您可以创建和管理用于多个站点的扫描凭证。如果您需要在多个站点中数量极多的资产中运行认证扫描,而这些站点需要相同的凭证,那么使用共享凭证能节省很多时间。如果这些凭证经常改变,这样做也很有帮助。例如,您企业的安全政策可能需要一组凭证每 90 天更改一次。您可以在一个位置每 90 天编辑一次此凭证组,再将更改应用到使用凭证的每个站点。这样就免去了每 90 天在每个站点更改凭证的需要。
您必须拥有全局管理员角色或带有管理站点权限的自定义角色才能配置共享凭证。
注意: 若要了解共享凭证与特定站点凭证的区别,可参看 共享凭证与特定站点凭证。
创建一组共享扫描凭证包括以下操作:
创建一组共享扫描凭证后,您可以按以下步骤对其管理:
ヒント: 想出一个名称和描述,帮助站点拥有者一眼即能识别出凭证用于哪些资产。
安全控制台将显示共享扫描凭证配置面板的一般页面。
配置账户包括选择认证方法或服务以及提供认证所需的所有设置,如用户名和密码。
如果您不知道为该服务选择什么认证服务或者使用什么凭证,请咨询您的网络管理员。
您可以通过已输入的凭证验证您的目标资产是否会认证扫描引擎。这是在运行扫描前确保凭证是正确的快速方法。
ヒント: 若要验证具体资产的扫描认证是否成功,可搜索此资产的扫描日志。如果“一组 [service_type] 管理凭证已验证完成。”的消息与资产一同显示,则表明认证成功。
对于共享扫描凭证,在单个资产成功的认证测试不保证在使用此凭证的所有站点均认证成功。
注意: 如果您未输入端口号,安全控制台将用默认端口进行该服务。例如,CIFS 的默认端口为 445。
请注意测试的结果。如果测试不成功,请查看并按需要修改您的输入词条,并再次测试。
如果某一套特别凭证只应用于一个特定的资产和/端口,那么您可以据此限制使用凭证。这样做可以阻止由于在不识别凭证的资产上尝试认证导致扫描运行时间不必要的过长。
如果您将凭证限制在某特定资产和/或端口内,那么它们将不会被用于其他资产或端口。
指定一个端口允许您在某些情况下限制被扫描端口的范围。例如,您可能想使用 HTTP 凭证扫描网络应用。为了避免扫描一个站点内的所有网络服务,您可以在一个特定端口仅指定这些资产。
注意: 如果您未输入端口号,安全控制台将用默认端口进行该服务。例如,CIFS 的默认端口为 445。
您可以分配一组共享凭证到一个或多个站点。这样,它们会出现在这些站点配置的可用凭证列表中。站点拥有者仍需要在站点配置中启用凭证。参看 配置扫描凭证。
按以下步骤分配共享凭证到站点:
如果您选择后者,则安全控制台将显示选择站点的按钮。
安全控制台将显示站点表格。
所选站点会出现在站点分配页面。
安全控制台将显示管理页面。
安全控制台将显示带有表格的页面,表格列出了每组共享的凭证和相关的配置信息。
编辑凭证的能力十分有用,尤其在密码频繁变换的情况下。
安全控制台将显示管理页面。
安全控制台将显示带有表格的页面,表格列出了每组共享的凭证和相关的配置信息。