5个方法来保护扫描凭证为Windows主机
![](http://www.yyueer.com/sites/default/files/images/articles/Blog-Header-Scanning-Credentials.jpg)
这是系列文章中的第二部分探索如何使用站得住脚的产品保护凭证用于网络评估。在这里,我们为Microsoft Windows系统提供具体指导。
在我的上一个帖子,我讨论了一般的最佳实践保护凭证当执行网络评估。当谈到保护凭证在Microsoft Windows Active Directory环境中,不过,我们有具体指导。
请注意,使这些控件的一些可能会影响你的网络和系统的其他部分。在你实现任何这些变化之前,你应该彻底测试所有设置确定它们是否适合您的环境。并不是所有的组织将能够实现所有这些设置。当配置服务帐户(s)用于证件扫描,以下是一些独特的Windows主机关键事项。
5个小贴士受到信任扫描的Windows主机
- 禁用交互式登录。
通常,账户用于远程管理认证,像Nessus执行,不需要像一个标准的用户帐户。为此,启用功能,防止不必要的访问“否认在本地登录”或“通过远程桌面服务拒绝登录”是一个好主意。 - 限制授权访问。
像互动登录微软允许委托账户权限在某些情况下,使特定功能。这是没有必要对漏洞扫描和应该被禁用。 - 帐户添加到“保护用户”组。
如果你的活动目录域支持它(广告),“保护用户”组增加了额外的安全凭证如何对待当验证主机。这个集团提供的控制尤为重要,如果你不能利用所有列出的其他建议。如果您的域不支持这个功能,努力实现单独控制它提供在可能的情况下。 - 安全的SMB协议。
似乎每隔几年,有一个新的关键漏洞SMB协议或其背后的网络服务生活。同时保持最新的补丁是至关重要的,你可以进行一些积极的配置更改,进一步获得这种服务: - 优先或力Kerberos身份验证。
Kerberos是现代Windows系统选择的身份验证协议。它有许多好处在NTLM,包括防止继电器攻击,相对容易实现。默认情况下,Nessus将禁用NTLMv1和LM的使用不安全的协议。
避免:
- 不要使用域管理员帐户(和其他“高”特权帐户)。
账户的“域名管理”小组非常强大,应该严格控制和限制。Nessus不需要域管理员级别特权(或任何域方面的特权)对于远程网络扫描,它只需要管理访问本地计算机被评估。
- 不要使用域安全边界。
在广告中,不同领域的一片森林不分段。在一个几乎总是意味着妥协整个森林被破坏。隔离特权帐户和系统到另一个森林是至关重要的。如果使用域凭据进行身份验证,特别是如果使用higher-privileged账户,确保它们是单独的一部分森林。
- 扫描和用户之间不重用账户或其他操作。
我注意到这提示我们一般的最佳实践,但它值得重复。账户应该是一次性的。
在这个分为三部分的系列文章的下一篇文章中,我将讨论“nix受到信任评估和选择来保护这一过程。
了解更多
在线阅读的文档:
本系列的其他博客文章:
探索相关的在线研讨会:
观看视频教程:
相关文章
- Nessus
- SecurityCenter
- Tenable.io
- 漏洞扫描