有资格的检查窗口

在这一节中描述的过程使您能够执行本地安全检查在Windows系统。你只能使用域管理员账户扫描域控制器。

在开始这个过程之前,确保没有安全策略,阻止受到信任检查在Windows上,如:

• Windows安全策略

• 本地计算机策略(例如,拒绝从网络访问这台计算机,从网络访问这台计算机)

• 杀毒或端点安全规则

• IPS / id

为验证扫描配置域帐户

创建一个远程基于主机的域帐户审计Windows服务器,服务器必须首先是一个支持版本的Windows和是一个域的一部分。

创建一个名为“Nessus本地访问”的安全组

1. 登录到域控制器,打开活动目录用户和计算机。
2. 创建一个安全组,选择行动>新>集团。
3. 名的组Nessus本地访问。集范围来全球和类型来安全。
4. 添加账户您计划使用来执行站得住脚的NessusWindows身份验证扫描到站得住脚的Nessus本地访问。

创建一个名为“本地管理GPO”的组策略

1. 打开组策略管理控制台。
2. 右键单击组策略对象并选择新。
3. 类型名称的政策Nessus扫描GPO。

“Nessus本地访问”组添加到“Nessus扫描GPO政策”

1. 右键单击Nessus扫描GPO政策,然后选择编辑。
2. 扩大电脑配置>政策>窗口设置>安全设置>受限制的组。
3. 在左边的导航栏受限制的组,右键单击并选择添加组。
4. 在添加组对话框中,选择浏览并输入Nessus本地访问。
5. 选择检查名字。
6. 选择好吧两次关闭对话框。
7. 选择添加下这一组的成员:
8. 添加管理员组。
9. 选择好吧两次。

站得住脚的Nessus使用服务器消息块(SMB)和Windows管理规范(WMI)。确保Windows防火墙允许访问系统。

在Windows上允许WMI

1. 右键单击Nessus扫描GPO政策,然后选择编辑。
2. 扩大电脑配置>政策>窗口设置>安全设置>Windows防火墙与先进的安全>Windows防火墙与先进的安全>入站规则。
3. 工作区域中单击鼠标右键并选择新规则……。
4. 选择预定义的选项,并选择Windows管理规范(WMI)从下拉框。
5. 选择下一个。
6. 选择的复选框:
   • Windows管理规范(ASync-In)
   • Windows管理规范(WMI-In)
   • Windows管理规范(DCOM-In)
7. 选择下一个。
8. 选择完成。

提示:之后,您可以编辑预定义的规则创建并限制IP地址和端口连接域用户减少WMI的任何滥用的风险。

将GPO链接

1. 在组策略管理控制台,右键单击域或OU和选择现有GPO链接。
2. 选择站得住脚的NessusGPO的扫描。

配置窗口

1. 下Windows防火墙>Windows防火墙设置,使文件和打印机共享。
2. 使用gpedit.msc工具(通过运行提示),调用组策略对象编辑器。导航到本地计算机策略>管理模板>网络>网络连接>Windows防火墙>标准配置文件>Windows防火墙:允许入境文件和打印机例外,并启用它。
3. (Windows 8,早些时候只),而在组策略对象编辑器中,导航到本地计算机策略>管理模板>网络>网络连接>禁止使用互联网连接防火墙DNS域并设置它禁用或没有配置。

4. 启用远程注册表服务(默认禁用)。如果服务被设置手册(而不是启用插件id), 42897年至42898年期间,只有使注册表扫描。

   注意:启用这个选项配置站得住脚的Nessus尝试启动远程注册表服务开始前扫描。

   Windows提供的凭证站得住脚的Nessus扫描政策必须有管理权限启动远程注册表服务主机上被扫描。

5. 开放的TCP端口139年和445年之间的站得住脚的Nessus和目标。

6. 使用AutoShareServer(Windows Server)或AutoShareWks(Windows工作站上),启用以下默认管理股票:

   • IPC $

   • 管理美元

     注意:Windows 10禁用管理美元默认情况下。对于所有其他操作系统,这三个股票是默认启用,如果禁用默认情况下会引起其他问题。有关更多信息,请参见http://support.microsoft.com/kb/842715/en-us。

   • 加元

警告:虽然不推荐,您可以禁用Windows用户帐户控制(UAC)。

下一步要做什么:

• 查看先决条件Windows有资格的检查。

• 启用Windows登录本地和远程审计。

• 配置一个站得住脚的Nessus扫描窗口登录。