Credentialed scans zijn scans waarbij de scannende computer een account heeft op de computer die gescand wordt, waardoor de scanner een grondigere controle kan uitvoeren op zoek naar problemen die niet zichtbaar zijn vanaf het netwerk. Voorbeelden van het soort controles dat een credentialed scan kan uitvoeren zijn controles om te zien of het systeem onveilige versies van Adobe Acrobat of Java draait of dat er slechte beveiligingstoestemmingen voor een service zijn. Information Security Office (ISO) gebruikt Nessus scanners die in staat zijn deze scans uit te voeren, maar zonder accounts op de lokale machines kunnen we deze functionaliteit niet gebruiken. Daarom zal ISO accounts aanmaken op een van de Nessus-scanners voor afdelingsbeveiligingsbeheerders om hun eigen scans met referenties uit te voeren. Om de ISO-scanners te kunnen gebruiken voor het uitvoeren van een credentialed scan van een Windows-systeem, zijn de volgende instellingen vereist door Nessus:
- De Windows Management Instrumentation (WMI) service moet zijn ingeschakeld op het doelwit.
- De Remote Registry-service moet zijn ingeschakeld op het doel of de door Nessus gebruikte referenties moeten de benodigde machtigingen hebben om de remote registry-service te starten en moeten op de juiste wijze zijn geconfigureerd.
- File & Printer Sharing moet zijn ingeschakeld op het te scannen systeem.
- Er moet een SMB-account worden gebruikt die lokale beheerdersrechten heeft op het doel. Een niet-beheerdersaccount kan beperkt scannen; een groot aantal controles zal echter niet worden uitgevoerd zonder deze rechten. Volgens Tenable, het bedrijf achter Nessus, is het in Windows 7 noodzakelijk om de Administrator-account te gebruiken, niet alleen een account in de Administrators-groep. ISO is momenteel bezig dit te testen en te zoeken naar mogelijke workarounds.
- Poorten 139 (TCP) en 445 (TCP) moeten open staan tussen de Nessus-scanner en de te scannen computer. Informatie over welk IP-blok in de firewalls moet worden geopend, is hier te vinden: Wat is het bronnetwerk voor beveiligingsscans uitgevoerd door Informatiebeveiliging en Beleid?
- Zorg ervoor dat er geen beveiligingsbeleid van Windows is dat de toegang tot deze services blokkeert. Twee veel voorkomende problemen zijn de SEP-configuraties die de scanners blokkeren, zelfs nadat de scanners zijn geauthenticeerd, en een netwerktoegangsmodel dat de netwerktoegang instelt op “Alleen gast”-machtigingen (zie hieronder voor informatie over het wijzigen hiervan).
- De standaard administratieve shares (d.w.z. IPC$, ADMIN$, C$) moeten zijn ingeschakeld (AutoShareServer = 1). Aangezien deze standaard zijn ingeschakeld en andere problemen kunnen veroorzaken als ze worden uitgeschakeld, is dit zelden een probleem.
Om te controleren of een systeem een “alleen voor gasten”-model voor delen en beveiliging heeft, gaat u naar het Configuratiescherm, opent u “Beheerprogramma’s” en vervolgens “Lokaal beveiligingsbeleid”. Ga in dat venster naar Lokaal beleid –> Beveiligingsopties –> Netwerktoegang: Delen en beveiligingsmodel voor lokale accounts. Op sommige Windows-installaties is dit standaard ingesteld op “Alleen gast – lokale gebruikers authenticeren als gast”. Als dit de instelling op uw computer is, moet u deze wijzigen in “Klassiek – lokale gebruikers authenticeren als zichzelf”.
Let op: Sommige van de bovenstaande instellingen kunnen in sommige omgevingen de beveiliging van een systeem juist verminderen. Als dit het geval is, is het raadzaam om na het uitvoeren van de credentialed scan het systeem weer in de oude staat terug te brengen.