配置站得住脚的NessusNIAP合规

如果您的组织需要的实例站得住脚的Nessus满足国家信息保障合作伙伴(NIAP)标准,您可以配置站得住脚的Nessus这符合相关设置NIAP标准。

在你开始之前:

• 如果您正在使用SSL证书登录登录到SSL证书站得住脚的Nessus,确保你的服务器和客户端证书NIAP兼容的。您可以使用您自己的CA签署的证书,或者你也可以为登录创建SSL客户端证书使用站得住脚的Nessus。

• 确认你提供的全磁盘加密功能启用操作系统在主机的安装位置站得住脚的Nessus。

配置站得住脚的Nessus为NIAP合规:

1. 登录到您的实例站得住脚的Nessus。

2. 启用NIAP模式使用命令行接口:

   1. 访问站得住脚的Nessus从命令行接口。

   2. 在命令行输入以下命令:

      nessuscli修复——设置niap_mode =执行

      Linux的例子:

      / opt / nessus / sbin / nessuscli修复——设置niap_mode =执行

   站得住脚的Nessus以下:

   注意:当站得住脚的NessusNIAP模式,站得住脚的Nessus只要覆盖以下设置站得住脚的Nessus仍在NIAP模式。如果禁用NIAP模式,站得住脚的Nessus改成你之前设置。

   • 覆盖了SSL模式(ssl_mode_preference)TLS 1.2(niap)选项。
   • 覆盖了SSL密码列表(ssl_cipher_list)设置NIAP批准密码(niap)设置,设置密码:
     • ECDHE-RSA-AES128-SHA256
     • ECDHE-RSA-AES128-GCM-SHA256
     • ECDHE-RSA-AES256-SHA384
     • ECDHE-RSA-AES256-GCM-SHA384
   • 使用严格的证书验证:
     • 不允许证书链如果任何中间缺少CA证书扩展。
     • 验证服务器证书,使用CA签署的证书。
     • 验证客户端证书时使用客户端证书身份验证登录。
     • 检查一个CA证书的撤销状态使用在线证书状态协议(OCSP)。如果证书撤销,那么站得住脚的Nessus标志着证书是无效的。如果没有响应站得住脚的Nessus并不意味着证书是无效的。

     • 确保证书有效,受信任的CA known_CA.inc。CA证书的站得住脚的脆弱性管理和plugins.nessus.org已经在known_CA。公司在插件目录中。

     • 如果你想使用一个定制的CA证书,known_CA不在。公司,将其复制到custom_CA。公司在插件目录中。

   • 执行当前FIPS模块进行验证站得住脚的Nessus通信和数据库加密。FIPS模块不影响扫描加密。

     注意:您可以执行的FIPS模块nessuscli没有执行NIAP模式。有关更多信息,请参见修复命令。

数据库加密

你可以从默认转换加密数据库格式(富含- 128 b)NIAP兼容的加密(xt - aes - 128)。

站得住脚的NessusNIAP模式可以读取数据库使用默认格式(富含- 128 b)。

将加密的数据库NIAP兼容的加密:

1. 停止站得住脚的Nessus。
2. 启用NIAP模式,正如先前所描述的过程。

3. 输入以下命令:

   nessuscli安全niapconvert

   站得住脚的Nessus将加密的数据库转换为xt - aes - 128格式。