掃描模板

選擇掃描模板

您可能需要在不同時間出于不同目的掃描不同類型的資產。掃描模板是一組預定義的掃描屬性，您可以快速選擇這些屬性，而不用手動定義屬性，例如目標資產，服務和漏洞。有關掃描模板的列表以及何時使用它們的建議，請參閱掃描模板。Nexpose包括各種預配置的掃描模板，可幫助您根據給定需求的最佳實踐評估漏洞。

使用各種模板是個好主意，因為您可能希望從不同的角度看待資產。第一次掃描站點時，您可能只是進行發現掃描以發現網絡上正在運行的內容。然后，您可以使用“全面審核”模板運行漏洞掃描，其中包括廣泛而全面的檢查。如果您有即將投入生產的資產，那么最好使用拒絕服務模板對其進行掃描。將它們暴露給不安全的檢查是測試其穩定性而不影響您的業務環境中的工作流的好方法。您可能還想將不同的模板應用于不同類型的資產。例如，對Web服務器和Web應用程序的Web審核。

全局管理員還可以自定義掃描模板或創建新的掃描模板，以滿足組織的特定需求。通過創建所選資產的站點并應用最相關的掃描模板，您可以進行特定于您的需求的掃描。有關更多信息，請參見配置自定義掃描模板。請記住，掃描必須平衡三個關鍵的性能因素：時間，準確性和資源。例如，如果您自定義模板以通過添加線程來更快地進行掃描，則可能要付出一定的帶寬代價。

選擇掃描模板

如果要更改現有站點的掃描模板，請在“主頁”上的“站點”表中單擊該站點的“ 編輯”圖標。

如果要在創建新站點時選擇掃描模板，請單擊主頁上的創建站點按鈕。

注意：如果通過與VMware NSX集成創建了站點，則可以更改掃描模板，但不會影響掃描類型或掃描結果。請參閱將NSX網絡虛擬化與掃描集成。

選擇現有的掃描模板

1. 在“ 站點配置”中，轉到“ 模板”選項卡。
2. 從表中選擇一個現有的掃描模板。默認值為不使用Web Spider的完全審核。這是一個很好的初始掃描，因為它可以完全覆蓋您的資產和漏洞，但是運行速度要比包含Web爬網的速度快。
3. 保存您的更改。

創建一個新的掃描模板

1. 單擊要作為新模板基礎的列出模板旁邊的“ 復制”圖標，或單擊“ 創建掃描模板”以從頭開始。

將打開一個帶有“ 掃描模板配置”的新選項卡。

1. 根據需要更改模板。有關更多信息，請參見配置自定義掃描模板。
2. 點擊保存。
3. 返回帶有“ 掃描模板配置”的選項卡。
4. 單擊“ 掃描模板”表頂部的“ 刷新”圖標，使新模板出現。

1. 保存您的更改。

使用多個模板掃描

Nexpose會基于站點內的不同掃描模板保留所有漏洞結果。這樣，您就可以使用不同的模板對資產進行有針對性的掃描，而不會影響不屬于當前掃描配置的結果。

好處

安排站點掃描時，可以將不同的模板應用于特定的掃描窗口。例如，安排定期掃描在每月的補丁程序星期二之后的第二天運行，并配置一個模板來驗證最新的Microsoft補丁程序。然后計劃使用其他模板的掃描以在其他日期運行。

您可以檢查同一組資產是否存在不同的特定漏洞。如果報告了零日威脅，請自定義一個僅包含對該漏洞的檢查的模板。修復了零時差后，請使用您的網站常規使用的模板恢復掃描。

目標掃描的工作原理

在漏洞級別

對同一漏洞進行連續掃描時，即使以前使用其他模板對其進行了掃描，最新結果也會替換受影響站點的掃描歷史記錄中的先前結果。請看以下示例：

1. 您運行一次掃描以檢查零日漏洞。
2. 結果表明它存在于您的環境中。
3. 您修復了問題，然后再次運行掃描，這次結果是負面的。
4. 第二次掃描后，您的結果將不再在掃描歷史記錄中顯示零日漏洞。

在端口級別

如果交替掃描模板包括不同的目標端口，則結果取決于要掃描特定漏洞的端口，如以下示例所示：

您使用包含端口80的模板運行一次掃描以檢查自簽名證書。結果為肯定。您針對同一漏洞運行了另一個掃描，但是這次您使用的模板不包括端口80。無論第二次掃描的結果如何，您站點的掃描數據都將在端口80上包含自簽名證書的肯定結果。

掃描模板附錄

本附錄列出了Nexpose中可用的所有內置掃描模板。它提供了每個模板的描述以及何時使用它的建議。

模板目錄

• 獨聯體
• 迪沙
• 拒絕服務
• 發現掃描
• 發現掃描（積極）
• 詳盡的
• FDCC
• 全面審核
• 無需Web Spider即可進行全面審核
• 符合HIPAA
• 互聯網DMZ審核
• Linux RPM
• Microsoft修補程序
• PCI ASV外部審核
• PCI內部審核
• 滲透測試
• 安全網絡審核
• 符合薩班斯-奧克斯利法案（SOX）
• SCADA審核
• 美國地質勘探局
• 網絡審核

獨聯體

該模板包含策略管理器掃描功能，用于驗證是否符合Internet安全中心（CIS）基準。掃描運行應用程序層審核。策略檢查要求使用目標上的管理憑據進行身份驗證。不包括漏洞檢查。

迪沙

此掃描模板在受支持的以DISA為基準的系統上，通過應用程序層審核執行國防信息系統局（DISA）策略符合性測試。策略檢查要求使用目標上的管理憑據進行身份驗證。不包括漏洞檢查。僅掃描默認端口。

拒絕服務

對所有網絡資產的基本審核都使用安全和不安全（拒絕服務）檢查。此掃描不包括深入的修補程序/修補程序檢查，策略符合性檢查或應用程序層審核。您可以在預生產環境中運行拒絕服務掃描，以測試資產對拒絕服務條件的抵抗力。

發現掃描

該掃描可找到網絡上的活動資產，并標識其主機名和操作系統。該模板不包括枚舉，策略或漏洞掃描。

您可以運行發現掃描以編譯所有網絡資產的完整列表。之后，您可以將這些資產的子集作為密集型漏洞掃描的目標，例如使用窮舉掃描模板。

發現掃描（積極）

這種快速，粗略的掃描可在高速網絡上定位活動資產，并標識其主機名和操作系統。系統以很高的速率發送數據包，這可能會觸發IPS / IDS傳感器，SYN泛洪保護以及有狀態防火墻上的耗盡狀態。該模板不執行枚舉，策略或漏洞掃描。

該模板在范圍上與發現掃描相同，除了它使用更多線程并且因此要快得多。取舍在于，使用此模板運行的掃描可能不如使用“發現”掃描模板進行的徹底。

詳盡的

對所有系統和服務的全面網絡掃描僅使用安全檢查，包括補丁/修補程序檢查，策略合規性評估和應用程序層審核。取決于目標資產的數量，此掃描可能需要幾個小時甚至幾天才能完成。

使用此模板運行的掃描是徹底的，但速度很慢。使用此模板可以運行針對少量資產的密集掃描。

FDCC

該模板包含策略管理器掃描功能，用于驗證是否符合所有聯邦桌面核心配置（FDCC）策略。該掃描在所有Windows XP和Windows Vista系統上運行應用程序層審核。策略檢查要求使用目標上的管理憑據進行身份驗證。不包括漏洞檢查。僅掃描默認端口。

如果您為美國政府組織或為政府服務的供應商工作，請使用此模板來驗證Windows Vista和XP系統是否符合FDCC策略。

全面審核

所有系統的完整網絡審核僅使用安全檢查，包括基于網絡的漏洞，補丁/修補程序檢查和應用程序層審核。系統僅掃描默認端口并禁用策略檢查，這使掃描速度比“窮舉”掃描更快。另外，此模板也不檢查潛在的漏洞。

使用此模板可以運行徹底的漏洞掃描。

無需Web Spider即可進行全面審核

此完整的網絡審核僅使用安全檢查，包括基于網絡的漏洞，補丁/修補程序檢查和應用程序層審核。系統僅掃描默認端口并禁用策略檢查，這使掃描速度比“窮舉”掃描更快。它還不包括Web Spider，這使其比包含它的完整審核要快。另外，此模板也不檢查潛在的漏洞。

這是默認的掃描模板。使用它可以立即“開箱即用”運行快速漏洞掃描。

符合HIPAA

該模板在對HIPAA第164.312節（“技術保護措施”）的合規性審核中使用安全檢查。掃描將標記可能導致訪問控制不足，審核不足，完整性丟失，身份驗證不足或傳輸安全性（加密）不足的任何情況。

作為HIPAA合規性計劃的一部分，使用此模板可以在HIPAA監管的環境中掃描資產。

互聯網DMZ審核

此滲透測試涵蓋所有常見的Internet服務，例如Web，FTP，郵件（SMTP / POP / IMAP / Lotus Notes），DNS，數據庫，Telnet，SSH和VPN。該模板不包括深入的補丁程序/修補程序檢查和策略合規性審核。

使用此模板掃描DMZ中的資產。

Linux RPM

此掃描可驗證Linux系統上RPM修補程序的正確安裝。為了獲得最佳結果，請使用管理憑據。

使用此模板可以掃描運行Linux操作系統的資產。

Microsoft修補程序

此掃描驗證Microsoft Windows系統上修補程序和Service Pack的正確安裝。為了獲得最大的成功，請使用管理憑據。

使用此模板來驗證運行Windows的資產是否已安裝修補程序補丁。

PCI ASV外部審核

以前稱為支付卡行業（PCI）審核。

此支付卡行業（PCI）符合性審核僅使用安全檢查，包括基于網絡的漏洞，補丁/修補程序驗證和應用程序層測試。掃描所有TCP端口和眾所周知的UDP端口。不包括政策檢查。

認可掃描供應商（ASV）應該使用此模板來掃描資產，這是PCI合規性計劃的一部分。對于內部PCI發現掃描，請使用PCI內部審核模板。

PCI內部審核

該模板旨在根據支付卡行業（PCI）數據安全標準（DSS）要求發現漏洞。它包括所有基于網絡的漏洞和Web應用程序掃描。它特別排除了潛在的漏洞以及特定于外圍的漏洞。

該模板用于組織的內部掃描，以實現PCI合規性。

滲透測試

對所有系統的這種深入掃描僅使用安全檢查。主機發現和網絡滲透功能使系統可以動態檢測原本可能無法檢測到的資產。該模板不包括深入的補丁程序/修補程序檢查，策略符合性檢查或應用程序層審核。

使用此模板，您可能會發現超出初始掃描范圍的資產。另外，使用此模板進行掃描有助于進行正式的滲透測試程序。

安全網絡審核

對所有網絡資產的這種非侵入式掃描僅使用安全檢查。該模板不包括深入的補丁程序/修補程序檢查，策略符合性檢查或應用程序層審核。

該模板對于網絡的快速常規掃描很有用。

符合薩班斯-奧克斯利法案（SOX）

這是對所有系統的安全檢查Sarbanes-Oxley（SOX）審核。它根據第302節（“財務報告的企業責任”），第404節（“內部控制的管理評估”）和第409節（“實際”）的要求，檢測對數字數據完整性，數據訪問審核，問責制和可用性的威脅。時間發行人披露”）。

使用此模板可以將資產掃描為SOX合規性計劃的一部分。

SCADA審核

這是僅使用安全檢查對敏感的監督控制和數據采集（SCADA）系統進行的“禮貌”或不太積極的網絡審核。數據包塊延遲增加了；發送的數據包之間的時間增加了；協議握手已禁用；同時限制了對資產的同時網絡訪問。

使用此模板掃描SCADA系統。

美國地質勘探局

該模板包含策略管理器掃描功能，用于驗證是否符合所有美國政府配置基準（USGCB）策略。該掃描在所有Windows 7系統上運行應用程序層審核。策略檢查要求使用目標上的管理憑據進行身份驗證。不包括漏洞檢查。僅掃描默認端口。

如果您為美國政府組織或為政府服務的供應商工作，請使用此模板來驗證Windows 7系統是否符合USGCB策略。

網絡審核

對所有Web服務器和Web應用程序的審核是適用于公眾的內部資產，包括應用程序服務器，ASP和CGI腳本。該模板不包括補丁檢查或策略合規性審核。它也不會像DMZ審核掃描模板那樣掃描FTP服務器，郵件服務器或數據庫服務器。

使用此模板可以掃描面向公眾的Web資產。

經過身份驗證的發現掃描

掃描模板配置現在支持用于資產發現的身份驗證功能。在發現掃描模板上啟用此身份驗證功能，以改善目標資產上的操作系統，軟件和服務指紋。

小費

經過身份驗證的發現掃描發現的資產不計入您的許可證。

總覽

安全控制臺通過位于掃描模板配置中的“ 使用憑據”復選框來實現此經過身份驗證的發現功能。啟用后，此復選框將指示掃描引擎嘗試使用您在站點配置中包括并啟用的任何共享或本地憑據對目標資產進行身份驗證。

特征行為

在使用證書復選框有以下幾個特點。

默認狀態

默認情況下，“ 使用憑據”復選框處于禁用狀態。要啟用它，您必須創建內置掃描模板的副本。在大多數情況下，您將復制發現掃描模板。

檢查類型限制

盡管“ 使用憑據”復選框在技術上在所有掃描模板配置中都可用，但是您只能在僅使用“ 資產發現”檢查類型指定的模板上啟用它。如果存在其他任何啟用的檢查類型（漏洞，Web Spidering或策略），則“ 使用憑據”復選框將不可單擊。同樣，在啟用了“ 使用憑據”的情況下在掃描模板配置上檢查所有這些檢查類型將因此禁用“ 使用憑據”復選框。

如何為發現掃描啟用身份驗證

提醒

您必須在站點配置中配置并啟用憑據，此經過身份驗證的發現功能才能生效。

要在發現掃描模板中啟用身份驗證：

1. 在安全控制臺中，單擊左側導航菜單中的“ 管理”選項卡。
2. 在“掃描選項”部分中，單擊“模板”標簽旁邊的管理。
3. 在“掃描模板”表中，瀏覽到“ 發現掃描”模板條目，然后單擊“復制”列中的圖標。
4. 在“掃描模板配置”頁面的“ 常規”選項卡上，命名并描述掃描模板的新副本，以便以后識別。
5. 選中使用憑據框。出現確認窗口，說明功能的特征。單擊是確認。
6. 完成后，單擊屏幕右上角的保存。

已啟用身份驗證發現掃描！

現在，您應該具有正確配置的發現掃描模板，可用于經過身份驗證的發現掃描。在開始下一次發現掃描之前，請確保修改站點配置并選擇此新模板。

配置網絡爬蟲

Nexpose可以使蜘蛛網站發現其目錄結構，默認目錄，服務器上的文件和應用程序，斷開的鏈接，無法訪問的鏈接以及其他信息。

然后，應用程序將分析這些數據以尋找安全缺陷的證據，例如SQL注入，跨站點腳本（CSS / XSS），備份腳本文件，可讀的CGI腳本，不安全的密碼使用以及其他由軟件缺陷或配置錯誤引起的問題。

默認情況下，某些內置掃描模板使用Web Spider：

• 網絡審核
• 符合HIPAA
• 互聯網DMZ審核
• 支付卡行業（PCI）審核
• 全面審核

您可以在這些模板中調整設置。您也可以在自定義模板中配置Web Spidering設置。蜘蛛程序檢查每個網頁內的鏈接，以確定已掃描哪些頁面。在許多網站中，尚未掃描的頁面將在地址欄中顯示基本URL，后跟參數定向鏈接。

例如，在地址www.exampleinc.com/index.html?id=6中，？id = 6參數可能表示應傳遞給瀏覽器的內容。如果啟用了包括查詢字符串的設置，則Spider將針對已經檢索到的所有URL頁面檢查完整字符串www.exampleinc.com/index.html?id=6，以查看是否已對該頁面進行了分析。

如果未啟用該設置，則爬網程序將僅檢查基本URL，而不帶？id = 6參數。

為了獲得對網站進行掃描的訪問權限，該應用程序使自己在Web服務器應用程序中顯示為流行的Web瀏覽器。它通過向服務器發送網頁請求來實現此目的，就像瀏覽器一樣。該請求包括稱為標頭的信息。標頭之一稱為User-Agent，用于定義用戶瀏覽器的特征，例如其版本號及其支持的Web應用程序技術。用戶代理將網站的應用程序表示為特定的瀏覽器，因為某些網站將拒絕來自其不支持的瀏覽器的HTTP請求。默認的User-Agent字符串將目標網站的應用程序表示為Internet Explorer 7。

Web爬網的配置步驟和選項

配置常規的Web Spider設置：

1. 轉到“ 掃描模板配置”面板的“ Web Spidering”頁面。
2. 選中復選框以啟用Web爬網。

如果將查詢字符串與“ Web Spidering”一起使用，復選框將使Spider向Web服務器發出更多請求。這將增加總體掃描時間，并可能影響合法用戶的Web服務器性能。

1. 如果需要，選擇適當的復選框以在搜尋時包括查詢字符串。
2. 如果希望蜘蛛在一次掃描期間測試持久性跨站點腳本，請選中該選項的復選框。該測試有助于通過Web服務器上存儲的惡意代碼來降低危險攻擊的風險。啟用它可能會增加Web Spider掃描時間。

更改默認的用戶代理設置可能會更改應用程序從網站接收的內容。

1. 如果要更改瀏覽器ID（用戶代理）字段中的默認值，請輸入新值。如果不確定要為User-Agent字符串輸入什么，請咨詢您的網站開發人員。
2. 如果需要，請選擇該選項以檢查常用用戶名和密碼的使用。該應用程序將這些憑據的使用報告為漏洞。這是一種不安全的做法，因為攻擊者可以輕易猜出它們。啟用此設置后，應用程序將嘗試通過向發現的身份驗證表單提交通用用戶名和密碼來登錄Web應用程序。多次登錄嘗試可能會導致身份驗證服務使用這些憑據鎖定帳戶。

（可選）啟用Web Spider來檢查弱憑據的使用：

當Web蜘蛛在掃描期間發現登錄表單時，它可以確定這些表單中是否有任何一個接受常用的用戶名或密碼，這會使它們容易受到利用此做法的自動攻擊的攻擊。為了執行檢查，Web Spider會嘗試使用常用的憑據通過這些表單進行登錄。任何成功的嘗試均視為漏洞。

此檢查可能導致具有某些安全策略的身份驗證服務使用這些常用憑據鎖定帳戶。

1. 轉到Web Spidering配置頁面上的“ 弱證書檢查”區域，然后選中標有“ 檢查常用用戶名和密碼的使用”的復選框。

配置Web Spider性能設置：

1. 輸入要解析的外部主機的最大數量，或保留默認值100。此選項設置蜘蛛程序可以解析的唯一主機名的最大數量。由于涉及頻繁的交叉鏈接檢查，因此此功能增加了爬蟲過程的時間，尤其是對于大型網站而言。可接受的主機范圍是1到500。

2. 在“ Spider響應超時”字段中輸入以毫秒為單位的時間，以等待來自目標Web服務器的響應。您可以輸入1到3600000 ms（1小時）之間的值。默認值為120000 ms（2分鐘）。Web蜘蛛將根據“ 蜘蛛請求的最大重試次數”字段中指定的值重試請求。

3. 在標為“蜘蛛網的最大目錄級別”的字段中鍵入數字，以設置Web 蜘蛛網的目錄深度限制。限制目錄深度可以節省大量時間，尤其是對于大型站點。要無限遍歷目錄，請在字段中鍵入0。預設值為6。

如果您使用時間限制運行定期計劃掃描，則在時間限制結束時可能無法掃描目標站點的某些部分。隨后的掃描將不會在Web蜘蛛停止的位置繼續進行，因此有可能永遠不會對目標網站進行完整的掃描。

1. 在“ 最長搜尋時間（分鐘）”字段中鍵入一個數字，以設置用于掃描每個網站的最大分鐘數。時間限制可以防止掃描花費比分配的時間更長的時間進行掃描作業，尤其是對于大型目標網站。如果保留默認值0，則不應用任何時間限制。可接受的范圍是1到500。
2. 在“ 最大蜘蛛數”字段中輸入數字以限制蜘蛛請求的頁面數。對于大型站點，這是節省時間的措施。可接受的范圍是1到1,000,000頁。

如果同時設置了時間限制和頁面限制，則到達第一個限制時，Web Spider將停止掃描目標網站。

1. 在“ 蜘蛛請求的最大重試次數”字段中輸入失敗后重試請求的時間。輸入0到100之間的一個值。0表示不重試失敗的請求。默認值為2次重試。

配置與正則表達式相關的Web Spider設置：

1. 輸入敏感數據字段名稱的正則表達式，或保留默認字符串。該應用程序將報告為敏感的字段名稱報告為漏洞：表單操作以明文形式提交敏感數據。與正則表達式的任何匹配都將被視為敏感數據字段名稱。
2. 輸入敏感內容的正則表達式。該應用程序將報告為指定為敏感的漏洞字符串。如果將該字段保留為空白，則不會搜索敏感字符串。

配置與目錄路徑相關的Web Spider設置：

1. 選中該復選框以指示蜘蛛遵守robots.txt協議中規定的標準。 Robots.txt是一種約定，可防止Spider和其他Web機器人訪問本來可以公開查看的網站的全部或部分。

任何包含的引導程序路徑的掃描范圍受您在Web Spider配置中設置的時間和頁面限制的限制。如果掃描在掃描引導程序路徑之前達到了您指定的時間或頁數限制，則不會掃描這些路徑。

1. 如果要讓爬網程序包括那些URL，請在“ 引導程序路徑”字段中輸入未從主網站URL鏈接的應用程序的基本URL路徑。示例：/ myapp。用逗號分隔多個條目。如果將該字段留空，則搜尋器將在掃描中不包括引導程序路徑。
2. 在排除的路徑字段中輸入要排除的基本URL路徑。用逗號分隔多個條目。如果您指定排除的路徑，則應用程序不會嘗試搜尋這些URL或發現與它們關聯的任何漏洞或文件。如果將該字段保留為空白，則搜尋器不會從掃描中排除任何路徑。

根據需要配置任何其他掃描模板設置。完成掃描模板的配置后，點擊保存。

網絡爬蟲限制

如果您在掃描打印機時遇到打印機的異常行為，請在配置過程中取消選中“不要掃描打印機，多用途設備或打印服務器”。

微調網絡爬蟲

Web爬網程序對Web服務器進行爬網以確定網站的完整布局。這是一個徹底的過程，這對于保護網站非常有價值。大多數Web應用程序漏洞測試都依賴于Web Spidering。

Nexpose使用Spider數據評估自定義Web應用程序是否存在常見問題，例如SQL注入，跨站點腳本（CSS / XSS），備份腳本文件，可讀CGI腳本，密碼使用不安全以及由自定義軟件缺陷或其他原因導致的許多其他問題。錯誤的配置。

默認情況下，Web蜘蛛使用三個線程和每個請求延遲20毫秒來爬網站點。生成的流量取決于發現的鏈接站點內容的數量。如果您在多處理器系統上運行該應用程序，則將蜘蛛線程的數量增加到每個處理器三個。

假設目標資產每150毫秒平均可以提供一頁服務，那么對托管500頁的響應服務器而言，完整的Web Spider掃描將花費不到90秒的時間。對承載10,000頁的同一服務器進行掃描大約需要28分鐘。

當您配置用于Web爬網的掃描模板時，請輸入最大目錄數或深度，以及每個網站要爬網的最大頁數。這些值可能會限制Web爬網花費的時間。默認情況下，蜘蛛程序會忽略跨站點鏈接，并且僅停留在其掃描的端點上。

如果您的資產清單不包含網站，請確保關閉此功能。這可能非常耗時。