As verificações credenciadas são verificações em que o computador de verificação tem uma conta no computador a ser verificado que permite ao verificador fazer uma verificação mais completa procurando problemas que não podem ser vistos a partir da rede. Exemplos dos tipos de verificações que uma verificação credenciada pode fazer incluem verificações para ver se o sistema está executando versões inseguras do Adobe Acrobat ou Java ou se há permissões de segurança ruins que governam um serviço. O Information Security Office (ISO) executa scanners Nessus que são capazes de executar essas verificações credenciadas; no entanto, sem contas nas máquinas locais, não podemos usar essa funcionalidade. Com isto em mente, o ISO irá criar contas num dos scanners Nessus para os administradores de segurança do departamento fazerem os seus próprios scans credenciados. Para utilizar os scanners ISO para realizar uma verificação credenciada de um sistema Windows, as seguintes configurações são requeridas pelo Nessus:
- O serviço Windows Management Instrumentation (WMI) deve estar habilitado no alvo.
- O serviço de registo remoto deve estar activado no alvo ou as credenciais utilizadas pela Nessus devem ter as permissões necessárias para iniciar o serviço de registo remoto e ser configurado apropriadamente.
- Arquivo &A partilha da impressora deve estar activada no sistema para ser digitalizada.
- Deve ser utilizada uma conta SMB que tenha direitos de administrador local no alvo. Uma conta não-administradora pode fazer algumas verificações limitadas; no entanto, um grande número de verificações não será executado sem esses direitos. De acordo com Tenable, a empresa por detrás do Nessus, no Windows 7 é necessário usar a conta de Administrador, e não apenas uma conta no grupo de Administradores. A ISO está actualmente em processo de teste e à procura de potenciais soluções.
- Ports 139 (TCP) e 445 (TCP) devem estar abertas entre o scanner Nessus e o computador a ser digitalizado. Informações sobre qual bloco IP abrir nas firewalls podem ser encontradas aqui: Qual é a rede de origem das varreduras de segurança conduzidas pela Política e Segurança da Informação?
- Certifique-se de que não existem políticas de segurança do Windows que bloqueiem o acesso a estes serviços. Dois problemas comuns são as configurações SEP que bloqueiam os scanners mesmo depois que os scanners são autenticados e um modelo de acesso à rede que define o acesso à rede como permissões “somente para convidados” (veja abaixo para informações sobre como alterar isso).
- As ações administrativas padrão (ou seja, IPC$, ADMIN$, C$) devem estar ativadas (AutoShareServer = 1). Como estes estão habilitados por padrão e podem causar outros problemas se desabilitados, isto raramente é um problema.
Para verificar se um sistema tem um modelo de compartilhamento e segurança “somente para convidados” vá para o Painel de Controle, abra “Ferramentas Administrativas” e depois “Política de Segurança Local”. Nessa janela vá para Políticas Locais –> Opções de Segurança –> Acesso à Rede: Compartilhamento e modelo de segurança para contas locais. Em algumas instalações Windows, isto é definido para “Somente convidados – usuários locais se autenticam como convidados” por padrão. Se esta é a configuração em sua caixa, você precisará alterá-la para “Clássico – usuários locais se autenticam como eles mesmos”.
PLEASE NOTE: Algumas das configurações acima podem, em alguns ambientes, diminuir a segurança de um sistema. Se este for o caso, uma vez realizada a verificação credenciada, é aconselhável devolver o sistema ao seu estado anterior.