本アプリケーションには、認証資格情報(credentials)を認可されていない利用から保護する機能があります。暗号化を利用して認証資格情報(credentials)を安全に保管し送信しますので、一度スキャンのために保管されると、非暗号化されたパスワードまたはキーをエンドユーザーが回収することはできません。グローバル管理者は、認証資格情報(credentials)を追加・編集するための許可を、当該アクセスレベルを持つべきユーザーにのみ割り当て可能です。詳細については、管理者ガイドのユーザーおよび認証資格情報(credentials)を管理するの、をご参照ください。パスワード作成時には、大文字および小文字、数字、特殊文字を組み合わせた長く複雑なストリングといった、標準的なベストプラクティスを必ず用いてください。
Windowsアセット上で認証されたスキャンを実行する予定である場合、自動Windows認証に関連するセキュリティ戦略を念頭に置いてください。感染した、または信頼できないアセットは、認証資格情報(credentials)でログオンを試行してシステムから情報を盗むのに利用される可能性があります。この攻撃方法は、バックアップサービスや脆弱性アセスメント製品といった、自動認証を使用するあらゆるネットワークコンポーネントにとって脅威です。
この種の攻撃を防止する、またはその影響を軽減するために講じることが可能な対抗措置が、いくつかあります。例えば、Nexpose のWindowsパスワードに必ず、無作為に生成された 32 文字以上を含めるようにすることです。そして、これらのパスワードを定期的に変更することです。
主な戦略および被害を軽くする手法については、https://community.rapid7.com/docs/DOC-2881のホワイトペーパーをご参照ください。