评估扫描设置
注意:如果扫描是基于一个政策,不能配置评估设置扫描。你只能修改这些设置的相关政策。
您可以使用评估设置配置如何扫描识别漏洞,以及漏洞识别。这包括识别恶意软件,评估系统的脆弱性,蛮力攻击,和易感性的web应用程序。
包括某些Tenable-provided扫描仪模板
预配置评估设置
。
如果您选择了自定义预配置的设置选项,或者如果您使用的是扫描仪模板,不包括预配置评估设置,您可以手动配置评估设置在以下类别:
注意:下表包含的设置先进的扫描模板。取决于你选择的模板,某些设置可能不可用,和默认值可能不同。
一般
的一般部分包括以下组设置:
| 设置 |
默认值 |
描述 |
| 精度 |
| 覆盖正常的准确性 |
禁用 |
在某些情况下,站得住脚的Nessus不能远程确定是否存在一个缺陷。如果偏执将报告显示潜在的假警报,每次报告一个缺陷,即使有疑问的远程主机的影响。相反,一个偏执的避免潜在的假警报原因站得住脚的Nessus每当有不报告任何缺陷提示远程主机的不确定性。这两个设置之间的中间地带,禁用此设置。 |
| 进行彻底的测试(可能会扰乱你的网络或影响扫描速度) |
禁用 |
导致各种插件更加努力地工作。例如,当通过SMB文件共享,一个插件可以分析3目录层而不是1。这有时会导致更多的网络流量和分析。更彻底,扫描更多的侵入性和更有可能扰乱网络,同时可能提供更好的审计结果。 |
| 杀毒 |
| 防病毒定义宽限期(天) |
0 |
配置杀毒软件检查一组的延迟天数(鹿)。杀毒软件检查菜单允许您直接站得住脚的Nessus允许特定的恩典次报告当杀毒签名被认为是过时了。默认情况下,站得住脚的Nessus认为签名过时了不管多久以前的更新是可用的(例如,几小时前)。您可以配置此设置允许长达7天前报告他们过时了。 |
| SMTP |
| 第三方域名 |
站得住脚的Nessus试图通过每一个SMTP设备发送垃圾邮件中列出的地址。这个第三方域名地址必须范围以外的网站站得住脚的Nessus是扫描或执行扫描的网站。否则,SMTP服务器可能中止试验。 |
| 从地址 |
测试消息发送到SMTP服务器或服务器出现,如果他们来自指定的地址。 |
| 为了解决 |
站得住脚的Nessus尝试发送消息写给这个字段中列出的邮件收件人。邮政人员的地址是默认值,因为它是一个有效的地址邮件服务器。 |
蛮力
的蛮力部分包括以下组设置:
| 设置 |
默认值 |
描述 |
| 一般设置 |
| 用户只使用所提供的凭据 |
启用 |
在某些情况下,站得住脚的Nessus可以测试的默认账户和已知的默认密码。这可以锁定一个帐户如果连续太多的无效的尝试引发安全协议的操作系统或应用程序。默认情况下,启用此设置防止站得住脚的Nessus从执行这些测试。 |
| Oracle数据库 |
| 测试默认账户(慢) |
禁用 |
在Oracle软件测试已知的默认账户。 |
九头蛇
注意:九头蛇选项只出现在九头蛇是在同一台计算机上安装扫描仪或代理人执行扫描。 |
| 总是让九头蛇(慢) |
禁用 |
让九头蛇时站得住脚的Nessus执行扫描。 |
| 登录文件 |
|
文件中包含用户名,九头蛇使用扫描。 |
| 密码文件 |
|
一个文件包含用户账号的密码,九头蛇使用在扫描。 |
| 数量的并行任务 |
16 |
同时九头蛇的数量你想要执行的测试。默认情况下,这个值是16。 |
| 超时时间(以秒为单位) |
30. |
每个登录尝试的秒数。 |
| 尝试空密码 |
启用 |
如果启用,九头蛇尝试不使用用户名密码。 |
| 尽可能的登录密码 |
启用 |
如果启用,九头蛇尝试用户名对应的密码。 |
| 第一个成功后停止蛮干 |
禁用 |
如果启用,九头蛇停止蛮迫使用户帐户后第一次成功地访问一个帐户。 |
| 账户发现其他插件添加到登录文件 |
启用 |
如果禁用,站得住脚的Nessus只使用指定的用户名登录文件的扫描。否则,站得住脚的Nessus发现更多的用户使用其他插件并将它们添加到登录文件用于扫描。 |
| PostgreSQL数据库名称 |
|
你想让九头蛇的数据库测试。 |
| SAP R / 3的客户ID (0 - 99) |
|
SAP R / 3的ID的客户,你想让九头蛇测试。 |
| Windows帐户来测试 |
本地账户 |
你可以设置这个本地账户,域帐户,或要么。 |
| 解释和NTLM散列密码 |
禁用 |
如果启用,九头蛇解释和NTLM散列密码。 |
| 思科的登录密码 |
|
你用这个密码登录思科系统之前蛮干启用密码。如果你不输入密码,九头蛇试图使用证书登录成功蛮迫使早些时候的扫描。 |
| Web页面的蛮力 |
|
输入一个web页面保护HTTP基本或摘要式身份验证。如果你不进入一个网页,九头蛇试图暴力破解一个页面发现的站得住脚的Nessus网络爬虫,需要HTTP身份验证。 |
| HTTP代理测试网站 |
|
如果九头蛇成功蛮力HTTP代理,它试图通过蛮力代理这里提供访问这个网站。 |
| LDAP DN |
|
LDAP区分名字,九头蛇验证范围。 |
SCADA
| 设置 |
默认值 |
描述 |
从注册开始 |
0 |
的注册开始扫描。 |
| 在注册 |
16 |
的寄存器停止扫描。 |
| 组成/ COTP东西解决的弱点 |
组成/ COTP东西解决菜单决定面向连接的传输协议(COTP)运输服务访问点(东西)值组成服务器通过可能的值。
|
| 开始COTP的东西 |
8 |
指定了开始的东西的价值。 |
| 停止COTP的东西 |
8 |
指定结束的东西的价值。站得住脚的Nessus之间的所有值开始和停止。 |
Web应用程序
默认情况下,站得住脚的Nessus没有扫描web应用程序。当你第一次访问Web应用程序节,扫描Web应用程序设置显示,从。修改Web应用程序设置上列出下表,单击从按钮。其余的设置出现。
的Web应用程序部分包括以下组设置:
| 设置 |
默认值 |
描述 |
| 一般设置 |
| 使用一个自定义的用户代理 |
Mozilla / 4.0 (compatible;MSIE 8.0;Windows NT 5.1;三叉戟/ 4.0) |
指定哪种类型的浏览器站得住脚的Nessus模仿,同时扫描。 |
| 网络爬虫 |
| 开始爬行 |
/ |
第一个页面的URL站得住脚的Nessus测试。如果你想测试多个页面,使用冒号分隔符分开(例如,/:/ php4: /基地)。 |
| 排除页面(正则表达式) |
/ server_privileges \。php< >注销 |
指定的部分网站排除爬。例如,排除/手册目录和所有Perl CGI,设置这个字段:(^ /手动)< >”(\ . pl (\ ? *) ? $)。
站得住脚的Nessus支持POSIX正则表达式字符串匹配和处理和perl的正则表达式(PCRE)。 |
| 最大页面爬 |
1000年 |
页面抓取的最大数量。 |
| 最大深度爬 |
6 |
限制链接的数量站得住脚的Nessus遵循每个开始页面。 |
| 遵循动态页面 |
禁用 |
如果启用此设置,站得住脚的Nessus遵循动态链接和可能超过上面的参数设置。 |
| 应用程序测试设置 |
| 使通用web应用程序测试 |
禁用 |
支持以下应用程序测试设置。 |
| 中止如果HTTP web应用程序测试登录失败 |
禁用 |
如果站得住脚的Nessus不能登录到目标通过HTTP,那么不要运行任何web应用程序测试。 |
| 尝试所有HTTP方法 |
禁用 |
这个选项指示站得住脚的Nessus为增强web表单使用POST请求测试。默认情况下,web应用程序测试只使用GET请求,除非你启用该选项。一般来说,更复杂的应用程序使用POST方法当用户提交数据的应用程序。这个设置提供了更全面的测试,但可能大大增加所需的时间。选择时,站得住脚的Nessus测试每个脚本或变量与GET和POST请求。这个设置提供了更全面的测试,但可能大大增加所需的时间。 |
| 尝试HTTP参数污染 |
禁用 |
当执行web应用程序测试,试图绕过过滤机制注入内容变量同时也提供相同的变量有效的内容。例如,一个正常的SQL注入测试看起来/ target.cgi ? = ' b = 2。启用了HTTP参数污染(HPP),请求看起来/ target.cgi ? = '和= 1 b = 2。 |
| 测试嵌入式web服务器 |
禁用 |
嵌入式web服务器通常是静态的,不包含定制的CGI脚本。此外,嵌入式web服务器可能容易崩溃或成为扫描时没有响应。站得住脚的建议分开扫描嵌入式web服务器其他web服务器使用这个选项。 |
| 测试超过一次一个参数形式 |
禁用 |
这个设置管理的结合参数值在HTTP请求中使用。没有检查这个选项,默认的是测试一个参数与字符串的攻击一次,没有尝试非攻击性其他参数的变化。例如,站得住脚的Nessus将会尝试
/ test.php ? __arg1 = XSS&b = 1 = 1b和c,允许其他值,而无需测试每个组合。这是最快的测试方法与最小的结果集生成。 这个设置有四个选项:
- 测试随机双参数:这种形式的测试随机检查随机双参数的组合。这是最快的方法来测试多个参数。
- 测试所有成对的参数(慢):这种形式的测试有点慢但比一个值测试更有效。同时测试多个参数,测试字符串的攻击,变化为一个变量,然后使用第一个值对于所有其他变量。例如,站得住脚的Nessus将会尝试/ test.php ? = XSS&b = 1和c = 1研发= 1然后循环变量,一个是考虑到攻击字符串,一个是循环通过所有可能的值(如镜过程中发现)和其他变量给出第一个值。在这种情况下,站得住脚的Nessus永远不会测试/ test.php ? = XSS&b = 3和c = 3研发= 3当第一个每个变量的值是1。
- 测试的随机组合三个或多个参数(慢):这种形式的测试随机检查三个或更多的组合参数。这只比测试更彻底的双参数。增加三个或更多的组合增加了web应用程序测试时间。
- 测试所有的组合参数(慢):这种方法的测试检查所有可能的组合攻击与有效输入字符串变量。所有对测试旨在创建一个较小的数据集作为速度,权衡所有组合毫无妥协的时间和使用一个完整的数据集的测试。这种测试方法可能需要很长时间才能完成。
|
不要停止后第一次发现缺陷/网页吗
|
禁用
|
此设置确定目标是当一个新的缺陷。这适用于脚本的水平。找到一个XSS漏洞不禁用寻找SQL注入或头注入,但除非另有规定,最多有一个报告为每个给定端口类型。注意几个相同类型的缺陷(例如,XSS或SQLi)可能报道如果他们被相同的攻击。 如果禁用此选项,否则一旦缺陷被发现在一个web页面,扫描移动到下一个web页面。 如果您启用此选项,选择以下选项之一:
- 停止后发现一个缺陷/ web服务器(最快)——(默认)一旦发现一个缺陷在web服务器上的脚本,站得住脚的Nessus停止和切换到另一个web服务器在不同的端口。
- 一发现缺陷后停止参数(慢)——只要一种类型的缺陷被发现在CGI参数(例如,XSS),站得住脚的Nessus切换到下一个参数相同的CGI,下一个CGI,或到下一个港口或服务器。
- 寻找所有缺陷(慢)——执行广泛的测试发现的缺陷无关。这个选项可以产生一个非常详细的报告和在大多数情况下不推荐。
|
| 远程文件包含URL |
http://rfi.nessus.org/rfi.txt |
在远程文件包含(RFI)测试,该设置指定远程主机上的文件用于测试。默认情况下,站得住脚的Nessus使用一个安全的文件主持成立公司。对射频识别测试。如果扫描仪不能达到互联网,你可以使用一个内部托管文件更准确RFI测试。 |
| 最大运行时间(分钟) |
5 |
这个选项的时间管理在几分钟内执行web应用程序测试。这个选项默认为60分钟,适用于所有港口和cgi对于一个给定的网站。扫描本地网络与小网站应用程序通常在一个小时内完成,然而网站大型应用程序可能需要更高的价值。 |
窗户
窗户部分包含以下组设置:
| 设置 |
默认值 |
描述 |
| 一般设置 |
| 请求信息SMB领域 |
禁用 |
如果启用,该传感器查询域用户而不是本地用户。启用该设置允许插件10892年和10398年运行和插件72684年和10907年查询域用户。 |
| 用户枚举方法 |
您可以启用尽可能多的用户的枚举方法适合用户发现。 |
| 山姆注册表 |
启用 |
站得住脚的Nessus列举了用户通过安全帐户管理器(SAM)注册表。 |
| ADSI查询 |
启用 |
站得住脚的Nessus列举了用户通过活动目录服务接口(ADSI)。使用ADSI,您必须配置的凭证凭证>杂项>ADSI。 |
| WMI查询 |
启用 |
站得住脚的Nessus列举了用户通过Windows管理界面(WMI)。 |
| 消除蛮干 |
禁用 |
站得住脚的Nessus通过相对列举用户标识符(去掉)蛮干。启用此设置允许列举域用户和列举本地用户设置。 |
| 列举域用户
(可用掉蛮干启用) |
| 开始UID |
1000年 |
一系列的id的开始站得住脚的Nessus试图列举域用户。 |
| UID结束 |
1200年 |
的范围的id站得住脚的Nessus试图列举域用户。 |
| 列举本地用户
(可用掉蛮干启用) |
| 开始UID |
1000年 |
一系列的id的开始站得住脚的Nessus试图列举本地用户。 |
| UID结束 |
1200年 |
的范围的id站得住脚的Nessus试图列举本地用户。 |
恶意软件
的恶意软件部分包含以下组设置:
| 设置 |
默认值 |
描述 |
| 一般设置 |
| 禁用DNS解析 |
禁用 |
检查该选项可以防止站得住脚的Nessus使用云计算来比较扫描结果与已知的恶意软件。 |
| 散列和Allowlist文件 |
| 自定义Netstat IP威胁列表 |
没有一个 |
一个文本文件,其中包含一组已知的糟糕的IP地址,你想检测。 文件中的每一行必须始于一个IPv4地址。可选地,您可以添加一个描述通过添加一个逗号的IP地址之后,紧随其后的是描述。您还可以使用hash-delimited评论(例如,#)除了用逗号分隔的评论。 注意:站得住脚的没有检测到私人IP范围在文本文件中。 |
| 提供自己的已知坏MD5散列的列表 |
没有一个 |
你可以上传任何额外的坏MD5散列通过一个文本文件,其中包含每行一个MD5哈希。可选地,您可以包括一个描述哈希散列后加上一个逗号,紧随其后的是描述。如果站得住脚的Nessus找到任何匹配而扫描目标,描述出现在扫描结果。您可以使用标准hash-delimited评论(例如,#)除了逗号分隔的评论。 |
| 提供自己的已知好MD5散列的列表 |
没有一个 |
你可以上传任何额外好MD5散列通过一个文本文件,其中包含每行一个MD5哈希。是可能的(可选)添加描述为每个散列在上传文件。这是通过添加一个逗号散列后,紧随其后的是描述。如果站得住脚的Nessus找到任何匹配而扫描目标,和散列提供了一个描述,描述出现在扫描结果。您可以使用标准hash-delimited评论(例如,#)除了逗号分隔的评论。 |
| 主机文件allowlist |
没有一个 |
站得住脚的Nessus检查系统主机文件达成妥协的迹象(例如,插件ID 23910名为妥协Windows系统(主机文件检查)。这个选项允许您上传一个文件包含一个列表的ip和主机名站得住脚的Nessus在扫描将忽略。包括一个IP和主机名(格式相同目标)到您的主机文件中每行一个常规的文本文件。 |
| 雅苒规则 |
| 雅苒规则 |
没有一个 |
一个.yar文件包含雅苒规则应用于扫描。您只能上传一个文件/扫描,所以在一个文件包含所有规则。有关更多信息,请参见yara.readthedocs.io。 |
| 文件系统扫描 |
| 扫描文件系统 |
从 |
启用这个选项允许您主机电脑上扫描系统目录和文件。 警告:启用该设置扫描目标10或更多的主机可能导致性能下降。 |
| Windows目录 |
| 扫描% Systemroot % |
从 |
使文件系统扫描扫描% Systemroot %。 |
| 扫描% ProgramFiles % |
从 |
使文件系统扫描扫描% ProgramFiles %。 |
| 扫描% ProgramFiles (x86) % |
从 |
使文件系统扫描扫描% ProgramFiles (x86) %。 |
| 扫描% ProgramData % |
从 |
使文件系统扫描扫描% ProgramData %。 |
| 扫描用户配置文件 |
从 |
使文件系统扫描扫描用户配置文件。 |
| Linux目录 |
| 扫描路径美元 |
从 |
使文件系统扫描扫描路径的位置。 |
| 扫描/家庭 |
从 |
使文件系统扫描扫描/ home。 |
| MacOS目录 |
| 扫描路径美元 |
从 |
使文件系统扫描扫描路径的位置。 |
| 扫描/用户 |
从 |
使文件系统扫描扫描/用户。 |
| 扫描/应用程序 |
从 |
使文件系统扫描扫描/应用程序。 |
| 扫描/库 |
从 |
使文件系统扫描扫描/库。 |
| 自定义目录 |
| 自定义Filescan目录 |
没有一个 |
一个自定义的文件,列出目录被恶意软件扫描文件扫描。在文件列表中每个目录在一个新行。站得住脚的Nessus不接受根目录(如C: \或/(比如)或变量% Systemroot %)。 |
数据库
| 设置 |
默认值 |
描述 |
| Oracle数据库 |
| 使用检测到的SIDs |
禁用 |
当启用时,如果至少有一个主机证书和一个Oracle数据库证书配置,扫描仪使用主机凭证验证扫描目标,然后试图检测Oracle系统id在本地(SIDs)。扫描仪然后试图验证使用指定的Oracle数据库凭证和发现SIDs。 如果扫描仪不能验证扫描目标使用本地主机凭证或不检测任何SIDs,扫描仪进行身份验证使用手动指定Oracle数据库SIDs的Oracle数据库凭证。 |
