在本主题中:
在本主题中,您将了解如何为站点设置和测试凭证,如何将它们的使用限制在特定的资产或端口,以及如何编辑和启用之前创建的凭证的使用。
关于在站点中配置扫描凭证,您有两种选择:
注意: 若要了解凭证类型,可参看 管理共享扫描凭证。
创建全新特定站点扫描凭证的第一步是对其命名和描述。想出一个名称和描述,帮助您一眼即能识别出凭证用于哪些资产。这点十分有用,尤其当您必须管理许多套凭证时。
如果您要在配置新站点的同时添加凭证,在主页页面,点击创建站点按钮。
或者
点击页面顶部的创建标签,然后在下拉列表中选择站点。
如果您想为现有站点添加凭证,则点击主页页面站点表格中的编辑图标。
注意: 如果您通过与 VMware NSX 整合创建了该站点,则不能编辑扫描凭证,该过程不需要扫描凭证,因为该整合流程向 InsightVM 提供了凭证同样将提供的对目标资产的访问深度。请参见将 NSX 网络虚拟化与扫描整合。
如果您不知道为该服务选择什么认证服务或者使用什么凭证,请咨询您的网络管理员。
注意: 所有凭证在保存于数据库前均以 RSA 加密和三重 DES 加密保护。
配置站点凭证的账户
新创建的凭证会显示在扫描凭证表格中,您可以点击管理认证查看该表格。
您可以通过已输入的凭证验证您站点中的目标资产是否会认证扫描引擎。这是在运行扫描前确保凭证是正确的快速方法。
注意: 如果您未输入端口号,安全控制台将用默认端口进行该服务。例如,CIFS 的默认端口为 445。
注意: 如果您正在测试安全外壳 (SSH) 或安全外壳 (SSH) 公开密钥凭证,且您已分配提升的权限,则两个凭证都将被测试。目标中的认证凭证会首先被测试,如果凭证无效则会出现一条消息。权限提升无效系以单独一条消息报告。请参见使用 SSH 公开密钥认证。
一次站点凭证的成功测试
如果某一套特别凭证只应用于一个特定的资产和/端口,那么您可以据此限制使用凭证。这样做可以阻止由于在不识别凭证的资产上尝试认证导致扫描运行时间不必要的过长。
如果您将凭证限制在某特定资产和/或端口内,那么它们将不会被用于其他资产或端口。
指定一个端口允许您在某些情况下限制被扫描端口的范围。例如,您可能想使用 HTTP 凭证扫描网络应用。为了避免扫描一个站点内的所有网络服务,您可以在一个特定端口仅指定这些资产。
或者
输入您想将凭证限制在某资产和端口内的资产主机名或 IP 地址和端口号。
注意: 如果您未输入端口号,安全控制台将用默认端口进行该服务。例如,CIFS 的默认端口为 445。
ヒント: 若要验证具体资产的扫描认证是否成功,可搜索此资产的扫描日志。如果“一组 [service_type] 管理凭证已验证完成。”的消息与资产一同显示,则表明认证成功。
如果未启用某站点的一套凭证,则扫描时不会尝试用这些凭证对目标资产进行认证。如果您想使用凭证,请务必启用这些凭证。
扫描凭证表格列出了为站点创建的任何特定站点凭证或分配到站点的任何共享凭证。若需要更多信息,可参看 管理共享扫描凭证。
为某一站点启用一套凭证
注意: 您无法在站点配置面板编辑共享扫描凭证。若要编辑共享凭证,则前往管理页面,选择共享扫描凭证的管理链接。参看。 编辑先前创建的共享凭证。您必须是全局管理员或拥有管理站点权限才能编辑共享扫描凭证。
编辑凭证的能力十分有用,尤其在密码频繁变换的情况下。您只可以在站点配置面板中编辑特定站点凭证。