掃描憑證

配置掃描憑證

使用憑據進行掃描可以使您收集有關您無法訪問的網絡和資產的信息。您可以檢查資產是否存在更大范圍的漏洞或違反安全策略的情況。此外，經過身份驗證的掃描可以檢查軟件應用程序和程序包并驗證補丁。當您使用憑據掃描站點時，該站點中的目標資產將像授權用戶一樣對掃描引擎進行身份驗證。

本節中的主題介紹了如何設置和測試站點的憑據以及共享的掃描憑據，您可以在多個站點中使用它們。某些身份驗證選項（例如SSH公鑰和LM / NTLM哈希）需要其他步驟，相關主題中對此進行了介紹。您還可以學習最佳實踐，以充分利用憑據，例如使用提升的權限擴展身份驗證。

共享憑證與站點特定憑證

可以在應用程序中創建兩種類型的掃描憑據，具體取決于創建它們的用戶的角色或權限：

• 共享憑據可以在多個站點中使用
• 特定于站點的憑據只能在為其配置了憑據的站點中使用

用戶對每種類型可以執行的操作范圍取決于用戶的角色或權限，如下表所示：

憑證和專家系統

該應用程序使用專家系統作為其掃描技術的核心，以便將多個動作鏈接在一起，以在掃描時獲得最佳結果。例如，如果應用程序能夠使用默認配置來獲取對資產的本地訪問權限，則它將使用該訪問權限觸發其他操作。漏洞管理和專家系統博客概述了此方法的好處，可以在以下位置找到：漏洞管理和專家系統。專家系統的作用是，您可能會看到掃描結果超出了您提供的憑據直接預期的結果；例如，如果某些掃描目標無法使用指定的憑據訪問，但可以使用默認密碼訪問，則您還將看到這些檢查的結果。此行為類似于黑客的方法，并且能夠查找其他掃描程序可能沒有的漏洞。

使用憑證最大化安全性

該應用程序提供了一些功能，可防止未經授權使用您的憑據。它使用加密安全地存儲和傳輸憑據。全局管理員可以分配權限，僅向應該具有該訪問級別的用戶添加和編輯憑據。有關更多信息，請參閱管理用戶和身份驗證。創建密碼時，請確保使用標準的最佳做法，例如長而復雜的字符串，包括大小寫字母，數字和特殊字符的組合。

Windows上的安全性最佳做法

如果計劃對Windows資產運行經過身份驗證的掃描，請記住一些與自動Windows身份驗證有關的安全策略。受損或不受信任的資產可用于從試圖使用憑據登錄到它們的系統中竊取信息。這種攻擊方法會威脅使用自動身份驗證的任何網絡組件，例如備份服務或漏洞評估產品。

您可以采取許多對策來幫助防止此類攻擊或減輕其影響。例如，確保Nexpose的Windows密碼包含32個或更多隨機生成的字符。并定期更改這些密碼。

配置特定于站點的掃描憑據

在本主題中，您將學習如何為站點設置和測試憑據，如何將它們限制為特定資產或端口，以及如何編輯和啟用以前創建的憑據。

在站點中配置掃描憑據時，您有兩個選擇：

• 創建一組新的憑據。在站點內創建的憑據稱為站點特定的憑據，不能在其他站點中使用。
• 啟用要在站點中使用的一組先前創建的憑據。如果先前已經在您的站點中創建了特定于站點的憑據，或者如果先前已經創建了共享憑據，然后將其分配給您的站點，則可以使用此選項。

要了解憑證類型，請查看管理共享掃描憑證。

開始配置一組新的特定于站點的憑據

創建新的特定于站點的掃描憑據的第一步是命名和描述它們。考慮一下名稱和描述，這些名稱和描述將幫助您一目了然地識別憑證將用于哪些資產。這將很有幫助，尤其是在您必須管理多組憑據的情況下。

如果要在配置新站點時添加憑據，請單擊主頁上的創建站點按鈕。或單擊頁面頂部的“ 創建”選項卡，然后從下拉列表中選擇“ 站點 ”。

如果要為現有站點添加憑據，請在主頁上的“ 站點”表中單擊該站點的“ 編輯”圖標。

如果您是通過與VMware NSX集成創建站點的，則無法編輯掃描憑據，這是不必要的，因為集成為Nexpose提供了訪問憑據的訪問深度，而這些憑據原本可以提供。請參閱將NSX網絡虛擬化與掃描集成。

1. 單擊站點配置中的“ 身份驗證”選項卡。
2. 單擊添加憑據。
3. 在“ 添加憑據”表單中，輸入新憑據集的名稱和描述。
4. 繼續配置帳戶，如下一節所述。

配置用于身份驗證的帳戶

如果您不知道選擇哪種身份驗證服務或該服務使用的憑據，請咨詢網絡管理員。

注意：在將所有憑據存儲在數據庫中之前，將使用RSA加密和三重DES加密對所有憑據進行保護。

1. 單擊“ 添加憑據”選項卡下的“ 帳戶 ” 。
2. 從下拉列表中選擇身份驗證服務或方法。
3. 在適當的文本字段中輸入所有請求的信息。

1. 如果要測試憑據或限制憑據，請參閱以下兩個部分。否則，單擊創建。

新創建的憑證將顯示在“ 掃描憑證”表中，您可以通過單擊“ 管理身份驗證”來查看該表。

測試憑證

您可以驗證站點中的目標資產是否將使用您輸入的憑據對掃描引擎進行身份驗證。這是一種在運行掃描之前確保憑據正確的快速方法。

1. 在“ 添加憑據”表單中，通過單擊箭頭來展開“ 測試憑據”部分。
2. 展開“ 測試憑據”部分。
3. 輸入身份驗證資產的名稱或IP地址。

注意：如果不輸入端口號，安全控制臺將使用該服務的默認端口。例如，CIFS的默認端口是445。

1. 要在單個端口上測試身份驗證，請輸入端口號。
2. 點擊測試憑據。

注意：如果您正在測試安全外殼（SSH）或安全外殼（SSH）公鑰憑據，并且您已分配提升的權限，則將測試這兩個憑據。首先測試目標上身份驗證的憑據，如果憑據失敗，則會顯示一條消息。權限提升失敗將在單獨的消息中報告。請參閱使用SSH公鑰身份驗證。

1. 記錄測試結果。如果不成功，請檢查并根據需要更改條目，然后再次進行測試。安全控制臺和掃描日志包含有關使用這些憑據進行測試或掃描時身份驗證失敗的信息。請參閱使用日志文件。

1. 如果要將憑據限制為特定資產或端口，請參閱以下部分。否則，單擊創建。

將憑證限制為單個資產和端口

如果特定的一組憑據僅用于特定的資產和/或端口，則可以相應地限制對憑據的使用。這樣做可以防止由于對無法識別憑據的資產進行身份驗證嘗試而導致掃描不必要地運行了更長的時間。

如果將憑據限制為特定資產和/或端口，則它們將不會在其他資產或端口上使用。

指定端口可以在某些情況下限制掃描端口的范圍。例如，您可能想使用HTTP憑據掃描Web應用程序。為避免掃描站點內的所有Web服務，您只能指定具有特定端口的那些資產。

1. 單擊“ 添加憑據”選項卡下的“ 帳戶 ” 。
2. 僅輸入要將憑據限制到的資產的主機名或IP地址。或輸入資產的主機名或IP地址以及要將憑據限制到的端口號。

如果不輸入端口號，安全控制臺將使用該服務的默認端口。例如，CIFS的默認端口是445。

1. 完成憑據集的配置后，點擊創建。

要驗證對特定資產的成功掃描認證，請在掃描日志中搜索該資產。如果消息“ 一組[service_type]管理憑據已被驗證。與資產一起出現，驗證成功。

啟用一組先前創建的憑據以在站點中使用

如果未為站點啟用一組憑據，則掃描將不會嘗試使用這些憑據對目標資產進行身份驗證。如果要使用憑據，請確保啟用它們。

1. 要為現有站點啟用憑據，請在主頁上的“ 站點”表中單擊該站點的“ 編輯”圖標。
2. 單擊“ 站點”配置中的“ 身份驗證”鏈接。該掃描憑證表列出的網站或已分配給該網站的任何共享的憑證創建的任何站點特定的憑證。有關更多信息，請參閱共享憑據與站點特定憑據。
3. 選擇要使用的任何一組憑據的“ 啟用”復選框。單擊“ 保存”按鈕以進行站點配置。

編輯先前創建的一組站點憑據

您無法在“ 站點配置”面板中編輯共享掃描憑據。要編輯共享憑據，請轉到“ 管理”頁面，然后選擇“ 共享”掃描憑據的管理鏈接。請參閱編輯先前創建的共享憑據。您必須是全局管理員或具有“管理站點”權限才能編輯共享掃描憑據。

編輯憑據的功能非常有用，尤其是在密碼經常更改的情況下。您只能在“ 站點配置”面板中編輯特定于站點的憑據。

1. 要為現有站點啟用憑據，請在主頁上的“ 站點”表中單擊該站點的“ 編輯”圖標。
2. 單擊“ 站點”配置中的“ 身份驗證”選項卡。
3. 單擊您要編輯的任何一組憑據的超鏈接名稱。
4. 根據需要更改配置。有關更多信息，請參見以下主題：

• 開始配置一組新的特定于站點的憑據
• 配置用于身份驗證的帳戶
• 測試憑證
• 將憑據限制為單個資產和端口 5.完成憑據的編輯后，點擊保存。

驗證掃描憑證身份驗證

1. 掃描完成后，在“ 掃描概述”頁面上，查看“ 已完成資產”表。
2. 找到您已添加憑據的資產。
3. 查看已定位資產的“ 身份驗證”列。
4. 有關了解憑據身份驗證狀態的更多信息，請參閱下一節。
5. 有關更多詳細信息，請單擊狀態。安全控制臺將帶您進入節點頁面。
6. 在資產詳細信息中，找到憑據，然后單擊列出的詳細信息。
7. 安全控制臺會將您帶到“ 服務”表。
8. 在“ 身份驗證”列下，安全控制臺將顯示哪個憑據成功或失敗。

了解憑證身份驗證狀態

在“ 身份驗證”列中，安全控制臺將顯示以下注釋之一，以確定憑據身份驗證的狀態：

• 未知：憑據未返回狀態，或者您正在運行發現掃描。
• 部分憑證成功：使用了許多不同類型的憑證，其中一項或多項服務正確，而一項或多項不正確。
• 憑據成功：為資產范圍提供了正確的憑據。
• 憑據失敗：為資產范圍提供了錯誤的憑據。
• 沒有使用憑據：沒有為資產范圍提供憑據。

管理共享掃描憑據

您可以創建和管理可在多個站點中使用的掃描憑據。如果您需要對多個需要相同憑據的站點中的大量資產執行經過身份驗證的掃描，則使用共享憑據可以節省時間。如果這些憑據經常更改，也很有幫助。例如，您組織的安全策略可能要求一組憑據每90天更改一次。您可以每90天在一個地方編輯該設置，并將更改應用到使用這些憑據的每個站點。這樣就無需每90天更改每個站點中的憑據。

要配置共享憑據，您必須具有全局管理員角色或具有“管理站點”權限的自定義角色。

要了解共享憑證和特定于站點的憑證之間的區別，請查看共享憑證與特定于站點的憑證。

創建一組共享掃描憑據

創建一組共享掃描憑據包括以下操作：

1. 命名和描述新的共享憑據集
2. 配置用于身份驗證的帳戶
3. 將憑據限制為單個資產和端口
4. 向站點分配共享憑據

創建一組共享掃描憑據后，可以執行以下操作來管理它們：

• 查看共享憑證
• 編輯以前創建的共享憑據
• 驗證掃描憑證身份驗證
• 了解憑據身份驗證掃描

命名和描述新的共享憑據集

考慮一下名稱和描述，這些名稱和描述將幫助網站所有者一眼就能識別出憑證將用于哪些資產。

1. 單擊管理選項卡。
2. 在“管理”頁面上，單擊“ 共享掃描憑據”的創建鏈接。安全控制臺將顯示“ 共享掃描憑據配置”面板的“ 常規”頁面。
3. 輸入新憑據集的名稱。
4. 輸入新憑據集的描述。
5. 繼續配置帳戶，如下一節所述。

配置用于身份驗證的帳戶

配置帳戶涉及選擇身份驗證方法或服務，并提供身份驗證所需的所有設置，例如用戶名和密碼。

如果您不知道選擇哪種身份驗證服務或該服務使用的憑據，請咨詢網絡管理員。

1. 轉到“ 共享掃描憑據配置”面板的“ 帳戶”頁面。
2. 從下拉列表中選擇身份驗證服務或方法。
3. 在適當的文本字段中輸入所有請求的信息。
4. 如果要測試憑據或限制憑據，請參閱以下兩個部分。否則，請點擊保存。

測試共享掃描憑據

您可以驗證目標資產將使用您輸入的憑據對掃描引擎進行身份驗證。這是一種在運行掃描之前確保憑據正確的快速方法。

對于共享掃描憑據，對單個資產的成功身份驗證測試不能保證在使用憑據的所有站點上成功進行身份驗證。

1. 轉到“ 憑據配置”面板的“ 帳戶”頁面。
2. 展開“ 測試憑據”部分。
3. 選擇將用來執行測試的掃描引擎。
4. 輸入身份驗證資產的名稱或IP地址。
5. 要在單個端口上測試身份驗證，請輸入端口號。
6. 點擊測試憑據。

記錄測試結果。如果不成功，請檢查并根據需要更改條目，然后再次進行測試。

1. 看到成功的測試結果后，根據需要配置其他任何設置。
2. 如果要將憑據限制為特定資產或端口，請參閱以下部分。否則，請點擊保存。

將憑據限制為單個資產和端口

如果特定的一組憑據僅用于特定的資產和/或端口，則可以相應地限制對憑據的使用。這樣做可以防止由于對無法識別憑據的資產進行身份驗證嘗試而導致掃描不必要地運行了更長的時間。

如果將憑據限制為特定資產和/或端口，則它們將不會在其他資產或端口上使用。

指定端口可以在某些情況下限制掃描端口的范圍。例如，您可能想使用HTTP憑據掃描Web應用程序。為避免掃描站點內的所有Web服務，您只能指定具有特定端口的那些資產。

1. 轉到“ 共享掃描憑據配置”面板的“ 限制”頁面。
2. 輸入要將憑據限制到的資產的主機名或IP地址。或輸入資產的主機名或IP地址以及要將憑據限制到的端口號。
3. 完成憑據集的配置后，點擊保存。

向站點分配共享憑據

您可以將一組共享憑據分配給一個或多個站點。這樣做會使它們顯示在這些站點配置的可用憑據列表中。網站所有者仍然必須在網站配置中啟用憑據。請參閱配置掃描憑據。

要將共享憑據分配給站點，請執行以下步驟：

1. 轉到“ 共享掃描憑據配置”面板的“ 站點分配”頁面。
2. 選擇以下分配選項之一：

• 將憑據分配給所有當前和將來的站點
• 創建可以使用這些憑據的網站的自定義列表

如果選擇后一個選項，安全控制臺將顯示一個用于選擇站點的按鈕。

1. 單擊選擇站點。安全控制臺顯示站點表。
2. 選中每個所需站點的復選框，或選中所有站點頂行的復選框。然后單擊添加站點。所選的站點將顯示在“ 站點分配”頁面上。
3. 根據需要配置其他設置。完成憑據集的配置后，點擊保存。

查看共享憑證

1. 單擊管理圖標。安全控制臺顯示“ 管理”頁面。
2. 單擊“ 共享掃描憑據”的管理鏈接。安全控制臺顯示一個帶有表格的頁面，該表格列出了每組共享憑據和相關的配置信息。

編輯以前創建的共享憑據

編輯憑據的功能非常有用，尤其是在密碼經常更改的情況下。

1. 單擊管理圖標。安全控制臺顯示“ 管理”頁面。
2. 單擊“ 共享掃描憑據”的管理鏈接。安全控制臺顯示一個帶有表格的頁面，該表格列出了每組共享憑據和相關的配置信息。
3. 單擊要更改的憑據的名稱，或單擊該憑據集的“ 編輯 ”。
4. 根據需要更改配置。有關更多信息，請參見以下主題：

• 命名和描述新的共享憑據集
• 配置用于身份驗證的帳戶
• 測試共享掃描憑據
• 將憑據限制為單個資產和端口
• 向站點分配共享憑據

驗證掃描憑證身份驗證

1. 掃描完成后，在“ 掃描概述”頁面上，查看“ 已完成資產”表。
2. 找到您已添加憑據的資產。
3. 查看已定位資產的“ 身份驗證”列。
4. 有關了解憑據身份驗證狀態的更多信息，請參閱下一節。
5. 有關更多詳細信息，請單擊狀態。

安全控制臺將帶您進入節點頁面。

1. 在資產詳細信息中，找到憑據，然后單擊列出的詳細信息。
2. 安全控制臺會將您帶到“ 服務”表。
3. 在“ 身份驗證”列下，安全控制臺將顯示哪個憑據成功或失敗。

了解憑證身份驗證狀態

在“ 身份驗證”列中，安全控制臺將顯示以下注釋之一，以確定憑據身份驗證的狀態：

• 未知：不會返回成功狀態或運行發現掃描的憑據。
• 部分憑證成功：使用了許多不同類型的憑證，其中一項或多項服務正確，而一項或多項不正確。
• 憑據成功：為資產范圍提供了正確的憑據。
• 憑據失敗：為資產范圍提供了錯誤的憑據。
• 沒有使用憑據：沒有為資產范圍提供憑據。

創建和管理CyberArk憑證

憑據掃描允許您訪問網絡上的資產以收集您可能無法訪問的信息，從而使您可以更深入地了解環境。利用CyberArk集成，您可以利用CyberArk Vault技術輕松地運行憑據掃描并為多個站點動態分配用于身份驗證的憑據。它使您可以全局管理特權帳戶，而不必直接通過安全控制臺提供它們。

使用CyberArk作為身份驗證源配置憑據掃描幾乎與配置任何其他類型的憑據掃描相同。像其他憑據掃描一樣，您可以設置共享掃描憑據以在多個站點中使用或只能由特定站點使用的憑據。掃描運行時，將向CyberArk請求訪問目標資產所需的憑據，然后CyberArk將提供請求的憑據，以便掃描可以對這些資產進行身份驗證和評估。

TIP
在此CyberArk憑證查找功能的上下文中，前面描述的“目標資產”是您使用以下方法在站點配置中指定的資產：

• 通過IP地址
• 通過IP地址范圍
• 按主機名
• 按資產組

以下各節將幫助您了解如何將CyberArk設置為憑據掃描的身份驗證源。

支援服務

CyberArk是以下服務的受支持身份驗證源：

• Microsoft Windows / Samba（SMB / CIFS）
• 安全外殼（SSH）
• 安全外殼（SSH）公鑰
• IBM AS / 400

當您添加任何這些憑據類型時，CyberArk將可以配置為憑據管理源。

如果為憑據管理選擇了CyberArk，則可以對共享憑據和站點級別憑據使用SSH，SSH公鑰的特權提升。

您可以使用“測試憑據”功能來測試升級的憑據。

在您可以將CyberArk添加為身份驗證源之前

在將CyberArk添加為身份驗證源之前，您需要：

• 向CyberArk注冊安全控制臺 -任何需要密碼的計算機都必須在Cyber??Ark保管庫中定義為應用程序。注冊您的安全控制臺后，提供商可以將AppID分配給控制臺并為其獲取密碼。
• 安裝CyberArk應用程序身份管理器 -應用程序身份管理器或AIM必須與Nexpose實例安裝在同一臺計算機上。
• 在CyberArk中定義“用戶DN”字段 -確保為要用于掃描的帳戶填寫Cyber??Ark中的“用戶DN”字段。

對于任何這些先決條件的幫助，請訪問CyberArk文檔或聯系其支持團隊。

了解CyberArk Vault選項

將CyberArk添加為憑據掃描的身份驗證源是一個簡單的過程。您可以設置Cyber??Ark以提供共享的掃描憑據，以在多個站點或特定于站點的憑據中使用。無論您創建的憑證的范圍如何，可用于創建它們的選項都是相同的。

下表提供了所有CyberArk Vault選項的說明：

在CyberArk保管庫中查找憑證

查找使您可以基于一組條件來匹配憑據。您可以執行兩種類型的查找：

• 靜態綁定 -使用查找屬性從保管庫獲取單個憑證。
• 動態綁定 -使用查找屬性獲取每個資產的憑據。當您不知道資產所需的憑據并且想指定條件以查找掃描期間所需的憑據時，此功能很有用。

如果要動態添加憑據，則應將其限制為不包含許多非CyberArk憑據的站點。否則，將在站點中的每個目標上執行CyberArk查找，這將導致大量失敗的查找。為防止這種情況發生，您可以創建可以使用CyberArk憑據的網站的自定義列表。在“共享掃描憑據配置”頁面上，轉到“ 站點分配”選項卡，然后選擇“ 創建可以使用這些憑據的站點的自定義列表”選項。

連同查找類型一起，您可以使用查找屬性來指定用于標識可在掃描期間用于資產的憑據的條件。您可以使用以下屬性查詢CyberArk Vault：

• 地址 -資產的IP地址或完全限定域名。
• 對象名稱 -存儲憑據的對象的名稱。
• 用戶名-將要檢索的帳戶的用戶名。
• 策略ID-分配給將要檢索的憑據的策略ID。
• 自定義屬性 -自定義屬性使您可以從CyberArk密碼對象添加密鑰和值。Nexpose中可用的查找屬性涵蓋了最常見的請求參數。但是，如果要從CyberArk密碼對象請求其他參數，則可以使用自定義屬性指定它們。

為CyberArk添加共享的掃描憑據

共享的掃描憑據在安全控制臺中進行全局管理，并且可以由多個站點使用。要配置共享憑據，您必須是全局管理員角色或具有“管理站點”權限的角色。

1. 單擊管理選項卡。
2. 在“ 管理”頁面上，單擊“ 創建*共享憑據”*鏈接。
3. 在“ 常規”選項卡中，命名將與CyberArk一起使用的新憑據集。
4. 從“ 帳戶”選項卡中，選擇以下服務之一：Microsoft Windows / Samba（SMB / CIFS），安全Shell（SSH）或安全Shell（SSH）公鑰。這些服務支持將CyberArk作為身份驗證源。
5. 從“ 憑據管理”下拉列表中，選擇“ CyberArk”。

6. 當出現CyberArk選項時，您必須提供AppID，它將標識正在請求憑據的應用程序。

7. 此外，如果要配置掃描以從特定的保險箱或基于CyberArk中的一組特定條件檢索憑據，則可以提供查找屬性和查找位置。請參閱了解CyberArk Vault選項以了解更多詳細信息。

• 可能需要為連接指定至少兩個查找屬性，以提取適當的憑據。例如，在配置連接時，請考慮同時指定“用戶名”和“地址”屬性。

在域中使用地址查找
在CyberArk中，完全限定的域名和IP地址之間的首選項不同。如果無法解析域名或IP地址，則可以將“地址”查找屬性與指定的域結合使用以檢索憑據。為此，請找到“查找屬性”字段，確認已選擇“地址”，然后輸入資產的IP地址或完全限定的域。
如果域和地址均有效，則Nexpose將首選與該域關聯的憑據。

8. 在“ 站點分配”選項卡中，您可以選擇將這些掃描憑據添加到所有現有站點和新站點，也可以選擇將有權訪問這些憑據的站點集。最佳做法是使用“ 創建可以使用這些憑據的網站的自定義列表”選項。這將允許您控制有權訪問Cyber??Ark憑據的站點，并防止對站點中的每個目標執行Cyber??Ark查找，這將導致大量的查找失敗。您應該將站點范圍縮小到您知道將包含將返回Cyber??Ark憑據的目標的站點范圍。

9. 保存您的更改。

完成后，您將可以為已被授予訪問權限的任何站點選擇已添加的憑據。

為CyberArk添加特定于站點的憑據

掃描憑據可以是特定于站點的，這意味著它們僅限于單個站點使用。要配置特定于站點的憑據，您必須是全局管理員或站點所有者。

要將CyberArk添加為身份驗證源：

1. 創建或編輯網站。
2. 轉到“ 身份驗證”選項卡。
3. 轉到“ 添加憑據”選項卡。
4. 在“ 常規”選項卡中，命名將與CyberArk一起使用的新憑據集。
5. 從“ 帳戶”選項卡中，選擇以下服務之一：Microsoft Windows / Samba（SMB / CIFS），安全Shell（SSH）或安全Shell（SSH）公鑰。這些服務支持將CyberArk作為身份驗證源。
6. 從“ 憑據管理”下拉列表中，選擇“ CyberArk”。

7. 當出現CyberArk選項時，您必須提供AppID，它將標識正在請求憑據的應用程序。

8. 此外，如果要配置掃描以基于CyberArk中的一組特定條件從特定保險箱中檢索憑據，則可以提供查找屬性和查找位置。請參閱 了解CyberArk Vault選項以了解更多詳細信息。

• 可能需要為連接指定至少兩個查找屬性，以提取適當的憑據。例如，在配置連接時，請考慮同時指定“用戶名”和“地址”屬性。

在域中使用地址查找
在CyberArk中，完全限定的域名和IP地址之間的首選項不同。如果無法解析域名或IP地址，則可以將“地址”查找屬性與指定的域結合使用以檢索憑據。為此，請找到“查找屬性”字段，確認已選擇“地址”，然后輸入資產的IP地址或完全限定的域。

如果域和地址均有效，則Nexpose將首選與該域關聯的憑據。

9. 保存您的更改。

完成后，添加了憑據的網站將可以使用它們進行經過身份驗證的掃描。

身份驗證掃描的Kerberos憑據

現在，安全控制臺允許您使用Kerberos網絡身份驗證協議配置掃描憑據。像所有其他掃描憑據選項一樣，您可以在特定于站點或共享的基礎上配置Kerberos掃描憑據。

要求

與其他掃描憑據類型不同，Kerberos掃描憑據功能依賴于安全控制臺中匹配的外部身份驗證源配置。要使用Kerberos進行身份驗證掃描，必須配置Kerberos外部身份驗證源。

如果尚未配置此外部身份驗證源，請參見Kerberos身份驗證頁面以獲取有關如何進行配置的說明。

約束條件

由于此功能依賴于匹配的Keberos外部身份驗證源進行操作，因此具有多控制臺環境的組織必須采取額外的步驟來避免任何配置沖突。

如果您的組織有多個都使用同一掃描引擎的安全控制臺部署，則這些控制臺上的所有外部Kerberos身份驗證源都必須相同。如果每個外部身份驗證源之間存在差異，則可能會阻止掃描引擎正確地對目標資產進行身份驗證。

注-憑證測試限制
使用分布式掃描引擎的Kerberos憑據測試將失敗，直到您已在同一目標上使用這些憑據成功運行了經過身份驗證的掃描。由于安全控制臺在掃描開始之前不會使用來自匹配的Kerberos外部身份驗證源的所需信息，所以可以預期會出現此行為。
在這種情況下，當您的憑據測試在首次配置中失敗時，請勿發出警報。要確定Kerberos憑據是否配置正確，請嘗試使用相同的憑據進行經過身份驗證的掃描，并驗證掃描結果的數量是否足以指示身份驗證。

Kerberos掃描憑據配置過程

驗證安全控制臺滿足外部身份驗證源要求之后，可以通過以下方式配置Kerberos掃描憑據：

• 特定于站點的憑據
• 共享憑證

配置特定于站點的憑據

要在站點配置中配置Kerberos掃描憑據：

1. 在新的或現有的站點配置中，單擊“ 身份驗證”選項卡。
2. 單擊添加憑據子選項卡。將顯示“添加憑據”視圖的“ 常規”部分。
3. 命名并可選地描述您的憑據。
4. 單擊“ 帳戶”子選項卡以打開憑證服務選擇視圖。
5. 展開“服務”旁邊的下拉菜單，然后選擇Kerberos。
6. 在“領域”字段中輸入Kerberos領域的名稱。
7. 輸入您的用戶名，密碼和密碼確認。
8. 如果需要，請打開“ 限制”選項卡以將這些憑據的使用限制為單個資產。
9. 完成后單擊創建。
10. 最后，點擊保存在屏幕的右上角，以節省您的網站配置。

配置共享憑證

要配置共享的Kerberos掃描憑據：

1. 在左側導航菜單中，單擊“ 管理”選項卡。
2. 在“掃描選項”部分中，單擊“共享憑據”旁邊的創建。
3. 將顯示“共享掃描憑據配置”頁面。在“ 常規”選項卡上，命名并選擇描述您的憑據。
4. 單擊帳戶選項卡。展開“服務”旁邊的下拉菜單，然后選擇Kerberos。
5. 在“領域”字段中輸入Kerberos領域的名稱。
6. 輸入您的用戶名，密碼和密碼確認。
7. 如果需要，請打開“ 限制”選項卡以將這些憑據的使用限制為單個資產。
8. 單擊站點分配選項卡。確定憑據應適用于所有站點還是僅適用于您指定的站點。
9. 最后，單擊屏幕右上角的“ 保存”以完成共享憑據配置。

使用SSH公鑰身份驗證

您可以使用Nexpose對使用SSH公鑰對用戶進行身份驗證的資產執行憑據掃描。

此方法也稱為非對稱密鑰加密，涉及創建兩個相關密鑰或大的隨機數：

• 任何實體都可以用來加密身份驗證信息的公共密鑰
• 私有密鑰，只有受信任的實體才能用來解密由其配對的公共密鑰加密的信息

生成密鑰對時，請牢記以下準則：

• 該應用程序支持SSH協議版本2 RSA和DSA密鑰。
• 密鑰必須是OpenSSH兼容且PEM編碼的。
• RSA密鑰的范圍可以在768和16384位之間。
• DSA密鑰必須為1024位。

本主題提供了將資產配置為接受公用密鑰身份驗證的常規步驟。有關特定步驟，請查閱所用特定系統的文檔。

ssh-keygen進程將提供輸入密碼的選項。如果打算在其他地方使用該密鑰，建議您使用一個密碼短語來保護該密鑰。

生成密鑰對

1. 運行ssh-keygen命令創建密鑰對，并指定用于存儲新文件的安全目錄。

此示例涉及一個2048位RSA密鑰，并包含/ tmp目錄，但是您應該使用任何可信任的目錄來保護文件。

ssh-keygen -t rsa -b 2048 -f /tmp/id_rsa

該命令生成私鑰文件id_rsa和公鑰文件id_rsa.pub。

2. 使公鑰可用于目標資產上的應用程序。
3. 確保用于生成密鑰的計算機具有.ssh目錄。如果沒有，請運行mkdir命令創建它：

mkdir /home/[username]/.ssh

4. 復制通過在步驟1中運行該命令創建的公用密鑰的內容。該文件位于/tmp/id_rsa.pub文件中。

注意：某些檢查需要root訪問。

將/tmp/id_rsa.pub文件的目標資產上的內容附加到用戶主目錄中的.ssh / authorized_keys文件中，該文件具有完整掃描范圍所需的適當訪問級別權限。

cat /[directory]/id_rsa.pub >> /home/[username]/.ssh/authorized_keys

5. 提供私鑰。

提供私鑰后，必須為應用程序提供SSH公鑰身份驗證。

提供SSH公鑰認證

如果要在配置新站點時添加SSH憑據，請單擊主頁上的“ 創建站點”按鈕。或單擊頁面頂部的“ 創建”選項卡，然后從下拉列表中選擇“ 站點 ”。

如果要為現有站點添加SSH憑據，請在“ 主頁”上的“ 站點”表中單擊該站點的“ 編輯”圖標。

1. 單擊站點配置中的“ 身份驗證”選項卡。
2. 單擊添加憑據。
3. 如果需要，在“ 添加憑據”表單中，輸入一組新憑據的名稱和描述。
4. 單擊“ 添加憑據”下的“ 帳戶 ” 。
5. 從“ 服務”下拉列表中選擇“ Secure Shell（SSH）公鑰”。

注意： ssh / authorized_keys是大多數基于OpenSSH和Drop down的SSH守護程序的默認文件。請查閱Linux發行版的文檔以驗證適當的文件。

此身份驗證方法與下拉列表中作為安全外殼（SSH）列出的方法不同。后一種方法結合了密碼而不是密鑰。

6. 輸入適當的用戶名。

7. （可選）輸入生成密鑰時使用的私鑰密碼。

8. 確認私鑰密碼。

9. 將該文件的內容復制到PEM格式的私鑰文本框中。您創建的私鑰是目標資產上的/ tmp / id_rsa文件。

10. （可選）將權限提升為sudo或su。您可以同時提升安全外殼（SSH）和安全外殼（SSH）公共密鑰服務的權限。

11. （可選）輸入適當的用戶名。權限提升用戶需要設置為root。為此，需要將用戶的權限提升類型設置為，sudo而將權限提升用戶設置為root。

12. 對于sudo憑據，用戶名可以為空。如果您使用的su憑據沒有用戶名，則憑據將默認為root用戶名。

如果提供的SSH憑據是root憑據，用戶ID = 0，則即使根帳戶已重命名，權限提升憑據也將被忽略。如果指定了用戶標識為0的任何帳戶（root或其他名稱），則應用程序將忽略權限提升憑據。

13. 完成憑據配置后，如果是新集合，則單擊創建；如果是先前創建的集合，則單擊保存。

提升權限

使用SSH身份驗證，您可以將掃描引擎權限提升為管理或根訪問權限，這是獲取某些數據所必需的。例如，基于Unix的CIS基準測試通常需要管理員級別的權限。結合使用su（super-user），sudo（super-user do）或這些方法的組合，可以確保權限提升是安全的。

權限提升是SSH憑據配置中可用的選項。配置此選項涉及選擇權限提升方法。使用sudo不需要管理密碼，可以保護您的管理員密碼和服務器的完整性。使用su需要管理員密碼。

在站點配置中創建或編輯SSH憑據時，將顯示提升權限的選項：

您可以選擇使用以下選項之一來提升權限：

• su –使您可以使用非root用戶帳戶進行遠程身份驗證，而不必將系統配置為通過服務（如SSH）進行遠程root用戶訪問。要使用su進行身份驗證，請輸入您要提升權限的用戶的密碼。例如，如果您試圖提升對root用戶的權限，請在“ 共享掃描憑據配置”面板的“ 權限提升”區域的“ 密碼”字段中輸入root用戶的密碼。
• sudo –使您可以使用非root用戶帳戶進行遠程身份驗證，而不必將系統配置為通過服務（如SSH）進行遠程root用戶訪問。此外，它使系統管理員可以使用sudo命令顯式控制經過身份驗證的用戶可以運行哪些程序。要使用sudo進行身份驗證，請輸入您要從中提升權限的用戶的密碼。例如，如果您嘗試提升對root用戶的權限，并且以jon_smith身份登錄，請在“ 共享掃描憑據配置”面板的“ 權限提升”區域的“ 密碼”字段中輸入jon_smith的密碼。
• sudo + su –結合使用sudo和su來獲取需要從目標資產進行特權訪問的信息。登錄時，應用程序將使用sudo身份驗證來使用su運行命令，而無需在任何地方輸入root密碼。如果對su命令的訪問受到限制，則sudo + su選項將無法訪問所需的信息。
• pbrun –使用BeyondTrust PowerBroker允許Nexpose在Unix和Linux掃描目標上以root身份運行列入白名單的命令。要使用此功能，您需要在掃描目標上配置某些設置。請參閱以下部分。
• 特權執行程序允許您使用非特權帳戶對Cisco IOS設備進行遠程身份驗證，并通過enable命令提升到特權執行程序級別。在“ 權限提升密碼”字段中輸入enable命令的密碼。特權用戶名未使用，可以保留不變或為空。遠程設備必須運行SSH版本2。還必須更新掃描引擎以支持特權執行。

sudo和sudo + su

如果您選擇在掃描時啟用sudo或sudo+su提升權限，則必須授予您的掃描目標以root權限訪問它們各自的命令行shell。掃描將使用在掃描用戶的資產配置上定義的任何外殼程序。

/etc/sudoers根據以下說明修改目標資產的文件。

TIP
也可以在中創建專用的用戶文件/etc/sudoers.d/。

sudo

使用以下模板/etc/sudoers配置來授予root shell訪問權限。替換<nexpose_user>，并<user_shell>用適當的值：

<nexpose_user>    ALL=(root)    <user_shell>

以下示例分別顯示了bash和ksh shell的配置：

jsmith      ALL=(root)    /bin/bash

jsmith      ALL=(root)    /bin/ksh

sudo+su

jsmith      ALL=(root)    /bin/su

使用系統日志跟蹤權限提升

目標資產的管理員可以在系統日志中控制和跟蹤su和sudo用戶的活動。當嘗試提升權限失敗時，這些日志中將顯示錯誤消息，以便管理員可以解決和更正錯誤并再次運行掃描。

pbrun

在使用pbrun提升掃描權限之前，您需要創建一個配置文件并將其部署到每個目標主機。配置提供了Nexpose需要使用此方法成功掃描的條件：

• 如$ SHELL環境變量所示，Nexpose可以使用pbrun執行用戶的外殼程序。
• pbrun不需要Nexpose提供密碼。
• pbrun以root身份運行shell。

下面的示例配置文件摘錄顯示了滿足這些條件的設置：

RootUsers = {"user_name" };
RootProgs = {"bash"};
if (pbclientmode == "run" &&
user in RootUsers &&
basename(command) in RootProgs) {

# setup the user attribute of the delegated task
runuser = "root";
rungroup = "!g!";
rungroups = {"!G!"};
runcwd = "!~!";

# setup the runtime environment of the delegated task
setenv("SHELL", "!!!");
setenv("HOME", "!~!");
setenv("USER", runuser);
setenv("USERNAME", runuser);
setenv("LOGNAME", runuser);
setenv("PWD", runcwd);
setenv("PATH", "/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin");

# setup the log data
CleanUp();

accept;
}

數據庫掃描憑證要求

TIP
此頁面上詳細介紹的證書要求適用于這兩個脆弱性和政策掃描。
憑據為Nexpose提供了掃描資產所需的訪問權限。漏洞和策略掃描支持多種身份驗證，包括對Microsoft SQL Server（MSSQL），DB2，MySQL和Oracle等數據庫的身份驗證。

添加數據庫的憑據的方式與創建經過身份驗證的掃描的共享憑據的方式相同。您將需要添加兩組憑證：一組用于數據庫本身，另一組用于資產宿主。例如，如果您在Linux機器上安裝了Oracle，則需要提供登錄Linux機器的憑據以及數據庫的憑據。如果要掃描SQL Server，則需要指定連接到Windows資產所需的CIFS / SMB憑據。

MSSQL憑據的要求

對于MSSQL數據庫，如果您不使用Windows身份驗證，則需要以下信息：

• 服務 -服務標識您要為其添加憑據的數據庫的類型。在這種情況下，您需要將此選項設置為“ Microsoft SQL Server”。
• 數據庫 -這是您正在使用的MSSQL數據庫的名稱。默認數據庫是“ master”。
• 用戶名 -這是用于對數據庫進行身份驗證的帳戶的用戶名。您可以使用“ SA”帳戶，該帳戶是SQL Server系統管理員帳戶，并且具有用于驗證服務和查詢信息的必要特權。
• 密碼 -這是用于對數據庫進行身份驗證的帳戶的密碼。

如果您使用Windows身份驗證，則需要提供以下信息：

• 服務 -服務標識您要為其添加憑據的數據庫的類型。在這種情況下，您需要將此選項設置為“ Microsoft SQL Server”。
• 數據庫 -這是您正在使用的MSSQL數據庫的名稱。默認數據庫是“ master”。
• 域 -如果您使用Windows身份驗證，則需要選擇“ 使用 Windows身份驗證”選項，并提供Windows域的名稱。
• 用戶名 -這是用于對數據庫進行身份驗證的帳戶的用戶名。您可以使用“ SA”帳戶，該帳戶是SQL Server系統管理員帳戶，并且具有用于驗證服務和查詢信息的必要特權。如果您選擇不使用“ SA”帳戶，則將授予您使用該帳戶的CONNECT權限。
• 密碼 -這是用于對數據庫進行身份驗證的帳戶的密碼。

DB2憑證的要求

對于DB2數據庫，需要以下信息：

• 服務 -服務標識您要為其添加憑據的數據庫的類型。對于DB2，將此選項設置為“ DB2”。
• 數據庫 -這是您正在使用的DB2數據庫的名稱。DB2的缺省數據庫是“ DB2COPY1”。
• 域 -此字段是可選的，僅在啟用Windows身份驗證時才適用。如果數據庫未使用Windows身份驗證，則將該字段保留為空白。
• 用戶名 -這是用于對數據庫進行身份驗證的帳戶的用戶名。對于Windows，缺省用戶名是“ db2admin”，對于Linux和AIX，缺省用戶名是“ db2inst1”。
• 密碼 -這是用于對數據庫進行身份驗證的帳戶的密碼。

MySQL憑證的要求

對于MySQL數據庫，身份驗證需要以下信息：

• 數據庫 -這是您正在使用的MySQL數據庫的名稱。
• 用戶名 -將用于向數據庫進行身份驗證的帳戶的用戶名。
• 密碼 -將用于向數據庫進行身份驗證的帳戶的密碼。
• 權限 - Nexpose要求create和select權限下表：

information_schema.GLOBAL_VARIABLES 2information_schema.plugins 3mysql.user 4mysql.slave_master_info 5mysql.db

Oracle憑證的要求

對于Oracle數據庫，身份驗證需要以下信息：

• 服務 -服務標識您要為其添加憑據的數據庫的類型。在這種情況下，您需要將此選項設置為“ Oracle”。
• SID -SID代表數據庫的唯一名稱。默認SID為“ orcl”。如果您的Oracle環境已設置為使用多個SID，則選擇Oracle Net Listener密碼選項，然后輸入您的監聽器密碼以從您的環境中枚舉SID。有關配置Oracle Net Listener密碼的更多信息，請參見Oracle的幫助文檔。
• 用戶名-將用于對數據庫進行身份驗證的帳戶的用戶名。您可以使用該sys as sysdba帳戶，該帳戶是在安裝過程中創建的默認管理員帳戶。
• 密碼 -將用于向數據庫進行身份驗證的帳戶的密碼。
• 權限 -Nexpose需要訪問下表：

DBA_USERS_WITH_DEFPWD, ALL_USERS, V$PARAMETER, DBA_PROFILES, DBA_USERS, DBA_TAB_PRIVS, DBA_SYS_PRIVS, DBA_ROLE_PRIVS, ALL_TABLES, DBA_PROXIES, DBA_STMT_AUDIT_OPTS, DBA_PRIV_AUDIT_OPTS, DBA_OBJ_AUDIT_OPTS, V$INSTANCE

注意
Nexpose需要訪問sys.registry$history表才能確定數據庫的補丁程序級別。如果您要掃描Oracle DB 12.1.0.2或更高版本，則掃描程序需要訪問sys.dba_registry_sqlpatch表而不是sys.registry$history。

創建訪問權限受限的用戶帳戶

雖然Nexpose在配置為以高特權角色（例如“ sysdba”）登錄后會掃描數據庫，但不建議這樣做。您可以通過運行以下命令來創建具有更多受限訪問權限的用戶：

CREATE USER nxpscan IDENTIFIED BY aStrongerPasswordThanThis;
GRANT create session TO nxpscan;
GRANT select ON sys.registry$history TO nxpscan;

創建此帳戶后，可以配置站點以使用新的Oracle憑據。

Sybase的策略掃描

Sybase的策略掃描當前不可用。

使用LM / NTLM哈希身份驗證

Nexpose可以通過LM和NTLM哈希在目標Windows或Linux CIFS / SMB服務上進行身份驗證。使用這種稱為“傳遞哈希”的方法，無需“破解”密碼哈希即可訪問服務。

有幾種工具可用于從Windows服務器提取哈希。一種解決方案是Metasploit，它可以自動檢索哈希值。有關Metasploit的信息，請訪問www.rapid7.com。

當您有可用的哈希時，請執行以下步驟：

如果要在配置新站點時添加憑據，請單擊主頁上的創建站點按鈕。或單擊頁面頂部的“ 創建”選項卡，然后從下拉列表中選擇“ 站點 ”。

如果要為現有站點添加憑據，請在主頁上的“站點”表中單擊該站點的“ 編輯”圖標。

1. 選擇身份驗證。
2. 單擊添加憑據。
3. 如果需要，在“ 添加憑據”表單中，輸入一組新憑據的名稱和描述。
4. 單擊“ 添加憑據”下的“ 帳戶 ” 。
5. 從服務下拉列表中選擇Microsoft Windows / Samba LM / NTLM哈希（SMB / CIFS）。
6. （可選）輸入適當的域。
7. 輸入用戶名。
8. 輸入或粘貼LM哈希，后跟冒號（:)，然后輸入NTLM哈希。確保條目中沒有空格。以下示例包含用于密碼測試的哈希值：

01FC5A6BE7BC6929AAD3B435B51404EE:0CB6948805F797BF2A82807973B89537

9. 另外，由于大多數服務器不考慮LM響應，因此僅使用NTLM哈希也是可以接受的：

0CB6948805F797BF2A82807973B89537

10. 完成憑據配置后，如果是新集合，則單擊創建；如果是先前創建的集合，則單擊保存。

Windows上的身份驗證：最佳做法

掃描Windows資產時，建議您使用域或本地管理員帳戶，以獲得最準確的評估。管理員帳戶具有正確的訪問級別，包括注冊表權限，文件系統權限以及使用通用Internet文件系統（CIFS）或Windows管理規范（WMI）讀取權限進行遠程連接的能力。通常，用于掃描的帳戶的權限級別越高，結果將越詳盡。如果您沒有訪問權限，或者想限制應用程序中域或本地管理員帳戶的使用，則可以使用具有以下權限的帳戶：

• 該帳戶應能夠遠程登錄，并且不僅限于訪客訪問。
• 該帳戶應能夠讀取與已安裝軟件和操作系統信息有關的注冊表和文件信息。

注意： 如果您不使用管理員權限，則不會授予您訪問管理員共享的權限，并且需要創建非管理共享才能對這些共享的文件系統進行讀取訪問。

Nexpose和網絡環境也應通過以下方式配置：

• 對于掃描域控制器，您必須使用域管理員帳戶，因為域控制器上不存在本地管理員。
• 確保沒有防火墻阻止從Nexpose掃描引擎到端口135（139或445）的流量，以及Windows端點上WMI的隨機高端口。您可以使用WMI組策略對象（GPO）設置為WMI設置隨機的高端口范圍。

注意： 首選端口445，因為它效率更高，并且在Windows網絡上存在名稱沖突時將繼續運行。

• 如果使用域管理員帳戶進行掃描，請確保該域管理員也是本地管理員組的成員。否則，域管理員將被視為非管理用戶。如果域管理員不是本地管理員的成員，則他們可能會被限制為無訪問權限，并且除非采取下一步，否則用戶帳戶控制（UAC）也會阻止其訪問。
• 如果將本地管理員用于UAC，則必須添加DWORD注冊表項值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy并將其設置為1。確保它是DWORD而不是字符串。
• 如果在掃描引擎主機上運行防病毒工具，請確保防病毒將應用程序以及該應用程序發送到網絡和從網絡接收的所有流量列入白名單。讓防病毒軟件檢查流量可能會導致性能問題和潛在的誤報。
• 通過使用應用程序中的“ 測試憑據”功能，驗證所使用的帳戶可以登錄到要評估的一項或多項資產。
• 如果使用的是CIFS，請確保所掃描的資產已啟用“遠程注冊表”服務。如果使用WMI，則不需要遠程注冊表服務。

Unix和相關目標上的身份驗證：最佳實踐

對于掃描Unix和相關系統（如Linux），可以掃描大多數漏洞而無需root訪問。您需要root訪問權限才能進行一些漏洞檢查和許多策略檢查。如果計劃使用非root用戶進行掃描，則需要確保該帳戶具有指定的權限，并且請注意，非root用戶將找不到某些檢查。以下各節包含有關配置內容和內容的準則。僅在具有root訪問權限的情況下才能找到。由于檢查的復雜性和經常更新的事實，此列表可能會更改。

為了確保以非root用戶身份進行掃描時幾乎全面覆蓋漏洞，您需要執行以下操作之一：

• 提升權限，以便您可以以root用戶身份運行命令，而無需使用實際的root用戶帳戶。
• 配置系統，以使您的非root用戶掃描用戶對指定的命令和目錄具有權限。

以下各節描述了這些選項的配置。

配置掃描環境以支持權限提升

在不使用root用戶或執行自定義配置的情況下提升掃描權限的一種方法是使用權限提升，例如sudo或pbrun。這些選項需要特定的配置（例如，對于pbrun，您需要將用戶的shell列入白名單），但不需要按照以下應用程序運行的命令中所述自定義權限。

命令應用程序運行

以下部分包含有關應用程序在掃描時運行哪些命令的準則。這些命令中的絕大多數都可以在沒有root的情況下運行。如上所述，此列表可能會隨著添加新檢查而更改。

以下命令之一是大多數命令所必需的：

• 獲取操作系統的版本
• 獲取已安裝軟件包的版本
• 運行為Shell腳本的策略檢查

應用程序期望這些命令是$ PATH變量的一部分，并且沒有非標準的$ PATH沖突。

所有Unix / Linux發行版都需要以下命令：

• ifconfig
• java
• sha1
• sha1sum
• md5
• md5sum
• awk
• grep
• egrep
• cut
• id
• ls
• unzip

InsightVM將嘗試掃描某些文件，并且如果用戶帳戶對這些文件具有適當的訪問權限，它們將能夠執行相應的檢查。以下是該帳戶需要訪問的文件或目錄的列表：

• /etc/group
• /etc/passwd
• grub.conf
• menu.lst
• lilo.conf
• syslog.conf
• /etc/permissions
• /etc/securetty
• /var/log/postgresql
• /etc/hosts.equiv
• .netrc
• ‘/‘, ‘/dev’, ‘/sys’, and ‘/proc’ “/home” “/var” “/etc”
• /etc/master.passwd
• sshd_config

對于Linux，應用程序需要讀取以下文件（如果存在）來確定分發：

• /etc/debian_release
• /etc/debian_version
• /etc/redhat-release
• /etc/redhat_version
• /etc/os-release
• /etc/SuSE-release
• /etc/fedora-release
• /etc/slackware-release
• /etc/slackware-version
• /etc/system-release
• /etc/mandrake-release
• /etc/yellowdog-release
• /etc/gentoo-release
• /etc/UnitedLinux-release
• /etc/vmware-release
• /etc/slp.reg
• /etc/oracle-release

在任何Unix或相關變體中（例如Ubuntu或OS X），該帳戶都需要能夠執行特定命令才能運行特定檢查。這些命令應列入該帳戶的白名單。

該帳戶需要能夠執行以下命令以進行某些檢查：

• cat
• find
• mysqlaccess
• mysqlhotcopy
• sh
• sysctl
• dmidecode
• perlsuid
• apt-get
• rpm

對于以下類型的分發，帳戶需要按照指示執行權限。

AIX

需要root特權才能正確運行，而不會報告錯誤的肯定漏洞。

• lslpp –cL to list packages
• oslevel
• emgr -l

Blue Coat

• show version

思科公司

漏洞掃描所需：

• 顯示版本（注：此版本用于多個Cisco平臺，包括IOS，PIX，ASA和IOR-XR）

策略掃描必需：

• show version | include Cisco
• show interface
• show running-config
• show snmp host
• show run | include banner login
• show log | incl Trap logging
• show snmp user
• show snmp group
• show ip ssh | incl retries
• show cdp
• show ip ssh | incl timeout
• show running-config | include [ ]neighbor[ ].*[ ]*password
• show run | include banner exec
• show run | include banner motd

基于Debian的發行版

• uname
• dpkg
• egrep
• cut
• xargs

F5

• “版本”，“顯示”或“ tmsh show sys版本”

FreeBSD

• 需要Freebsd-version來識別FreeBSD版本10和更高版本
• 用戶帳戶需要權限才能在10之前的FreeBSD版本上執行cat / var / db / freebsd-update / tag。
• FreeBSD軟件包的指紋要求：
  • pkg info
  • pkg_info

Juniper

• uname
• show version

Mac OS X

• / usr / sbin / softwareupdate
• / usr / sbin / system_profiler
• sw_vers

帕洛阿爾托網絡PAN-OS

• 顯示系統信息

基于RPM的發行版（例如Red Hat，SUSE或Oracle）

• ame
• 轉數
• chkconfig

的Solaris

• showrev
• pkginfo
• ndd

VMware ESX / ESXi

• vmware -v
• 轉數
• esxupdate-查詢|| esxupdate查詢

需要RootExecutionService的漏洞檢查

對于某些漏洞檢查，需要root用戶訪問權限。如果選擇使用非root用戶進行掃描，請注意即使系統中存在這些漏洞也不會被發現。以下是需要root訪問權限的檢查列表：

您可以在安全控制臺的搜索欄中搜索漏洞ID，以找到描述和其他詳細信息。

• OpenSSH配置允許SSHv1協議/ unix-check-openssh-ssh-version-two在概念上與另一個檢查相同，SSH服務器支持SSH協議v1 client / ssh-v1-supported，不需要root。

在掃描中使用PowerShell

Windows PowerShell是一種命令行外殼程序和腳本語言，專門用于系統管理和自動化。從PowerShell 2.0開始，可以使用Windows遠程管理在一臺或多臺遠程計算機上運行命令。通過將PowerShell和Windows遠程管理與掃描配合使用，您可以進行掃描，就像在本地登錄到每臺計算機一樣。PowerShell支持對于SCAP 1.2中的某些策略檢查至關重要，并且可以更有效地返回數據以進行其他一些檢查。

為了將Windows遠程管理與PowerShell一起使用，必須在要掃描的所有計算機上啟用它。如果您要掃描大量Windows資產，則通過Windows域上的組策略啟用它可能會更有效。

盡管可以通過HTTP將Windows遠程管理與PowerShell一起使用，但是使用HTTPS服務要安全得多。為了正確使用HTTPS協議，需要正確配置WinRM服務。這可以通過閱讀以下文章來實現：

https://support.microsoft.com/zh-cn/help/2019527/how-to-configure-winrm-for-https

若要使掃描與PowerShell一起使用Windows遠程管理，端口5985（HTTP）或5986（HTTPS）必須對掃描模板可用。默認情況下，DISA，CIS和USGCB策略的掃描模板都包含此端口。對于其他人，則需要手動添加。

要將端口添加到掃描模板：

1. 轉到“ 管理”頁面，然后選擇“ 在模板中**管理”。選擇您正在使用的掃描模板。在“ 服務發現”選項卡中，將5985或5986*添加到“ *TCP掃描”部分中的“ 其他端口 ” 。

您還需要指定適當的服務和憑據。

如果要在配置新站點時添加憑據，請單擊主頁上的創建站點按鈕。

如果要為現有站點添加憑據，請在主頁上的“ 站點”表中單擊該站點的“ 編輯”圖標。

1. 選擇身份驗證。
2. 單擊添加憑據。
3. 如果需要，在“ 添加憑據”表單中，輸入一組新憑據的名稱和描述。
4. 單擊“ 添加憑據”下的“ 帳戶 ” 。
5. 選擇Microsoft Windows / Samba（SMB / CIFS）服務。
6. 輸入服務的域，用戶名和密碼。
7. 完成憑據配置后，如果是新集合，則單擊創建；如果是先前創建的集合，則單擊保存。

有關其他可選步驟，請參閱以下主題：

• 測試憑證
• 將憑證限制為單個資產和端口

如果啟用了正確的端口，并且指定了正確的Microsoft Windows / Samba（SMB / CIFS）憑據，則應用程序將自動使用PowerShell。

如果啟用了PowerShell，但是不想將其用于掃描，則可能需要定義不包含端口5985的自定義端口列表。

禁用對端口的訪問：

1. 轉到“ 管理”頁面，然后選擇“ 在模板中**管理”**。
2. 選擇您正在使用的掃描模板。
3. 在“ 服務發現”選項卡的“ TCP掃描”中，對于“ 要掃描的**端口”，選擇“ **自定義”（僅使用“其他端口”）。
4. 在“ 其他端口”中，指定不包括端口5985的端口列表。