本附录列出了可在 Nexpose 中使用的所有内置扫描模板。它介绍了关于每个模板的描述以及关于在何时使用模板的建议。
此模板含有政策管理器扫描功能,可验证互联网安全中心 (CIS) 基准合规。扫描能够运行应用程序层审计。政策检查需要认证目标上的管理凭据。不含有漏洞检查。
此扫描模板能够使用应用程序层审计方法在支持的 DISA 基准系统中执行国防信息系统局 (Defense Information Systems Agency, DISA) 政策合规测试。政策检查需要认证目标上的管理凭据。不含有漏洞检查。仅扫描默认端口。
此项针对所有网络资产的基础审计采用安全检查和不安全(拒绝服务)检查两种方式。此扫描不包含深入的补丁/热修复补丁检查、政策合规检查或应用程序层审计。您可以在预生产环境中运行拒绝服务扫描,以测试资产对于拒绝服务条件的抵抗能力。
此扫描可以在网络上寻找活跃资产并识别它们的主机名称和操作系统。此模板不含有枚举、政策或漏洞扫描。
您可以运行发现扫描,以编译关于所有网络资产的完整列表。然后,您可以将这些资产子集作为进行密集式漏洞扫描的目标,如使用穷举扫描模板。
这种快速而粗略的扫描可以在高速网络上寻找活跃资产并识别它们的主机名称和操作系统。系统以较高的速率发送数据包,这可能会触发 IPS/IDS 传感器、SYN 洪水保护以及有状态防火墙的排气状态。此模板不会执行枚举、政策或漏洞扫描。
此模板在范围方面与发现扫描相同,但它使用更多的线程,因此,它的扫描速度更快。权衡之下,使用此模板运行的扫描可能没有使用发现扫描模板那么彻底。
这种针对所有系统和服务的彻底的网络扫描仅使用安全检查,包括补丁/热修复补丁检查、政策合规评估以及应用程序层审计。此扫描可能需要历经几小时、甚至几天的时间才能完成,具体情况取决于目标资产的数量。
使用此模板运行的扫描十分彻底,但速度较慢。使用此模板针对少量资产运行密集式扫描。
此模板含有政策管理器扫描功能,可验证所有联邦桌面核心配置 (FDCC) 政策合规。此扫描可以在所有 Windows XP 和 Windows Vista 系统中运行应用程序层审计。政策检查需要认证目标上的管理凭据。不含有漏洞检查。仅扫描默认端口。
如果您为美国政府机构工作或者您是一名为政府服务的供应商,那么,使用此模板可以验证您的 Windows Vista 和 XP 系统对 FDCC 政策的合规性。
这种针对所有系统的全面网络审计仅使用安全检查,包括基于网络的漏洞、补丁/热修复补丁检查以及应用程序层审计。系统仅扫描默认端口并禁用政策检查,这可以让扫描速度比穷举扫描更快。此外,此模板不检查潜在漏洞。
使用此模板运行彻底的漏洞扫描。
这种全面网络审计仅使用安全检查,包括基于网络的漏洞、补丁/热修复补丁检查以及应用程序层审计。系统仅扫描默认端口并禁用政策检查,这可以让扫描速度比穷举扫描更快。它也不含有网络爬虫,这可以让扫描速度比含有网络爬虫的全面审计更快。此外,此模板不检查潜在漏洞。
这是默认的扫描模板。使用它运行“非传统型”快速漏洞扫描。
此模板使用 HIPAA 第 164.312 部分(“技术防护”)合规审计中的安全检查。此扫描会标记任何能够导致访问控制不足、审计不足、完整性缺失、认证不足或传输安全(加密)不足的情况。
使用此模板在受 HIPAA 管制的环境中扫描资产,这是 HIPAA 合规程序的部分内容。
这种渗透测试涵盖所有常见的互联网服务,如网页、FTP、邮件(SMTP/POP/IMAP/Lotus Notes)、DNS、数据库、Telnet、SSH 以及 VPN。此模板不含有深入的补丁/热修复补丁检查以及政策合规审计。
使用此模板在您的 DMZ 中扫描资产。
此扫描可以验证 RPM 补丁在 Linux 系统中的正确安装。为了获得最佳结果,请使用管理凭据。
使用此模板扫描运行 Linux 操作系统的资产。
此扫描可以验证热修复补丁和服务包在 Microsoft Windows 系统中的正确安装。为了获得最佳成功,请使用管理凭据。
使用此模板验证运行 Windows 的资产安装了热修复补丁。
之前被称为支付卡行业 (PCI) 审计
这种支付卡行业 (PCI) 合规审计仅适用安全检查,包括基于网络的漏洞、补丁/热修复补丁验证以及应用程序层测试。所有 TCP 端口和已知 UDP 端口均被扫描。不含有政策检查。
经批准的扫描供应商 (Approved Scanning Vendor, ASV) 应该使用此模板扫描资产,这是 PCI 合规程序的部分内容。对于您的内部 PCI 发现扫描,请使用 PCI 内部审计模板。
此模板旨在按照支付卡行业 (PCI) 数据安全标准 (DSS) 的要求发现漏洞。它含有所有基于网络的漏洞和网络应用扫描。它可以明确排除潜在漏洞以特定于外部周界的漏洞。
此模板旨在供您的企业执行以 PCI 合规为目的的内部扫描。
这种深入的全系统扫描仅使用安全检查。主机发现和网络渗透功能允许系统动态检测可能尚未被发现的资产。此模板不包含深入的补丁/热修复补丁检查、政策合规检查或应用程序层审计。
使用此模板,您可以发现初次扫描范围之外的资产。此外,使用此模板运行扫描十分有帮助,它可以用作执行正式渗透测试程序的先导。
这种针对所有网络资产的非侵入式扫描仅使用安全检查。此模板不包含深入的补丁/热修复补丁检查、政策合规检查或应用程序层审计。
此模板对于为您的网络执行快速的通用扫描而言十分有用。
这是针对所有系统的安全检查萨班斯-奥克斯利法案 (Sarbanes-Oxley, SOX) 审计。它可以检测到针对数字数据完整性、数据访问审计、责任性和可用性的威胁,如第 302 条(“公司对财务报告的责任”)、第 404 条(“管理层对内部控制的评价”)以及第 409 条(“发行人实时信息披露”)分别规定的要求。
使用此模板扫描资产,这是 SOX 合规程序的部分内容。
这是一种针对敏感的数据采集与监视控制 (Supervisory Control And Data Acquisition, SCADA) 的系统“礼貌型”或主动性降低型网络审计,仅使用安全检查。数据包拦截延迟的情况增多;发送数据包的时间间隔增加;协议握手被禁用;以及针对资产的同时网络访问被限制。
使用此模板扫描 SCADA 系统。
此模板含有政策管理器扫描功能,可验证所有美国政府配置基准 (USGCB) 政策合规。此扫描可以在所有 Windows 7 系统中运行应用程序层审计。政策检查需要认证目标上的管理凭据。不含有漏洞检查。仅扫描默认端口。
如果您为美国政府机构工作或者您是一名为政府服务的供应商,那么,使用此模板可以验证您的 Windows 7 系统对 USGCB 政策的合规性。
这种针对所有网络服务器和网络应用的审计适用于面向公众的资产及内部资产,包括应用程序服务器、ASP 和 CGI 脚本。此模板不含有补丁检查或政策合规审计。它也不会扫描 FTP 服务器、电子邮件服务器或数据库服务器,这些工作都应该由 DMZ 审计扫描模板来完成。
使用此模板扫描面向公众的网络资产。