder Nessus-skannrar som kan köra dessa behörighetsbaserade skanningar, men utan konton på de lokala maskinerna kan vi inte använda denna funktion. Med detta i åtanke kommer ISO att skapa konton på en av Nessus-skannrarna för avdelningarnas säkerhetsadministratörer så att de kan göra sina egna behörighetsgranskningar. För att kunna använda ISO:s skannrar för att utföra en kontrollerad skanning av ett Windows-system krävs följande inställningar av Nessus:
- Tjänsten Windows Management Instrumentation (WMI) måste vara aktiverad på målet.
- Tjänsten för fjärrregistret måste vara aktiverad på målet eller så måste de autentiseringsuppgifter som används av Nessus ha de behörigheter som krävs för att starta tjänsten för fjärrregistret och vara konfigurerade på lämpligt sätt.
- Fildelning &Printerdelning måste vara aktiverad på det system som ska skannas.
- Det måste användas ett SMB-konto som har lokala administratörsrättigheter på målet. Ett konto som inte är administratör kan göra vissa begränsade skanningar, men ett stort antal kontroller kommer inte att köras utan dessa rättigheter. Enligt Tenable, företaget bakom Nessus, är det i Windows 7 nödvändigt att använda administratörskontot, inte bara ett konto i gruppen Administratörer. ISO håller för närvarande på att testa detta och letar efter möjliga lösningar.
- Port 139 (TCP) och 445 (TCP) måste vara öppna mellan Nessus skanner och den dator som ska skannas. Information om vilket IP-block som ska öppnas i brandväggarna finns här: Vad är källnätverket för säkerhetsskanning som utförs av Informationssäkerhet och policy?
- Säkerställ att det inte finns några Windows-säkerhetsprinciper som blockerar åtkomsten till dessa tjänster. Två vanliga problem är SEP-konfigurationer som blockerar skannrarna även efter att skannern har autentiserats och en nätverksåtkomstmodell som ställer in nätverksåtkomst på ”Endast gäst”-behörigheter (se nedan för information om hur du ändrar detta).
- De administrativa standarddelarna (dvs. IPC$, ADMIN$, C$) måste vara aktiverade (AutoShareServer = 1). Eftersom dessa är aktiverade som standard och kan orsaka andra problem om de inaktiveras är detta sällan ett problem.
För att kontrollera om ett system har en delnings- och säkerhetsmodell ”Endast för gäster” går du till Kontrollpanelen, öppnar ”Administrativa verktyg” och sedan ”Lokal säkerhetsprincip”. I det fönstret går du till Local Policies –> Security Options –> Network access: Delnings- och säkerhetsmodell för lokala konton. På vissa Windows-installationer är detta som standard inställt på ”Endast gäst – lokala användare autentiseras som gäst”. Om detta är inställningen på din box måste du ändra den till ”Classic – lokala användare autentiserar sig själva”.
VÄNLIGT OBS: Vissa av inställningarna ovan kan, i vissa miljöer, faktiskt minska säkerheten i ett system. Om så är fallet är det lämpligt att återställa systemet till det tidigare tillståndet när den autentiserade genomsökningen har utförts.