Windows上での認証：最良の慣行

Windowsアセットをスキャンする場合、最も正確なアセスメントを得るため、ドメインまたはローカル管理者アカウントを使用することをお薦めします。管理者アカウントは、レジストリ許可、ファイルシステム許可、および共通インターネット・ファイルシステム（CIFS）またはWindows Management Instrumentation（WMI）読み込み許可を利用して遠隔接続する能力を含む、適切なアクセスレベルを持っています。一般に、スキャンに使用するアカウントの許可レベルが高いと、結果がより網羅的になります。アクセス権を持っていない、または本アプリケーション内でのドメインまたはローカル管理者アカウントの使用を制限したい場合は、以下の許可を持つアカウントを使用可能です：

• 当該アカウントは遠隔でログオンできるべきであり、ゲストアクセスに制限されるべきではありません。
• 当該アカウントは、インストール済みのソフトウェアやオペレーティング・システムの情報に関するレジストリおよびファイル情報を、読み込み可能であるべきです。

注意: 管理者許可を使用していない場合は、管理者シェアおよび非管理者シェアへのアクセス権は与えられず、これらのシェアに関するファイルシステムへの読み込みアクセスのために作成される必要があります。

また、Nexposeおよびネットワーク環境は、以下の設定が必要です：

• スキャンドメイン制御については、ドメイン管理者アカウントを使用しなければなりません。なぜなら、ドメイン制御上にはローカル管理者が存在しないからです。
• Nexposeスキャン・エンジンからポート135、139または445（注記参照）、およびWindowsエンドポイント上のWMIの無作為ハイポートへのトラフィックをブロックするファイアウォールが一切ないことを確認してください。WMIグループポリシーオブジェクト（GPO）設定を利用して、WMIの無作為ハイポート範囲を設定可能です。

注意: ポート445はより効率的であり、Windowsネットワーク上に名前の不一致がある場合にも機能し続けますので、推奨されます。

• スキャンにドメイン管理者アカウントを使用する場合は、そのドメイン管理者もローカル管理者グループのメンバーであることを必ず確認してください。メンバーでない場合、ドメイン管理者は非管理ユーザーとして扱われます。ドメイン管理者がローカル管理者のメンバーでない場合、アクセス権なしに制限される場合があり、以下の措置を講じない限り、彼らのアクセスはユーザーアカウント制御（UAC）によってもブロックされます。
• UACを持つローカル管理者を使用している場合、DWORDレジストリキー値HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicyを追加し、その値を1に設定しなければなりません。それがDWORDであり、文字列（string）ではないことを確認してください。
• スキャン・エンジン・ホスト上でアンチウイルス・ツールが実行されている場合、アンチウイルスのホワイトリストには、本アプリケーションおよび、本アプリケーションが送受信する、全てのネットワークトラフィックを記載してください。トラフィックを検証するアンチウイルスがあると、パフォーマンスに関する問題や、潜在的な誤検知に繋がる場合があります。
• 該当するアカウントが、本アプリケーションの評価対象である、1つ以上のアセットへのログオンの認証資格情報（credentials）テストにおいて使用可能であることを確認してください。
• CIFSを使用する場合は、スキャンされるアセットで遠隔レジストリサービスが有効化されていることを確認してください。WMIを使用する場合は、遠隔レジストリサービスは必要ありません。

リストされている設定方法のいずれかが組織のポリシーにより制限/防止されている場合、または予測される結果が得られない場合は、技術サポートまでご連絡ください。