有效利用扫描信息取决于您的企业如何分析和分布信息、谁能看到信息、用于什么目的。管理访问本应用程序中的信息包括创建资产组、分配角色和用户权限。本章节介绍了管理用户、角色和权限的最佳实践和指南。
研究角色和权限映射到您的企业结构的方式将很有帮助。
注意: 一项用户认证系统已被加入。但是,如果您的企业已使用包括 Microsoft 活动目录或 Kerberos 的认证服务,最佳实践则是将本应用程序与此服务整合。使用一种服务免去了必须管理两组用户信息集的麻烦。
在小型公司中,一个人可能需处理所有安全任务。此人将成为全局管理员、启动扫描、查阅报告并执行修复。或者,可能是一个小团队共享整个系统的访问特权。无论哪种情况,都没有必要创建多个角色,因为所有网络资产可以被加入一个站点中,只需要一个扫描引擎。
某公司是家大型公司。此公司的网络范围更广、更复杂,跨越多个物理位置和 IP 地址段。每一段都有自己专门管理仅此区段安全的支持团队。
一个或两个全局管理员负责创建用户账户、维护系统和为公司所有资产生成高级别的执行报告。他们为不同的网络段创建站点。他们分配安全管理器、站点管理员和系统管理员,以为这些站点运行扫描和分布报告。
全局管理员亦创建各种资产组。一些集中于小型的资产子集。这些组中的非管理用户负责修复漏洞和在后续扫描运行后生成报告,验证修复是否成功。其他资产组将更全面,但在范围上粒度化更小。这些组中的非管理用户是高级管理员,可以查看执行报告,追踪公司漏洞管理计划中的进度。
无论创建自定义角色或分配账户预设角色,均取决于几个问题:您希望账户所有者执行什么任务?用户可以看见什么数据?用户不应看见什么数据?
例如,一个安全团队中支持工作站的管理员可能需要偶尔运行扫描,然后将报告分布到团队成员,以追踪严重漏洞和优先修复任务。对于可访问某一站点的资产拥有者角色,且此站点仅包括工作站而无其他资产(如数据库服务器),这个账户可能是很好的选择。
注意: 请记住,除了全局管理员角色,分配自定义或预设角色是与对站点和资产组的访问相互依靠的。
如果您想分配具有特定权限集的角色,您可以创建自定义角色。以下表格列出并描述了可用的所有权限。一些权限需要授予其他权限才能有用。例如,为了能够创建报告,用户必须能够查看所报告站点或资产组的资产数据,而此用户必须被授予对此站点或资产组的访问权。
这些表格也指出了哪些角色包括了每种权限。您或许会发现某些角色对一已知账户具有足够的粒度或包容性。它们包括的一系列预设角色和权限均遵循以下权限表格。参看 给予用户对资产组的访问权。
这些权限自动适用于所有站点和资产组,不需要额外、特定的访问权。
| 权限 | 描述 | 角色 |
|---|---|---|
| Manage Sites(管理站点) | 创建、删除和配置站点的所有属性,用户访问权除外。可以隐式访问所有站点。管理共享扫描凭证。其他受影响权限: 选择此权限后,所有站点权限自动被选中。参看站点权限。 | 全局管理员 |
| Manage Scan Templates(管理扫描模板) | 创建、删除和配置扫描模板的所有属性。 | 全局管理员 |
| Manage Report Templates(管理报告模板) | 创建、删除和配置报告模板的所有属性。 | 全局管理员、 安全管理器和站点拥有者、 资产拥有者、 用户 |
| Manage Scan Engines(管理扫描引擎) | 创建、删除和配置扫描引擎的所有属性;配对扫描引擎和安全控制台。 | 全局管理员 |
| Manage Policies(管理政策) | 复制现有政策;编辑和删除自定义政策。 | 全局管理员 |
| Appear on Ticket and Report Lists(出现于票证和报告列表中) | 出现于用户列表中以用于被分配修复票证和查看报告。 先决条件: 拥有此权限的用户必须亦拥有在任何相关站点或资产组查看资产的权限:查看站点资产数据;查看组资产数据 |
全局管理员、 安全管理器和站点拥有者、 资产拥有者、 用户 |
| Configure Global Settings(配置全局设置) | 配置应用于整个环境的设置,例如风险评分和从所有扫描中排除资产。 | 全局管理员 |
| Manage Tags(管理标签) | 创建标签、配置其属性。删除除内置关键度标签外的标签。 可以隐式访问所有站点。 | 全局管理员 |
这些权限仅适用于用户已被授予访问权的站点。
| 权限 | 描述 | 角色 |
|---|---|---|
| View Site Asset Data(查看站点资产数据) | 查看关于可访问站点中的所有资产的已发现信息,包括 IP 地址、已安装软件以及漏洞。 | 全局管理员、 安全管理器和站点拥有者、 资产拥有者、 用户 |
| Specify Site Metadata(指定站点元数据) | 输入站点描述、重要性评级和企业数据。 | 全局管理员、 安全管理器和站点拥有者 |
| Specify Scan Targets(指定扫描目标) | 添加或移除在站点扫描中的 IP 地址、地址范围和主机名称。 | 全局管理员 |
| Assign Scan Engine(分配扫描引擎) | 分配扫描引擎到站点。 | 全局管理员 |
| Assign Scan Template(分配扫描模板) | 分配扫描模板到站点。 | 全局管理员、 安全管理器和站点拥有者 |
| Manage Scan Alerts(管理扫描警报) | 创建、删除和配置警报的所有属性以通知用户扫描相关事件。 | 全局管理员、 安全管理器和站点拥有者 |
| Manage Site Credentials(管理站点凭证) | 提供对受密码保护的资产进行深层扫描所需的登录凭证。 | 全局管理员、 安全管理器和站点拥有者 |
| Schedule Automatic Scans(预定自动扫描) | 创建和编辑站点扫描预定。 | 全局管理员、 安全管理器和站点拥有者 |
| Start Unscheduled Scans(开始未预定扫描) | 手动启动针对可访问站点的一次性扫描(但不具备配置扫描设置的能力)。 | 全局管理员、 安全管理器和站点拥有者、 资产拥有者 |
| Purge Site Asset Data(清除站点资产数据) |
手动从可访问的站点中移除资产数据。 先决条件: 拥有此权限的用户必须也拥有以下一项权限:查看站点资产数据;查看组资产数据 |
全局管理员 |
| Manage Site Access(管理站点访问) | 授予和移除用户对站点的访问权。 | 全局管理员 |
这些权限仅适用于用户已被授予访问权的资产组。
| 权限 | 描述 | 角色 |
|---|---|---|
| Manage Dynamic Asset Groups(管理动态资产组) |
创建动态资产组。删除和配置可访问的动态资产组的所有属性,用户访问权除外。可以隐式访问所有站点。 注:拥有此权限的用户有能力查看您企业中的所有资产数据。 |
全局管理员 |
| Manage Static Asset Groups(管理静态资产组) |
创建静态资产组。删除和配置可访问的静态资产组的所有属性,用户访问权除外。 先决条件: 拥有此权限的用户必须亦拥有以下权限和对至少一个站点的访问权以有效管理静态资产组:管理组资产;查看组资产数据 |
全局管理员 |
| View Group Asset Data(查看组资产数据) | 查看关于可访问资产组中的所有资产的已发现信息,包括 IP 地址、已安装软件以及漏洞。 | 全局管理员、 安全管理器和站点拥有者、 资产拥有者、 用户 |
| Manage Group Assets(管理组资产) |
添加或移除静态资产组中的资产。 注: 此权限不包括删除标的资产定义或已发现资产数据的能力。先决条件:拥有此权限的用户必须也拥有以下权限:查看组资产数据 |
全局管理员 |
| Manage Asset Group Access(管理资产组访问) | 授予和移除用户对资产组的访问权。 | 全局管理员 |
创建报告权限只适用于用户已被授予访问权的资产。其他报告权限不受任何种类的访问权限制。
| 权限 | 描述 | 角色 |
|---|---|---|
| Create Reports(创建报告) |
创建和拥有可访问资产的报告;配置已拥有报告的所有属性,用户访问权除外。 先决条件: 拥有此权限的用户必须也拥有以下一项权限:查看站点资产数据;查看组资产数据 |
全局管理员、 安全管理器和站点拥有者、 资产拥有者、 用户 |
| Use Restricted Report Sections(使用受限制的报告区段) |
创建带有受限制区段的报告模板;配置报告使用带有受限制区段的模板。 先决条件:拥有此权限的用户必须也拥有以下一项权限:管理报告模板 |
全局管理员 |
| Manage Report Access(管理报告访问) | 授予和移除用户对已拥有报告的访问权。 | 全局管理员 |
这些权限仅适用于用户已被授予访问权的资产。
| 权限 | 描述 | 角色 |
|---|---|---|
| Create Tickets(创建票证) |
创建漏洞修复任务的票证。 先决条件: 拥有此权限的用户必须也拥有以下一项权限:查看站点资产数据;查看组资产数据 |
全局管理员、 安全管理器和站点拥有者、 资产拥有者、 用户 |
| Close Tickets(关闭票证) |
关闭或删除漏洞修复任务的票证。 先决条件: 拥有此权限的用户必须也拥有以下一项权限:查看站点资产数据;查看组资产数据 |
全局管理员、 安全管理器和站点拥有者、 资产拥有者、 用户 |
这些权限仅适用于用户已被授予访问权的站点或资产组。
| 权限 | 描述 | 角色 |
|---|---|---|
| Submit Vulnerability Exceptions(提交漏洞例外情况) | 提交从报告中排除漏洞的请求。 先决条件: 拥有此权限的用户必须也拥有以下一项权限:查看站点资产数据;查看组资产数据 |
全局管理员、 安全管理器和站点拥有者、 资产拥有者、 用户 |
| Review Vulnerability Exceptions(审阅漏洞例外情况) |
批准或拒绝从报告中排除漏洞的请求。 先决条件: 拥有此权限的用户必须也拥有以下一项权限:查看站点资产数据;查看组资产数据 |
全局管理员 |
| Delete Vulnerability Exceptions(删除漏洞例外情况) |
删除漏洞例外情况和例外情况请求。 先决条件: 拥有此权限的用户必须也拥有以下一项权限:查看站点资产数据;查看组资产数据 |
全局管理员 |
全局管理员角色与所有其他预设角色有几点不同。它不受站点或资产组访问权限制。它包括任何其他预设或自定义角色可用的所有权限。它也包括自定义角色不可用的权限:
安全管理器和站点拥有者角色包括以下权限:
这两个角色的唯一区别在于,安全管理器有在可访问的站点和资产组工作的能力。而站点拥有者角色却受限于站点。
资产拥有者角色包括在可访问的站点和资产组中的以下权限:
“用户”一般可以指一个 InsightVM 账户的任何拥有者,而 U 字母大写的名称用户 (User) 指一项预设角色。 这是不包括扫描权限的唯一角色。用户角色包括在可访问的站点和资产组中的以下权限:
此角色提供了对 ControlsInsight 的完全访问权,但不可访问 Nexpose。
通过管理页面的用户链接,可访问创建和管理用户账户的页面。点击用户旁边的管理可查看用户页面。在此页面,您可以查看企业内的所有账户列表。每个账户的最后登录日期和时间都会显示出来,您能够监控使用情况并删除不再使用的账户。
本应用程序将显示用户配置面板。编辑账户的过程与创建新用户账户的过程相同。参看 配置一般用户账户属性。
将出现一个对话框,询问您是否确认想删除此账户。
如果此账户已被用来创建报告,或如果此账户已被分配了一个票证,那么本应用程序将显示一个对话框,提示您重新分配或删除上述报告或票证。您可以选择删除有关闭问题的报告或票证、或含有过期信息的旧报告。
您可以在用户配置面板指定一般用户账户的属性。
若要配置用户账户属性:
在创建外部认证用户账户前,您必须定义外部认证来源。参看 使用外部来源用以用户认证。
您可以稍后再点击复选框,移除复选标记,不删除账户而将其禁用。
分配角色和权限给新用户可让您控制此用户对安全控制台功能的访问。
若要分配角色和权限给新用户:
选择一个角色后,安全控制台会显示此角色的简要说明。
如果您选择了五个默认角色之一,则安全控制台会自动选择此角色的相应复选框。
全局管理员自动拥有所有站点的访问权。安全管理器、站点管理员、系统管理员或非管理用户只拥有全局管理员授予某些站点的访问权。
若要给予用户对特定站点的访问权:
新站点将出现在站点访问页面。
全局管理员自动拥有所有资产组的访问权。站点管理员用户不可访问资产组。安全管理器、系统管理员或非管理用户只拥有全局管理员授予某些资产组的访问权。
若要给予用户对资产组的访问权:
安全控制台将显示列出您企业中所有资产组的方框。
新资产组将出现在资产组访问页面。
您可以将 InsightVM 与外部认证来源整合。如果您使用一种此类来源,那么利用现有基础设施将使得管理用户账户更容易。
本应用程序对两种来源提供单点登录外部认证:
本应用程序也继续支持其两个内部用户账户存储器:
在创建外部认证用户账户前,您必须定义外部认证来源。
安全控制台将显示标记为 LDAP/AD 配置的方框。
注意: 建议您对 LDAP 服务器配置输入全部大写字母的完全符合资格的域名。例如:SERVER.DOMAIN.EXAMPLE.COM
默认 LDAP 端口号为 389 或 636,后者用于 SSL。带有全域目录的 Microsoft AD 的默认端口号是 3268 或 3269,后者用于 SSL。
注意: 不建议您将 PLAIN 用于非 SSL LDAP 连接。
在 RFC 2222 (http://www.ietf.org/rfc/rfc2222.txt) 文档中,用于准许 LDAP 用户认证的简单认证与安全层 (SASL) 认证方法系由互联网工程任务小组定义。本应用程序支持使用 GSSAPI、CRAM-MD5、DIGEST-MD5、SIMPLE 和 PLAIN 方法。
当本应用程序尝试认证用户时,它会询问目标 LDAP 服务器。此服务器中的 LDAP 和 AD 目录可能包含关于其他目录服务器的信息,这些目录服务器能够处理未在目标目录中定义的环境的请求。在这种情况下,目标服务器将向本应用程序返回一条指示消息,而稍后便会联系这些其他的 LDAP 服务器。若需关于 LDAP 指示的信息,请参看文档 LDAPv3 RFC 2251 (http://www.ietf.org/rfc/rfc2251.txt)。
若要强制本应用程序在树内的特定部分搜索,则指定一个搜索基准,如 CN=sales、DC=acme、DC=com。
您的属性映射选择将影响那些默认值出现在下方的三个字段内。例如,LDAP 属性登录 ID映射到用户登录 ID。如果您选择 AD 映射,则默认值为 sAMAccountName。如果您选择 AD 全域目录映射,则默认值为 userPrincipalName。如果您选择通用 LDAP 映射,则默认值为 uid。
安全控制台将显示认证页面,列有 LDAP/AD 认证来源。
若要添加一个 Kerberos 认证来源:
安全控制台将显示标记为 Kerberos 域配置的方框。
安全控制台将显示默认域无法禁用的警告。
安全控制台将显示认证页面,列有新的 Kerberos 分布中心。
当您定义了外部认证来源后,您便可以为通过这些来源认证的用户创建账户。
安全控制台将显示用户配置面板。
在一般页面,认证方法下拉列表含有您在安全控制台配置文件中定义的认证来源。
注意: 如果您通过外部认证作为用户登录到界面,再点击任何页面右上角的用户名链接,那么安全控制台将显示您的账户信息,包括密码;但即使您在此页面更改密码,本应用程序也不会实施此变更。
内置的用户存储认证由 InsightVM 用户选项表示。
活动目录选项指示了您在安全控制台配置文件中指定的 LDAP 认证来源。
如果您选择了某外部认证来源,则本应用程序会禁用密码字段。本应用程序无法更改由外部来源认证的用户的密码。
如果您正通过 Kerberos 认证用户,那么您可以指定可用于与 Kerberos 连接的票证加密类型,从而增加这些连接的安全性。按以下步骤实现此目的:
default_tkt_enctypes=<encryption_type encryption_type>
您可以指定任何以下票证加密类型:
例如:
default_tkt_enctypes= aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
更改将在下次启动时应用。
全局管理员可在安装 InsightVM 时自定义密码政策。这样做的一个原因是使其配置符合您企业的特定密码标准。
注意: 若您更新了密码政策,该政策将对新用户或者在现有用户更改其密码时生效。现有用户不强制更改密码。
若要自定义密码政策:
导航至密码政策配置
注意: 如果您不想限制最大长度,则将最大长度设置为 0。
例如:此政策被命名为测试政策,且限制其最小长度为 8 个字符,最大长度为 24 个字符,包含至少一个大写字母、至少一个数字值及至少一个特殊字符。
设置了密码政策后,用户配置页面将执行该政策。
输入新密码时,要求列表中的项目会随着得到满足的密码要求而由红色变为绿色。
用户输入新密码时,列表上的要求会因得到满足而由红色变为绿色。
如果用户试图保存未满足所有要求的密码,系统将显示错误信息。