如果应用程序在扫描的发现阶段识别出一项资产,它会根据指纹识别来自动判断应执行哪项漏洞检查。在扫描模板配置面板的漏洞检查页面,您可以手动配置扫描,以添加除了指纹识别指定的检查之外的更多检查。您还可以禁用一些检查。
不安全检查包括针对应用程序(如 IIS、Apache)和服务(如 FTP 和 SSH)的缓冲区溢出测试。其他检查包括某些数据库客户端的协议错误,它们能够引发系统故障。尽管看起来运行正常,但是,不安全扫描可能会导致系统崩溃或系统陷入不确定状态。扫描不太可能对目标系统造成任何永久损害。不过,如果系统中运行的进程在发生系统故障的情况下可能会导致数据损坏,那么,可能会出现意想不到的不良反应。
不安全检查的好处是,它们能够验证可预示拒绝服务攻击的漏洞,这些攻击会导致系统崩溃、服务终止或系统因过多服务被占用而无法执行任何任务,进而造成系统不可用。
您应该在下班以后为目标资产运行预定的不安全检查,然后,在扫描之后重新启动这些资产。在预生产环境中运行不安全检查,以测试资产对于拒绝服务条件的抵抗能力,这也是一个好主意。
如果您希望执行潜在漏洞检查,请选择适当的复选框。如需了解关于潜在漏洞的信息,请参见 设置扫描警报。
如果您想要关联可靠检查与定期检查,请选择适当的复选框。启用此项设置后,本应用程序可以赋予操作系统补丁检查更多信任,以尝试覆写其他可靠性较低的检查的结果。操作系统补丁检查比定期漏洞检查更为可靠,因为它们可以确定目标资产处于补丁级别,而这种情况被认为是既定攻击不可入侵的。例如,如果基于 HTTP 标志检查的 Apache 网络服务器漏洞检查的结果是肯定的,但是操作系统补丁检查确定 Apache 数据包已获得针对此特定漏洞的修补,则应用程序不会报告该漏洞。启用可靠的检查关联是减少误报的最佳做法。
注意: 如需使用检查关联,您必须使用含有补丁验证检查的扫描模板,而且,您一般必须在站点配置中加入登录凭证。参看 配置扫描凭证。
扫描模板可能会指定启用某些漏洞检查,这意味着应用程序仅会使用该模板针对这些漏洞检查类型或类别进行扫描。如果您没有特别启用任何漏洞检查,那么,您基本上需要启用所有漏洞检查,但被您特别禁用的漏洞检查除外。
扫描模板可能会指定禁用某些检查,这意味着应用程序会使用该模板针对这些漏洞检查类型或类别之外的所有漏洞进行扫描。也就是说,如果没有禁用任何检查,应用程序会对所有漏洞进行扫描。虽然穷举模板含有所有可能的漏洞检查,但是,全面审计和 PCI 审计模板会将更加耗时的政策检查排除在外。网络审计模板仅可以适当地扫描与网络相关的漏洞。
请注意修改漏洞检查设置的优先次序,有关此内容的描述位于页面的顶部。
在验证程序中,安全漏洞检查不会更改数据或者导致系统崩溃或中断。
ヒント: 如需查看某一类别包含哪些漏洞,请点击类别名称。
控制台会显示一个列出各种漏洞类别的方框。
ヒント: 按制造商命名的类别,如 Microsoft,可以作为按其产品命名类别的超集。例如,如果您选择 Microsoft 类别,那么您即默认包括了所有 Microsoft 产品类别,如 Microsoft Path 和 Microsoft Windows。这适用于其他"公司"类别,如 Adobe、Apple 和 Mozilla。
控制台会在漏洞检查页面上列出选中的类别。
注意: 如果您启用了任何特定的漏洞类别,那么,您隐式禁用了所有其他类别。因此,通过不启用特定类别的方式,您可以启用所有类别。
控制台会显示已删除这些类别的漏洞检查页面。
如需选择扫描类型,请执行以下操作:
ヒント: 如需查看某一检查类型包含哪些漏洞,请点击检查类型名称。
控制台会显示一个列出各种漏洞类型的方框。
控制台会在漏洞检查页面上列出选中的类型。
若要避免扫描在漏洞检查页面上列出的漏洞类型,请点击在漏洞检查页面上列出的类型:
控制台会显示已删除这些类型的漏洞检查页面。
下方表格列出了当前的漏洞类型以及针对每个类型执行的漏洞检查次数。此列表会有改动,不过,这是本指南出版时的最新内容。
| 漏洞类型 | 漏洞类型 |
|---|---|
| Default account | Safe |
| Local | Sun patch |
| Microsoft hotfix | Unsafe |
| Patch | Version |
| Policy | Windows registry |
| RPM |
如需选择特定漏洞检查,请执行以下操作:
控制台会显示一个方框,您可以在这里搜索数据库中的特定漏洞。
注意: 应用程序仅会检查与所扫描的系统相关的漏洞。即使您特别选中针对不兼容系统的检查,应用程序也不会执行该项检查。
方框会显示一个与您的搜索标准相匹配的漏洞名称表格。
控制台会显示搜索结果。
选中的漏洞会在漏洞检查页面上显示出来。
特定漏洞检查可能被加入一种以上的类型中。如果您启用了两种含有相同检查的漏洞类型,应用程序仅会运行一次该项检查。
扫描模板中含有的漏洞越少,扫描完成的速度就越快。人们很难估计利用漏洞测试实施所需的时间。相较于其他检查,某些检查可能需要更长时间。
下面是一些列子:
注意不要禁用过多检查或基本检查而牺牲准确度。在任何可能的时候,以专注的方式选择漏洞检查。如果您仅扫描网络资产,请启用与网络相关的漏洞检查。如果您要执行补丁验证扫描,请启用热修复补丁检查。
通过将相关检查划分到同一个扫描操作中,本应用程序旨在最大限度地降低扫描时间。这会显示开放连接的次数以及连接保持打开的时间间隔。对于单纯依赖软件版本编号的检查,本应用程序在提取版本信息之后无需与目标系统进行进一步通讯。
如果您已创建自定义漏洞检查,请使用自定义漏洞内容插件程序,以确保此类检查可以在您的扫描模板中进行选择。操作程序只需将检查漏洞复制到您的安全控制台安装目录中。
在 Linux 中,位置为您的安装路径根目录下的 plugins/java/1/CustomScanner/1 目录。例如:
[installation_directory]/plugins/java/1/CustomScanner/1
在 Windows 中,位置为您的安装路径根目录下的 plugins\java\1\CustomScanner\1 目录。例如:
[installation_directory]\plugins\java\1\CustomScanner\1
完成文件复制后,您可以在扫描模板配置中选择检查并立即使用这些检查。