本トピック:
本トピックでは、サイトの認証資格情報を設定・テストする方法、それらを特定アセットまたはポートに制限する方法を、以前作成した認証資格情報を編集し利用を有効化する方法を学びます。
サイト内でスキャン認証資格情報(credentials)を設定する場合、2つのオプションがあります:
注意: 認証資格情報(credentials)のタイプを知るには、共有スキャンの認証資格情報(credentials)を管理するをご参照ください。
新規のサイト別スキャン認証資格情報(credentials)作成で最初に行う作業は、名前と説明を付けることです。当該認証資格情報(credentials)がどのアセットに使用されるのか、一目でわかる名前と説明を考えてください。これは、多数の認証資格情報(credentials)セットを管理しなければならない場合に特に有用です。
新規サイトの設定中に認証資格情報を追加する場合は、ホームページのサイトを作成ボタンをクリックします。
または
ページ上部の作成タブをクリックして、ドロップダウンリストからサイトを選択します。
既存のサイトに認証資格情報を追加するには、ホームページのサイト表でそのサイトの編集アイコンをクリックします。
注意: VMware NSXへの統合によりサイトを作成する場合、スキャン認証資格情報は編集できません(統合により、認証資格情報を別途提供するターゲットアセットへのアクセスが Nexpose に与えられるため不必要)。NSXネットワーク仮想化とスキャンを統合するをご覧ください。
どの認証サービスを選択すべきか、またはそのサービスにどの認証資格情報を使用すべきか分からない場合は、ネットワーク管理者にご相談ください。
注意: すべての認証資格情報(credentials)は、データベースに保存される前に、RSA暗号およびトリプルDES暗号により保護されます。
サイト認証資格情報(credentials)のアカウントを設定する
新しく作成した認証資格情報は スキャン認証資格情報 表に現れ、認証資格情報を管理 をクリックして表示できます。
サイト内のターゲットとなる資産に対して、認証資格情報を確認することができます。これは、スキャン実行前に認証資格情報(credentials)が正しいことを素早く確認できる方法です。
注意: ポート番号をを入力しない場合、セキュリティ・コンソールは当該サービスにデフォルトのポートを使用します。例えば、CIFS のデフォルトポートは 445 です。
注意: セキュアシェル(SSH)認証資格情報(credentials)またはセキュアシェル(SSH)パブリックキー認証資格情報(credentials)をテストする場合、および昇格された許可を割り当てた場合、両方の認証資格情報(credentials)がテストされます。ターゲットにおける認証の認証資格情報(credentials)が先にテストされ、不合格であった場合、メッセージが表示されます。許可昇格の不合格は、別のメッセージでレポートされます。非対称鍵暗号(asymmetric key encryption)をご覧ください。
サイト認証資格情報(credentials)のテスト成功
特定の認証情報セットが特定のアセットおよび/またはポートのみを対象としている場合、それに応じた認証資格情報(credentials)の使用を制限することができます。これにより、アセット上で認証を試行しても当該認証資格情報(credentials)が認識されなくなるので、スキャンを不必要に長く実行することを防止できます。
認証資格情報(credentials)を特定のアセットおよび/またはポートに制限すると、その他のアセットまたはポートでは使用できなくなります。
ポートを指定すると、特定の状況でスキャンされるポートの範囲を制限できます。例えば、HTTP認証資格情報(credentials)を利用したウェブアプリケーションのスキャンを考えているとしましょう。サイト内の全ウェブサービスのスキャンを回避するため、特定のポートを持つこれらのアセットのみを指定可能です。
または
認証資格情報(credentials)を制限するアセットのホスト名またはIPアドレスおよびポートの番号を入力します。
注意: ポート番号をを入力しない場合、セキュリティ・コンソールは当該サービスにデフォルトのポートを使用します。例えば、CIFS のデフォルトポートは 445 です。
ヒント: 特定のアセット上でのスキャン認証成功を確認するには、そのアセットのスキャンログを検索します。メッセージ「A set of [service_type] administrative credentials have been verified.([service_type] 管理認証資格情報のセットが確認されました)」がアセットと共に現れた場合、認証は成功しました。
認証資格情報のセットがサイト向けに有効化されていない場合、スキャンはこれらの認証資格情報によるターゲットアセットの認証を試行しません。利用するには、認証資格情報が有効化されていることを確認してください。
スキャン認証資格情報 表に、当該サイトのために作成されたサイト別認証資格情報(credentials)、または当該サイトに割り当てられた共有認証資格情報(credentials)がリストされます。詳細については、共有スキャンの認証資格情報(credentials)を管理するをご参照ください。
サイトの認証資格情報(credentials)セットを有効化する
注意: 共有スキャン認証資格情報(credentials)はサイト設定パネルでは編集できません。共有認証資格情報(credentials)を編集するには、管理ページに移動して共有スキャン認証資格情報(credentials)の管理リンクを選択します。以前作成された共有認証資格情報(credentials)を編集するをご参照ください。共有スキャン認証資格情報(credentials)を編集するにはグローバル管理者であるか、「サイトを管理」許可を有していなければなりません。
認証資格情報(credentials)を編集する能力は、特にパスワードを頻繁に変更する場合に非常に有用です。サイト別認証情報は サイト設定 パネルでのみ編集可能です。