認証されたスキャンとは、スキャン対象のコンピュータのアカウントを持つスキャンで、ネットワークから見えない問題を探すため、より徹底したチェックを行うことができるようにするものです。 認証されたスキャンでできるチェックの例としては、システムが安全でないバージョンのAdobe AcrobatやJavaを実行しているかどうか、サービスを管理するセキュリティ権限が不十分かどうかなどを確認することが挙げられます。 情報セキュリティオフィス(ISO)では、このような認証付きスキャンを実行できるNessusスキャナーを運用していますが、ローカルマシンにアカウントがないため、この機能を利用することができません。 このため、ISOでは、各部門のセキュリティ管理者が独自に認証済みスキャンを実行できるように、Nessusスキャナーの1つにアカウントを作成する予定です。 ISO スキャナーを使用して Windows システムの認証済みスキャンを実行するには、Nessus によって次の設定が必要です:
- ターゲットで Windows Management Instrumentation (WMI) サービスが有効になっている必要があります。
- リモートレジストリサービスがターゲット上で有効になっているか、Nessus が使用する資格情報がリモートレジストリサービスを開始するのに必要な権限を持ち、適切に設定されている必要があります。
- ファイル & プリンタの共有がスキャンするシステム上で有効になっている必要があります。
- ターゲット上でローカル管理者の権限を持つ SMB アカウントが使用されなければなりません。 非管理者アカウントは、いくつかの限定的なスキャンを行うことができますが、これらの権利なしでは、多数のチェックは実行されません。 Nessusを開発したTenable社によると、Windows 7では、Administratorsグループに属するアカウントだけでなく、Administratorアカウントを使用する必要があるとのことです。 ISOは現在、これをテストし、回避策の可能性を探しているところです。
- Nessusスキャナとスキャン対象のコンピュータの間でポート139(TCP)および445(TCP)が開かれている必要があります。 ファイアウォールでどのようなIPブロックを開くかについての情報は、こちらをご覧ください。 情報セキュリティとポリシーが実施するセキュリティスキャンのソースネットワークは何ですか?
- これらのサービスへのアクセスをブロックする Windows セキュリティ ポリシーが設定されていないことを確認します。 よくある問題は、スキャナーが認証された後でもスキャナーがブロックされる SEP 設定と、ネットワーク アクセスを「ゲストのみ」の権限に設定するネットワーク アクセス モデルです (この変更については以下を参照してください)。
- デフォルトの管理共有 (IPC$, ADMIN$, C$) は有効 (AutoShareServer = 1) にしておく必要があります。 これらはデフォルトで有効になっており、無効にすると他の問題を引き起こす可能性があるため、これはほとんど問題になりません。
システムが「ゲスト専用」の共有およびセキュリティ モデルを持っているかどうかを確認するには、コントロール パネルで「管理ツール」を開き、「ローカル セキュリティ ポリシー」を選択します。 そのウィンドウで、ローカルポリシー –> セキュリティオプション –> ネットワークアクセスに進みます。 ローカルアカウントの共有とセキュリティモデル Windowsのインストールによっては、この設定がデフォルトで「Guest only – local users authenticate as Guest」になっているものがあります。 もし、お使いのコンピュータでこの設定になっている場合は、「クラシック – ローカルユーザーは自分自身として認証する」に変更する必要があります。
注意: 上記の設定のいくつかは、環境によっては、システムのセキュリティを実際に低下させる可能性があります。 このような場合、一度認証されたスキャンが実行されると、システムを以前の状態に戻すことが推奨されます。