Le scansioni con credenziali sono scansioni in cui il computer di scansione ha un account sul computer da scansionare che permette allo scanner di fare un controllo più approfondito alla ricerca di problemi che non possono essere visti dalla rete. Esempi del tipo di controlli che una scansione con credenziali può fare includono controlli per vedere se il sistema sta eseguendo versioni insicure di Adobe Acrobat o Java o se ci sono autorizzazioni di sicurezza scadenti che governano un servizio. L’Information Security Office (ISO) esegue gli scanner Nessus che sono in grado di eseguire queste scansioni con credenziali; tuttavia, senza account sulle macchine locali, non siamo in grado di utilizzare questa funzionalità. Con questo in mente, ISO creerà degli account su uno degli scanner Nessus per gli amministratori di sicurezza dei dipartimenti per fare le loro scansioni con credenziali. Al fine di utilizzare gli scanner ISO per eseguire una scansione con credenziali di un sistema Windows, le seguenti impostazioni sono richieste da Nessus:
- Il servizio Windows Management Instrumentation (WMI) deve essere abilitato sul target.
- Il servizio Remote Registry deve essere abilitato sulla destinazione o le credenziali utilizzate da Nessus devono avere le autorizzazioni necessarie per avviare il servizio di registro remoto ed essere configurate in modo appropriato.
- File & Printer Sharing deve essere abilitato sul sistema da sottoporre a scansione.
- Deve essere utilizzato un account SMB che abbia diritti di amministratore locale sulla destinazione. Un account non amministratore può fare alcune scansioni limitate; tuttavia, un gran numero di controlli non verrà eseguito senza questi diritti. Secondo Tenable, la società dietro Nessus, in Windows 7 è necessario utilizzare l’account amministratore, non solo un account nel gruppo amministratori. ISO sta attualmente testando questo e cercando potenziali workaround.
- Le porte 139 (TCP) e 445 (TCP) devono essere aperte tra lo scanner Nessus e il computer da scansionare. Le informazioni su quale blocco IP aprire nei firewall possono essere trovate qui: Qual è la rete di origine per le scansioni di sicurezza condotte da Information Security and Policy?
- Assicuratevi che non ci siano politiche di sicurezza di Windows che bloccano l’accesso a questi servizi. Due problemi comuni sono le configurazioni SEP che bloccano gli scanner anche dopo che sono stati autenticati e un modello di accesso alla rete che imposta l’accesso alla rete su permessi “Guest only” (vedi sotto per informazioni su come cambiare questo).
- Le condivisioni amministrative predefinite (cioè IPC$, ADMIN$, C$) devono essere abilitate (AutoShareServer = 1). Poiché queste sono abilitate di default e possono causare altri problemi se disabilitate, questo è raramente un problema.
Per controllare se un sistema ha un modello di condivisione e sicurezza “Guest only” vai nel Pannello di controllo, apri “Strumenti di amministrazione” e poi “Criteri di sicurezza locali”. In quella finestra vai su Criteri locali –> Opzioni di sicurezza –> Accesso alla rete: Condivisione e modello di sicurezza per gli account locali. Su alcune installazioni di Windows, questo è impostato di default su “Solo ospiti – gli utenti locali si autenticano come ospiti”. Se questa è l’impostazione sulla tua macchina, dovrai cambiarla in “Classico – gli utenti locali si autenticano come se stessi”.
NOTA BENE: Alcune delle impostazioni di cui sopra possono, in alcuni ambienti, effettivamente diminuire la sicurezza di un sistema. Se questo è il caso, una volta eseguita la scansione con credenziali, è consigliabile riportare il sistema allo stato precedente.
.