在 Windows 上进行认证：最佳方法

在扫描 Windows 资产时，我们建议您使用域名或本地管理员账户以获得最精准的评估。管理员账户拥有访问的合适级别，包括注册权限、文件系统权限、使用通用 Internet 文件系统 (CIFS) 或 Windows 管理规范 (WMI) 读取权限远程连接的能力。一般来说，用于扫描的账户权限级别越高，结果就会越详尽。如果您没有访问权，或想限制本应用程序内的域或本地管理员账户的使用，则您可以使用拥有以下权限的账户：

• 此账户应能够远程登录且不被限制于访客访问。
• 此账户应能够读取与已安装软件和操作系统信息相关的注册和文件信息。

注意: 如果您没有使用管理员权限，则您不会被授予管理员共享的访问权，而需要创建非管理员共享以读取访问这些共享的文件系统。

InsightVM 和网络环境应按以下方式配置：

• 对于扫描域控制器，您必须使用一个域管理员账户，因为本地管理员不存在于域控制器中。
• 确保没有防火墙阻止从 InsightVM 扫描引擎到端口 135、139 或 445（见注）和在 Windows 端点上用于 WMI 的高位随机端口的通信。您可以通过 WMI 组政策对象 (GPO) 设置为 WMI 设置随机高位端口范围。

注意: 推荐端口 445，因为它更有效率，而且当 Windows 网络中存在名称冲突时它可以继续运作。

• 如果在您的扫描中使用一个域管理员账户，请确保域管理员也是本地管理员组的成员。否则，域管理员将被视为非管理用户。如果域管理员不是本地管理员的成员，那么他们将受限无访问权，并且用户账户控制 (UAC) 亦会在采取一下步前阻止其访问。
• 如果您正在使用 UAC 本地管理员，则您必须添加一个 DWORD 注册密钥值 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy 并把此值设置为 1。确保添加的是一个 DWORD 而不是字符串。
• 如果在扫描引擎主机上运行一个杀毒工具，请确保杀毒工具将本应用程序和应用程序向网络发送和接受自网络的所有通信列入白名单中。杀毒工具检查通信的可能导致出现性能问题和潜在的虚报错误。
• 通过本使用应用程序中的测试凭证功能，验证被使用的账户是否可以登录到一个或多个被评估的资产。
• 如果您正在使用 CIFS，请确保被扫描的资产启用了远程注册服务。如果您正在使用 WMI，则远程注册服务不是必须选项。

如果您的企业政策限制或阻止任何所列的配置方法，或者您未得到预期的结果，则请联系技术支持。