Windows での認証チェック

このドキュメントの手順に従って、ローカルセキュリティチェック用に Windows システムを設定します。

注意: 一部のローカルチェックを実行する場合、Tenable Nessus ではホストで PowerShell 5.0 以降が実行されていることを必要とします。

ヒント: Tenable Nessus と互換性のある Windows オペレーティングシステムについては、Tenable Nessus ソフトウェア要件を参照してください。

前提条件

この処理を始める前に、次のような Windows での認証チェックをブロックする場所のセキュリティポリシーがないことを確認してください。

  • Windows セキュリティポリシー

  • ローカルコンピューターポリシー (たとえば、このコンピューターへのネットワーク経由のアクセスを拒否、ネットワーク経由でのアクセスなど)

  • ウィルス対策またはエンドポイントのセキュリティルール

  • IPS/IDS

認証スキャン用のアカウントを設定する

Windows 認証情報に関して最も重要なのは、チェックの実行に使用されるアカウントには、必要なすべてのファイルとレジストリエントリにアクセスする権限が必要であるということです。多くの場合、管理権限が必要となります。Tenable Nessus に管理アカウントの認証情報を提供しない場合、Nessus で実行できるのは、レジストリでパッチの有無をチェックすることだけです。これもインストール済みのパッチを確認するための有効な方法ではありますが、ポリシーにキーを設定しないサードパーティ製のパッチ管理ツールとは互換性がありません。Tenable Nessus に管理権限がある場合は、リモートホストのダイナミックリンクライブラリ (.dll) のバージョンをチェックできるので、はるかに精度が向上します。

以下のドロップダウンセクションでは、ユースケースに応じて Windows で認証情報を使用したチェックに使用するドメインまたはローカルアカウントを設定する方法について説明します。

注意: ドメインコントローラーのスキャンに使用できるのはドメイン管理者アカウントだけです。

「Nessus Local Access」セキュリティグループを作成する

  1. Domain Controller にログインして、[Active Directory Users and Computers] (Active Directory ユーザーとコンピューター) を開きます。
  2. セキュリティグループを作成するには、[Action] (アクション) > [New] (新規) > [Group] (グループ) を選択します。
  3. グループに Nessus Local Access という名前を付けます。[Scope] (範囲) を [Global] (グローバル) に、[Type] (タイプ) を [Security] (セキュリティ) に設定します。
  4. Tenable Nessus Windows 認証スキャンを実行するために使用するアカウントを Tenable Nessus Local Access グループに追加します。

「Nessus Scan GPO」グループポリシーを作成する

  1. グループポリシー管理コンソールを開きます。
  2. [Group Policy Objects] (グループポリシーオブジェクト) を右クリックして、[New] (新規) を選択します。
  3. Nessus Scan GPO のポリシー名を入力します。

「Nessus Local Access」グループを「Nessus Scan GPO」ポリシーに追加する

  1. [Nessus Scan GPO Policy] (Nessus Scan GPO ポリシー) を右クリックして、[Edit] (編集) を選択します。
  2. [Computer configuration] (コンピューターの設定) > [Policies] (ポリシー) > [Windows Settings] (Windows の設定) > [Security Settings] (セキュリティ設定) > [Restricted Groups] (制限されたグループ) を展開します。
  3. [Restricted Groups] (制限されたグループ) の左側のナビゲーションバーで右クリックして、[Add Group] (グループの追加) を選択します。
  4. [Add Group] (グループの追加) ダイアログボックスで [browse] (閲覧) を選択し、Nessus Local Accessと入力します。
  5. [Check Names] (名前のチェック) を選択します。
  6. [OK] を 2 回クリックして、ダイアログボックスを閉じます。
  7. [This group is a member of:][Add] (追加) を選択します。
  8. [Administrators] (管理者) グループを追加します。
  9. [OK] を 2 回選択します。

Tenable Nessus は、サーバーメッセージブロック (SMB) と Windows Management Instrumentation (WMI) を使用します。Windows ファイヤーウォールがシステムへのアクセスを許可していることを確認します。

Windows で WMI を許可する

  1. [Nessus Scan GPO Policy] (Nessus Scan GPO ポリシー) を右クリックして、[Edit] (編集) を選択します。
  2. [Computer configuration] (コンピューターの設定) > [Policies] (ポリシー) > [Windows Settings] (Windows の設定) > [Security Settings] (セキュリティ設定) > [Windows Firewall with Advanced Security] (Windows ファイヤーウォールの詳細設定) > [Windows Firewall with Advanced Security] (Windows ファイヤーウォールの詳細設定) > [Inbound Rules] (インバウンドルール) を展開します。
  3. 作業領域を右クリックして、[New Rule...] (新しいルール...) を選択します。
  4. [Predefined] (事前定義) オプションを選択し、ドロップダウンボックスから [Windows Management Instrumentation (WMI)] を選択します。
  5. [Next] (次へ) を選択します。
  6. 次のチェックボックスを選択します。
    • Windows Management Instrumentation (ASync-In)
    • Windows Management Instrumentation (WMI-In)
    • Windows Management Instrumentation (DCOM-In)
  7. [Next] (次へ) を選択します。
  8. [Finish] (終了) を選択します。

ヒント: 後で作成された定義済みルールを編集し、IP アドレスとドメインユーザーによってポートへの接続を制限することで、WMI を悪用するリスクを減らすことができます。

GPO をリンクする

  1. グループポリシー管理コンソールで、ドメインまたは OU を右クリックし、[Link an Existing GPO] (既存の GPO をリンクする) を選択します。
  2. [Nessus Scan GPO] を選択します。

Windows を設定する

認証情報を使用したチェック用の適切なアカウントを作成したら、スキャンする前に、いくつかの Windows オプションを設定する必要があります。

次の手順

  • Windows ログイン用に Tenable Nessus スキャンを設定する