Skanowanie uwierzytelniające to skanowanie, w którym komputer skanujący posiada konto na skanowanym komputerze, które pozwala skanerowi na dokładniejsze sprawdzenie w poszukiwaniu problemów, które nie są widoczne z sieci. Przykłady rodzajów kontroli, które może wykonać skanowanie uwierzytelniające, obejmują sprawdzenie, czy w systemie są uruchomione niezabezpieczone wersje Adobe Acrobat lub Java lub czy istnieją słabe uprawnienia bezpieczeństwa regulujące usługi. Biuro Bezpieczeństwa Informacji (ISO) używa skanerów Nessus, które są w stanie uruchomić takie skanowanie uwierzytelniające, jednak bez kont na lokalnych maszynach nie jesteśmy w stanie skorzystać z tej funkcjonalności. Mając to na uwadze, ISO utworzy konta na jednym ze skanerów Nessus dla wydziałowych administratorów bezpieczeństwa, aby mogli oni przeprowadzać własne skanowanie uwierzytelniające. W celu użycia skanerów ISO do przeprowadzenia skanowania uwierzytelniającego systemu Windows, Nessus wymaga następujących ustawień:
- Usługa Windows Management Instrumentation (WMI) musi być włączona na obiekcie docelowym.
- Usługa rejestru zdalnego musi być włączona na obiekcie docelowym lub poświadczenia używane przez program Nessus muszą mieć uprawnienia niezbędne do uruchomienia usługi rejestru zdalnego i być odpowiednio skonfigurowane.
- Udostępnianie plików & drukarki musi być włączone w systemie, który ma być skanowany.
- Konto SMB musi być używane z uprawnieniami administratora lokalnego na obiekcie docelowym. Konto niebędące administratorem może wykonać pewne ograniczone skanowanie, jednak duża liczba kontroli nie zostanie uruchomiona bez tych uprawnień. Według Tenable, firmy stojącej za Nessusem, w Windows 7 konieczne jest użycie konta Administratora, a nie tylko konta w grupie Administratorów. ISO jest obecnie w trakcie testowania tego i szukania potencjalnych obejść.
- Porty 139 (TCP) i 445 (TCP) muszą być otwarte pomiędzy skanerem Nessus a komputerem, który ma być skanowany. Informacje na temat bloków IP, które należy otworzyć w zaporach sieciowych można znaleźć tutaj: Jaka jest sieć źródłowa dla skanowań bezpieczeństwa prowadzonych przez Bezpieczeństwo Informacji i Politykę?
- Upewnij się, że nie istnieją żadne zasady bezpieczeństwa systemu Windows, które blokują dostęp do tych usług. Dwa typowe problemy to konfiguracje SEP, które blokują dostęp do skanerów nawet po uwierzytelnieniu skanerów oraz model dostępu do sieci, który ustawia dostęp do sieci na uprawnienia „Tylko dla gości” (zobacz poniżej, aby uzyskać informacje na temat zmiany tego).
- Domyślne udziały administracyjne (tj. IPC$, ADMIN$, C$) muszą być włączone (AutoShareServer = 1). Ponieważ są one domyślnie włączone i mogą powodować inne problemy, jeśli są wyłączone, rzadko stanowi to problem.
Aby sprawdzić, czy system ma model udostępniania i zabezpieczeń „Tylko dla gości”, przejdź do Panelu sterowania, otwórz „Narzędzia administracyjne”, a następnie „Lokalne zasady bezpieczeństwa”. W tym oknie przejdź do zakładki Zasady lokalne –> Opcje zabezpieczeń –> Dostęp do sieci: Udostępnianie i model zabezpieczeń dla kont lokalnych. W niektórych instalacjach Windows jest to domyślnie ustawione na „Tylko gość – użytkownicy lokalni uwierzytelniają się jako goście”. Jeśli takie jest ustawienie na twoim komputerze, musisz je zmienić na „Classic – użytkownicy lokalni uwierzytelniają się sami”.
UWAGA: Niektóre z powyższych ustawień mogą, w niektórych środowiskach, faktycznie zmniejszyć bezpieczeństwo systemu. W takim przypadku, po przeprowadzeniu skanowania uwierzytelniającego, zaleca się przywrócenie systemu do poprzedniego stanu.
.