本应用程序提供了保护您的凭证不被未经授权使用的功能。它使用加密法安全地保存和传输凭证,所以任何终端用户都不能检索被保存以用于扫描的未加密密码或密钥。全局管理员可以将添加或编辑的权限只分配给应该拥有此访问级别的用户。若需更多信息,请参看 管理用户和认证。在创建密码时,一定要使用标准最佳实践,如长复杂字符串结合大小写字母、数字和特殊字符。
如果您计划对 Windows 资产运行认证扫描,请牢记与自动化 Windows 认证相关的一些安全策略。被盗用或未受信任的资产可能被用于从尝试使用凭证登录资产的系统中盗取信息。这种攻击方法会威胁任何使用自动化认证的网络组件,如备份服务或漏洞评估产品。
您可以使用许多应对措施以帮助阻止此类攻击或减少其影响。例如,确保用于 InsightVM 的 Windows 密码包含随机生成的 32 位或更多字符。定期修改这些密码。
在 https://community.rapid7.com/docs/DOC-2881 查看白皮书,了解关键策略和减缓技巧。