Scanările cu acreditare sunt scanări în care computerul de scanare are un cont pe computerul scanat, ceea ce permite scanerului să facă o verificare mai amănunțită, căutând probleme care nu pot fi văzute din rețea. Exemple de tipuri de verificări pe care le poate face o scanare cu acreditare includ verificări pentru a vedea dacă sistemul rulează versiuni nesigure de Adobe Acrobat sau Java sau dacă există permisiuni de securitate slabe care guvernează un serviciu. Information Security Office (ISO) utilizează scanere Nessus care sunt capabile să efectueze aceste scanări cu acreditare; cu toate acestea, fără conturi pe mașinile locale, nu putem utiliza această funcționalitate. Având în vedere acest lucru, ISO va crea conturi pe unul dintre scanerele Nessus pentru ca administratorii de securitate ai departamentelor să poată efectua propriile scanări cu acreditare. Pentru a utiliza scanerele ISO pentru a efectua o scanare cu acreditare a unui sistem Windows, Nessus are nevoie de următoarele setări:
- Serviciul Windows Management Instrumentation (WMI) trebuie să fie activat pe țintă.
- Serviciul Remote Registry trebuie să fie activat pe țintă sau acreditările utilizate de Nessus trebuie să aibă permisiunile necesare pentru a porni serviciul Remote Registry și să fie configurate în mod corespunzător.
- File & Printer Sharing trebuie să fie activat pe sistemul care urmează să fie scanat.
- Un cont SMB trebuie să fie utilizat care are drepturi de administrator local pe țintă. Un cont neadministrator poate efectua unele scanări limitate; cu toate acestea, un număr mare de verificări nu se vor executa fără aceste drepturi. Potrivit Tenable, compania din spatele Nessus, în Windows 7 este necesar să se utilizeze contul de administrator, nu doar un cont din grupul Administrators. ISO este în prezent în proces de testare a acestui aspect și caută potențiale soluții de rezolvare.
- Portele 139 (TCP) și 445 (TCP) trebuie să fie deschise între scanerul Nessus și computerul care urmează să fie scanat. Informații despre ce bloc IP trebuie deschis în firewall-uri pot fi găsite aici: Care este rețeaua sursă pentru scanările de securitate efectuate de Information Security and Policy?
- Asigurați-vă că nu există politici de securitate Windows care să blocheze accesul la aceste servicii. Două probleme comune sunt configurațiile SEP care blochează scanerele chiar și după ce acestea sunt autentificate și un model de acces la rețea care stabilește accesul la rețea cu permisiuni „Doar pentru invitați” (a se vedea mai jos pentru informații privind modificarea acestui lucru).
- Părțile administrative implicite (adică IPC$, ADMIN$, C$) trebuie să fie activate (AutoShareServer = 1). Deoarece acestea sunt activate în mod implicit și pot cauza alte probleme dacă sunt dezactivate, aceasta este rareori o problemă.
Pentru a verifica dacă un sistem are un model de partajare și securitate „Doar pentru oaspeți” mergeți la Control Panel, deschideți „Administrative Tools” și apoi „Local Security Policy”. În acea fereastră mergeți la „Local Policies –> Security Options –> Network access” (Politici locale –> Opțiuni de securitate –> Acces la rețea): Model de partajare și securitate pentru conturile locale. Pe unele instalații Windows, aceasta este setată în mod implicit la „Doar pentru oaspeți – utilizatorii locali se autentifică ca oaspeți”. Dacă aceasta este setarea de pe boxa dumneavoastră, va trebui să o schimbați în „Classic – utilizatorii locali se autentifică ca ei înșiși”.
Atenție: Unele dintre setările de mai sus pot, în unele medii, să diminueze de fapt securitatea unui sistem. În acest caz, după efectuarea scanării cu acreditare, este recomandabil să readuceți sistemul la starea sa anterioară.
.