Windows

Windows 認証情報メニュー項目には、SMB アカウント名、パスワード、ドメイン名などの情報を Nessus に提供する設定があります。デフォルトで、Windows ホストにログインするためのユーザー名、パスワード、ドメインを指定できます。また、Nessus では、Windows ベースのシステム用に複数の異なるタイプの認証方法がサポートされています。

認証方法について

  • Lanman 認証の方法は、Windows NT と初期の Windows 2000 サーバーのデプロイメントで普及していました。Lanman 認証方法は、下位互換性用に保持されています。
  • Windows NT で導入された NTLM 認証方法 は、 Lanman 認証よりもセキュリティが向上しています。拡張バージョンである NTLMv2 は、NTLM よりも暗号学的に安全性が高く、Nessus が Windows Server にログインしようとするときに選択するデフォルトの認証方法となっています。NTLMv2 は SMB 署名を使用できます。
  • SMB 署名は、Windows Server との間のすべての SMB トラフィックに適用される暗号化チェックサムです。システム管理者の多くは、サーバーで SMB 署名機能を有効化し、リモートユーザーが 100% 認証されており、ドメインの一部であることを確認します。さらに、John the Ripper や L0phtCrack などのツールによる辞書攻撃で簡単に破られることのない強力なパスワードの使用を義務付けるポリシーを実施するようにしてください。SMB 署名は、リモートの Windows Server から求められた場合、Nessus が自動的に使用します。Windows セキュリティに対し、コンピューターからの不正なハッシュの再利用によるサーバーの攻撃など、さまざまな種類の攻撃が行われています。SMB 署名は、これらの中間者攻撃を防ぐためにセキュリティ層を追加します。
  • SPNEGO (Simple and Protected Negotiate) プロトコルは、ユーザーの Windows ログイン認証情報を介して、Windows クライアントからさまざまな保護リソースへのシングルサインオン (SSO) 機能を提供します。Nessus は、SPNEGO スキャンとポリシーの使用をサポートします : LMv2 認証付きの NTLMSSP または Kerberos と RC4 暗号化のいずれかで 151 のうち 54 をスキャンします。SPNEGO 認証は、NTLM または Kerberos 認証を通じて行われます。Nessus ポリシーで設定する必要はありません。
  • 拡張セキュリティスキーム (Kerberos、SPNEGO など) がサポートされていないか、または失敗した場合、Nessus は NTLMSSP/LMv2 認証を介してログインを試みます。それが失敗した場合、Nessus は NTLM 認証を使用してログインを試行します。
  • Nessus は、Windows ドメインでの Kerberos 認証の使用もサポートしています。上記を設定するには、Kerberos ドメインコントローラーの IP アドレス (実際には、Windows Active Directory サーバーの IP アドレス) を提供する必要があります。

サーバーメッセージブロック (SMB) は、コンピューターがネットワーク全体で情報を共有できるようにするファイル共有プロトコルです。この情報を Nessus に提供することで、リモートの Windows ホストからローカル情報を見つけられるようになります。たとえば、認証情報を使用すると、Nessus は重要なセキュリティパッチが適用されているかどうかを判断できます。他の SMB パラメーターをデフォルト設定から変更する必要はありません。

SMB ドメイン設定はオプションであり、Nessus はこの設定がなくてもドメイン認証情報を使用してログオンできます。ユーザー名、パスワード、オプションのドメインは、ターゲットのマシンが認識しているアカウントを参照します。たとえば、joesmith というユーザー名と my4x4mpl3 というパスワードを入力すると、Windows Server は、まずローカルシステムのユーザーリストでこのユーザー名を検索し、それがドメインの一部であるかどうかを判断します。

使用される認証情報に関係なく、Nessus は常に次の組み合わせで Windows Server へのログインを試行します。

  • パスワードを持たない管理者
  • ゲストアカウントをテストするためのランダムなユーザー名とパスワード
  • ユーザー名とパスワードなしで null セッションをテスト

実際のドメイン名は、アカウント名がコンピューター上のアカウント名とドメイン上で異なる場合にのみ必要となります。Windows Server とドメイン内で管理者アカウントを持つことができます。この場合、ローカルサーバーにログオンするために、管理者のユーザー名がそのアカウントのパスワードと共に使用されます。ドメインにログオンするには、管理者のユーザー名をメインパスワードとドメイン名とともに使用します。

複数の SMB アカウントが設定されている場合、Nessus は提供された認証情報で順次ログインを試行します。Nessus は、一連の認証情報で認証できるようになると、提供された次の認証情報を確認しますが、以前のアカウントがユーザーアクセスを提供したときに管理者権限が付与されている場合にのみそれらを使用します。

Windows の一部のバージョンでは、新しいアカウントが作成でき、そのアカウントを管理者として指定できます。これらのアカウントは、認証情報スキャンの実行に必ずしも適しているとは限りません。Tenable は、完全なアクセスが許可されるように、認証情報のスキャンには管理者と名付けられたオリジナルの管理アカウントを使用することを推奨します。Windows の一部のバージョンでは、このアカウントは非表示となっている場合があります。実際の管理者アカウントは、管理者権限で DOS プロンプトを実行し、次のコマンドを入力することで非表示にできます。

C:\> net user administrator /active:yes

SMB アカウントが制限付き管理者権限で作成されている場合、Nessus は複数のドメインを簡単かつ安全にスキャンできます。Tenable は、ネットワーク管理者がテストを容易にするために特定のドメインアカウントの作成を検討することを推奨しています。Nessus は、ドメインアカウントが提供された場合、Windows 10、11、Windows Server 2012、Server 2012 R2、Server 2016、Server 2019、Server 2022 に対してさまざまなセキュリティチェックをより正確に行えます。アカウントが提供されていない場合でも、Nessus は複数のチェックを試行します。

注意: Windows リモートレジストリサービスを使用すると、認証情報を持つリモートコンピューターが監査対象のコンピューターのレジストリにアクセスできます。サービスが実行されていない場合、認証情報が完全でも、キーと値をレジストリから読み取れません。認証情報を使用してシステムを完全に監査するには、Nessus 認証情報スキャン用にこのサービスを開始する必要があります。

詳細は、Tenable ブログ投稿を参照してください。

Windows システムでの認証情報スキャンでは、完全な管理者レベルのアカウントを使用する必要があります。Microsoft のセキュリティ情報とソフトウェア更新プログラムにより、レジストリが読み取られ、ソフトウェアパッチレベルは管理者権限なしでは信頼できないと判断されましたが、すべてではありません。Nessus プラグインは、提供された認証情報が完全な管理者アクセス権を持っていることを確認し、適切に実行されるようにします。たとえば、ファイルシステムを直接読み取るためには、完全な管理者としてアクセスする必要があります。これにより Nessus をコンピューターにアタッチし、ファイル分析を直接実行して評価対象システムの実際のパッチレベルを判断できます。

認証方法

オプション デフォルト 説明

暗号化されていない認証情報を送信しない

Enabled (有効)

セキュリティ上の理由から、デフォルトで、Windows 認証情報を暗号化されていないテキストで送信することはできません。

Do not use NTLMv1 authentication

Enabled (有効)

このオプションが無効になっている場合、理論的には、NTLM バージョン 1 プロトコル経由でドメイン認証情報を使用し、Nessus を誘導して Windows Server へのログインを試みることが可能です。これにより、リモートの攻撃者は Nessus から取得したハッシュを使用できます。このハッシュは解読され、ユーザー名またはパスワードが特定される可能性があります。また、その他のサーバーに直接ログインするために使用される可能性もあります。スキャン時に [Only use NTLMv2] (NTLMv2 のみ使用) 設定を有効にすると、Nessus は強制的に NTLMv2 を使用します。これにより、悪意のある Windows サーバーが NTLM を使用してハッシュを受信することを防ぎます。NTLMv1 は安全なプロトコルではないため、このオプションはデフォルトで有効となっています。

Start the Remote Registry service during the scan

無効

このオプションは、スキャン対象のコンピューターでリモートレジストリサービスが実行されていない場合に、開始するよう Nessus に指示します。Nessus が Windows ローカルチェックプラグインを実行するには、このサービスが実行されている必要があります。

Enable administrative shares during the scan

無効

このオプションにより、Nessus は ADMIN$ および C$ の管理共有にアクセスできます。これは、管理者権限で読み取ることができます。

注意: この設定が適切に機能するようにするには、管理共有を有効にする必要があります。ほとんどのオペレーティングシステムでは、ADMIN$ および C$ がデフォルトで有効になっています。ただし、Windows 10、Windows 11、およびそれ以降の Windows バージョンでは、デフォルトで ADMIN$ が無効になっています。したがって、レジストリエントリへのフルアクセスのためにこの設定を使用することに加えて、Windows 環境の ADMIN$ を手動で有効にする必要があります。詳細については、https://support.microsoft.com/kb/842715/en-us を参照してください。
Start the Server service during the scan 無効

When enabled, the scanner temporarily enables the Windows Server service, which allows the computer to share files and other devices on a network. The service is disabled after the scan completes.

By default, Windows systems have the Windows Server service enabled, which means you do not need to enable this setting. However, if you disable the Windows Server service in your environment, and want to scan using SMB credentials, you must enable this setting so that the scanner can access files remotely.

ヒント: CyberArk の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。

CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Nessus Manager は、CyberArk から認証情報を取得してスキャンに使用します。

Option Description Required

CyberArk Host

The IP address or FQDN name for the CyberArk AIM Web Service. This can be the host, or the host with a custom URL added on in a single string.

yes

Port

The port on which the CyberArk API communicates. By default, Tenable uses 443.

yes

AppID

The Application ID associated with the CyberArk API connection.

yes
Client Certificate

The file that contains the PEM certificate used to communicate with the CyberArk host.

Note: Customers self-hosting CyberArk CCP on a Windows Server 2022 and above should follow the guidance found in Tenable’s Community post about CyberArk Client Certification Authentication Issue.

no
Client Certificate Private Key The file that contains the PEM private key for the client certificate.

yes, if private key is applied
Client Certificate Private Key Passphrase The passphrase for the private key, if required.

yes, if private key is applied

Kerberos Target Authentication

If enabled, Kerberos authentication is used to log in to the specified Linux or Unix target.

no

Key Distribution Center (KDC)

(Required if Kerberos Target Authentication is enabled) This host supplies the session tickets for the user.

yes

KDC Port

The port on which the Kerberos authentication API communicates. By default, Tenable uses 88.

no

KDC Transport

The KDC uses TCP by default in Linux implementations. For UDP, change this option. If you need to change the KDC Transport value, you may also need to change the port as the KDC UDP uses either port 88 or 750 by default, depending on the implementation.

no

Domain

(Required if Kerberos Target Authentication is enabled) The domain to which Kerberos Target Authentication belongs, if applicable.

yes
Get credential by

The method with which your CyberArk API credentials are retrieved. Can be Address, Identifier, Parameters, or Username.

Note: For more information about the Parameters option, refer to the Parameters Options table.

Note: The frequency of queries for Username is one query per target. The frequency of queries for Identifier is one query per chunk. This feature requires all targets have the same identifier.

 yes
Username

(If Get credential by is set to Username) The username of the CyberArk user to request a password from.

 no
Safe

The CyberArk safe the credential should be retrieved from.

 no
Address The option should only be used if the Address value is unique to a single CyberArk account credential. no
Account Name (If Get credential by is Identifier) The unique account name or identifier assigned to the CyberArk API credential. no

Use SSL

If enabled, the scanner uses SSL through IIS for secure communications. Enable this option if CyberArk is configured to support SSL through IIS.

no

Verify SSL Certificate

If enabled, the scanner validates the SSL certificate. Enable this option if CyberArk is configured to support SSL through IIS and you want to validate the certificate.

no

ヒント: CyberArk の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。

Tenable と CyberArk との統合による大幅な改善を利用して、複数のターゲットを入力することなく特定のターゲットグループのアカウント情報を一括で収集できるようになりました。

Option

Description

 Required

CyberArk Host

The IP address or FQDN name for the user’s CyberArk Instance.

Note: Customers hosting the PVWA and CCP on separate servers should only use this field for the PVWA host.

yes

Port

The port on which the CyberArk API communicates. By default, Tenable uses 443.

Note: Customers hosting the PVWA and CCP on separate servers should only use this field for the PVWA host.

yes

CCP Host

The IP address or FQDN name for the user’s CyberArk CCP component.

Note: Customers hosting the PVWA and CCP on separate servers should only use this field for the PVWA host.

no

CCP Port

The port on which the CyberArk CCP (AIM Web Service) API communicates. By default, Tenable uses 443.

Note: Customers hosting the PVWA and CCP on separate servers should only use this field for the PVWA host.

no

AppID

The Application ID associated with the CyberArk API connection.

yes

Safe

Users may optionally specify a Safe to gather account information and request passwords.

 no

AIM Web Service Authentication Type

There are two authentication methods established in the feature. IIS Basic Authentication and Certificate Authentication. Certificate Authentication can be either encrypted or unencrypted.

yes

CyberArk PVWA Web UI Login Name

Username to log in to CyberArk web console. This is used to authenticate to the PVWA REST API and gather bulk account information.

yes

CyberArk PVWA Web UI Login Password

Password for the username to log in to CyberArk web console. This is used to authenticate to the PVWA REST API and gather bulk account information.

yes

CyberArk Platform Search String

String used in the PVWA REST API query parameters to gather bulk account information. For example, the user can enter UnixSSH Admin TestSafe, to gather all Windows platform accounts containing a username Admin in a Safe called TestSafe.

Note: This is a non-exact keyword search. A best practice would be to create a custom platform name in CyberArk and enter that value in this field to improve accuracy.

 yes

Use SSL

If enabled, the scanner uses SSL through IIS for secure communications. Enable this option if CyberArk is configured to support SSL through IIS.

yes

Verify SSL Certificate

If enabled, the scanner validates the SSL certificate. Enable this option if CyberArk is configured to support SSL through IIS and you want to validate the certificate.

no

ヒント: CyberArk の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。

CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Nessus Manager は、CyberArk から認証情報を取得してスキャンに使用します。

オプション 説明

Username (ユーザー名)

ターゲットシステムのユーザー名。

CyberArk AIM Service URL

AIM サービスの URL。デフォルトでは、この設定は /AIMWebservice/v1.1/AIM.asmx を使用します。

Central Credential Provider Host

CyberArk Central Credential Provider の IP/DNS アドレス。

Central Credential Provider Port

CyberArk Central Credential Provider がリッスンするポート。

Central Credential Provider Username

CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、この設定に入力して認証できます。

Central Credential Provider Password

CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、この設定に入力して認証できます。

Safe

取得する認証情報が格納されていた CyberArk Central Credential Provider サーバー上の金庫。
CyberArk Client Certificate CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。
CyberArk Client Certificate Private Key クライアント証明書の PEM 秘密鍵を含むファイル。
CyberArk Client Certificate Private Key Passphrase 秘密鍵のパスフレーズ (必要な場合)。
AppId CyberArk Central Credential Provider でターゲットパスワードを取得するためのアクセス許可を割り当てられたAppId。
Folder (フォルダー) 取得する認証情報が格納されている CyberArk Central Credential Provider サーバー上のフォルダー。

PolicyId

CyberArk Central Credential Provider から取得する認証情報に割り当てられたポリシー ID です。

Use SSL (SSL の使用)

CyberArk Central Credential Provider が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。

Verify SSL Certificate (SSL 証明書の検証)

CyberArk Central Credential Provider が IIS 経由で SSL をサポートするように設定されていて、その証明書を検証する場合は、これを有効にします。自己署名証明書の使用方法については、custom_CA.inc ドキュメントを参照してください。

CyberArk Account Details Name

 CyberArk から取得する認証情報の一意の名前

ヒント: Delinea の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。

Option Description Required
Delinea Authentication Method Indicates whether to use credentials or an API key for authentication. By default, Credentials is selected. yes

Delinea Login Name

The username to authenticate to the Delinea server.

yes

Delinea Password

The password to authenticate to the Delinea server. This is associated with the Delinea Login Name you provided.

yes
Delinea API Key The API key generated in the Secret Server user interface. This setting is required if the API Key authentication method is selected. yes

Delinea Secret Name

The value of the secret on the Delinea server. The secret is labeled Secret Name on the Delinea server.

yes

Delinea Host

The Delinea Secret Server IP address for API requests.

yes

Delinea Port

The Delinea Secret Server Port for API requests. By default, Tenable uses 443.

yes

Checkout Duration

The duration Tenable should check out the password from Delinea. Duration time is in hours and should be longer than the scan time.

yes

Kerberos Target Authentication

If enabled, Kerberos authentication is used to log in to the specified Windows target.

no

Key Distribution Center (KDC)

(Required if Kerberos Target Authentication is enabled) This host supplies the session tickets for the user.

yes

KDC Port

The port on which the Kerberos authentication API communicates. By default, Tenable uses 88.

no

KDC Transport

The KDC uses TCP by default in Linux implementations. For UDP, change this option. If you need to change the KDC Transport value, you may also need to change the port as the KDC UDP uses either port 88 or 750 by default, depending on the implementation.

no

Domain

(Required if Kerberos Target Authentication is enabled) The Kerberos Domain is the authentication domain, usually noted as the domain name of the target.

yes

Use SSL

Enable if the Delinea Secret Server is configured to support SSL.

no

Verify SSL Certificate

If enabled. verifies the SSL Certificate on the Delinea server.

no
オプション デフォルト [Description] (説明)

Password (パスワード)

なし

他の認証情報メソッドと同様に、これはターゲットシステムのユーザーパスワードです。これは必須の設定です。

Key Distribution Center (KDC) (キー配布センター (KDC))

なし

このホストは、ユーザーのセッションチケットを提供します。これは必須の設定です。

KDC Port

88

この設定を行うと、88 以外のポートで稼働している KDC に Nessus を接続させることができます。

KDC Transport

TCP

KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。

Domain (ドメイン)

なし

KDC が管理する Windows ドメイン。これは必須の設定です。
オプション 説明

Username (ユーザー名)

ターゲットシステムのユーザー名。

Hash

使用するハッシュ。

Domain (ドメイン)

指定されたユーザーの名前の Windows ドメイン。
オプション 説明

Username (ユーザー名)

ターゲットシステムのユーザー名。

Hash

使用するハッシュ。

Domain (ドメイン)

指定されたユーザーの名前の Windows ドメイン。

ヒント: QiAnXin の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。

Option Description Required

QiAnXin Host

The IP address or URL for the QiAnXin host.

yes

QiAnXin Port

The port on which the QiAnXin API communicates. By default, Tenable uses 443.

yes

QiAnXin API Client ID

The Client ID for the embedded account application created in QiAnXin PAM.

yes

QiAnXin API Secret ID

 The Secret ID for the embedded account application created in QiAnXin PAM.

yes
Domain The domain to which the username belongs.

no

Username

 The username to log in to the hosts you want to scan.

yes

Host IP

 Specify the host IP of the asset containing the account to use. If not specified, the scan target IP is used.

no

Platform

Specify the platform (based on asset type) of the asset containing the account to use. If not specified, a default target is used based on credential type (for example, for Windows credentials, the default is WINDOWS). Possible values:

  • ACTIVE_DIRECTORY — Windows Domain Account

  • WINDOWS — Windows Local Account

  • LINUX — Linux Account

  • SQL_SERVER — SQL Server Database

  • ORACLE — Oracle Database

  • MYSQL — MySQL Database

  • DB2 — DB2 Database

  • HP_UNIX — HP Unix

  • SOLARIS — Solaris

  • OPENLDAP — OpenLDAP

  • POSTGRESQL — PostgreSQL

no

Region ID

 Specify the region ID of the asset containing the account to use.

Only if using multiple regions.

Kerberos Target Authentication

If enabled, Kerberos authentication is used to log in to the specified Windows target.

no

Key Distribution Center (KDC)

(Required if Kerberos Target Authentication is enabled) This host supplies the session tickets for the user.

yes

KDC Port

The port on which the Kerberos authentication API communicates. By default, Tenable uses 88.

no

KDC Transport

The KDC uses TCP by default in Linux implementations. For UDP, change this option. If you need to change the KDC Transport value, you may also need to change the port as the KDC UDP uses either port 88 or 750 by default, depending on the implementation.

no

Domain

(Required if Kerberos Target Authentication is enabled) The Kerberos Domain is the authentication domain, usually noted as the domain name of the target.

yes
Use SSL When enabled, Tenable uses SSL for secure communication. This is enabled by default.

no

Verify SSL Certificate

When enabled, Tenable verifies that the SSL Certificate on the server is signed by a trusted CA.

no

ヒント: Senhasegura の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。

オプション 説明 必須

Senhasegura ホスト

Senhasegura ホストの IP アドレスまたは URL です。

Senhasegura ポート

Senhasegura API が通信に使用するポートです。Tenable はデフォルトで 443 を使用します。

Senhasegura API クライアント ID

Oauth 2.0 API 認証に適用される Senhasegura A2A アプリケーションのクライアント ID です。

Senhasegura API のシークレット ID Oauth 2.0 API 認証に適用される Senhasegura A2A アプリケーションのシークレット ID です。

Domain (ドメイン) ユーザー名が属するドメイン

Senhasegura 認証情報 ID または識別子 取得をリクエストしている認証情報の認証情報 ID または識別子です。

秘密鍵ファイル

A2A からの暗号化された機密データを復号するために使用される秘密鍵です。

注意: A2A アプリケーション認証で機密データの暗号化を有効にできます。有効にした場合、ユーザーはスキャン認証情報に秘密鍵ファイルを指定する必要があります。これは、Senhasegura の該当する A2A アプリケーションからダウンロードできます。

A2A アプリケーション認証で機密データの暗号化を有効にした場合には必須です。

HTTPS

このオプションはデフォルトで有効です。

SSL 証明書を検証する

これはデフォルトでは無効になっています。

オプション デフォルト値

Username (ユーザー名)

(必須) ターゲットシステムのユーザーのユーザー名。

Domain (ドメイン)

Thycotic サーバーで設定されている場合、ユーザー名のドメイン。

Thycotic Secret Name (Thycotic シークレット名)

(必須) Thycoticサーバーのシークレット名の値。

Thycotic Secret Server URL (Thycotic シークレットサーバー URL)

(必須) スキャナーの転送方法、ターゲット、ターゲットディレクトリを設定するときに Tenable Nessus が使用する値。この値は、Thycotic サーバーの [Admin] (管理者) > [Configuration] (設定) > [Application Settings] (アプリケーション設定) > [Secret Server URL] (シークレットサーバー URL) にあります。

たとえば、https://pw.mydomain.com/SecretServer と入力した場合、Tenable Nessus はこれが SSL 接続であり、pw.mydomain.com がターゲットアドレス、/SecretServer はルートディレクトリであると判断します。

Thycotic Login Name (Thycotic ログイン名)

(必須) Thycotic サーバーのユーザーのユーザー名。

Thycotic Password (Thycotic パスワード)

(必須) 指定した Thycotic ログイン名に関連付けられたパスワード。

Thycotic Organization (Thycotic 企業)

Thycotic のクラウドインスタンスで、Tenable Nessus クエリがターゲットにする必要がある企業を識別する値。

Thycotic Domain (Thycotic ドメイン)

ドメイン (Thycotic サーバーに設定されている場合)。

Private Key (プライベートキー)

有効にすると、Tenable Nessus はパスワード認証ではなく鍵ベースの認証で SSH 接続を行います。

Verify SSL Certificate (SSL 証明書の検証)

有効にすると、Tenable Nessus は Thycotic サーバーの SSL 証明書を検証します。

自己署名証明書の使用の詳細については、カスタム SSL サーバー証明書を参照してください。

ヒント: BeyondTrust の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。

オプション デフォルト値

Username (ユーザー名)

(必須) スキャンするホストにログインするためのユーザー名です。
Domain (ドメイン) BeyondTrust で必要な場合、ユーザー名のドメイン。

BeyondTrust host (BeyondTrust ホスト)

(必須) BeyondTrust IP アドレスまたは DNS アドレスです。

BeyondTrust port (BeyondTrust host ポート)

(必須) BeyondTrust がリッスンしているポートです。

BeyondTrust API key (BeyondTrust API キー)

(必須) BeyondTrust が提供する API キーです。

Checkout duration (チェックアウト期間)

(必須) BeyondTrust で認証情報のチェックアウト状態を保持する時間 (分) です。チェックアウトの期間は、Nessus における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。

注意 : BeyondTrust でパスワードの変更間隔を設定し、パスワード変更によって Nessus スキャンが中断されないようにします。スキャン中に BeyondTrust がパスワードを変更すると、スキャンは失敗します。

Use SSL (SSL の使用)

有効にすると、Nessus は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、BeyondTrust で IIS を使用して SSL を設定する必要があります。

Verify SSL certificate (SSL 証明書の検証)

有効にすると、Nessus は SSL 証明書を検証します。このオプションを有効にするには、BeyondTrust で IIS を使用して SSL を設定する必要があります。

Use private key (プライベートキーの使用)

有効にすると、Nessus はパスワード認証ではなく秘密鍵ベースの認証で SSH 接続を行います。失敗した場合は、パスワードが要求されます。

Use privilege escalation (権限昇格の使用)

有効にすると、BeyondTrust は設定された権限昇格コマンドを使用します。コマンドから何かが返された場合は、それをスキャンに使用します。
Option Description Required
Username The target system’s username.

yes
Domain The domain, if the username is part of a domain.

no
Lieberman host

The Lieberman IP/DNS address.

Note: If your Lieberman installation is in a subdirectory, you must include the subdirectory path. For example, type IP address or hostname / subdirectory path.

yes
Lieberman port The port on which Lieberman listens.

yes
Lieberman API URL The URL Tenable Nessus uses to access Lieberman. no
Lieberman user The Lieberman explicit user for authenticating to the Lieberman RED API.

yes
Lieberman password The password for the Lieberman explicit user.

yes
Lieberman Authenticator

The alias used for the authenticator in Lieberman. The name should match the name used in Lieberman.

Note: If you use this option, append a domain to the Lieberman user option, i.e., domain\user.

no
Lieberman Client Certificate

The file that contains the PEM certificate used to communicate with the Lieberman host.

Note: If you use this option, you do not have to enter information in the Lieberman user, Lieberman password, and Lieberman Authenticator fields.

 no
Lieberman Client Certificate Private Key The file that contains the PEM private key for the client certificate. no
Lieberman Client Certificate Private Key Passphrase The passphrase for the private key, if required. no
Use SSL

If Lieberman is configured to support SSL through IIS, check for secure communication.

no
Verify SSL Certificate

If Lieberman is configured to support SSL through IIS and you want to validate the certificate, check this. Refer to custom_CA.inc documentation for how to use self-signed certificates.

no
System Name In the rare case your organization uses one default Lieberman entry for all managed systems, enter the default entry name.

no

ヒント: Wallix Bastion の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。

Option Description Required

WALLIX Host

The IP address for the WALLIX Bastion host.

yes

WALLIX Port

The port on which the WALLIX Bastion API communicates. By default, Tenable uses 443.

yes

Authentication Type

Basic authentication (with WALLIX Bastion user interface username and Password requirements) or API Key authentication (with username and WALLIX Bastion-generated API key requirements).

no
WALLIX User

Your WALLIX Bastion user interface login username.

 yes
WALLIX Password Your WALLIX Bastion user interface login password. Used for Basic authentication to the API. yes
WALLIX API Key The API key generated in the WALLIX Bastion user interface. Used for API Key authentication to the API. yes
Get Credential by Device Account Name

The account name associated with a Device you want to log in to the target systems with.

Note: If your device has more than one account you must enter the specific device name for the account you want to retrieve credentials for. Failure to do this may result in credentials for the wrong account returned by the system.

Required only if you have a target and/or device with multiple accounts.

HTTPS

This is enabled by default.

Caution: The integration fails if you disable HTTPS.

yes

Verify SSL Certificate

This is disabled by default and is not supported in WALLIX Bastion PAM integrations.

no

Elevate privileges with

This enables WALLIX Bastion Privileged Access Management (PAM). Use the drop-down menu to select the privilege elevation method. To bypass this function, leave this field set to Nothing.

Caution: In your WALLIX Bastion account, the WALLIX Bastion super admin must have enabled "credential recovery" on your account for PAM to be enabled. Otherwise, your scan may not return any results. For more information, see your WALLIX Bastion documentation.

Note: Multiple options for privilege escalation are supported, including su, su+sudo and sudo. For example, if you select sudo, more fields for sudo user, Escalation Account Name, and Location of su and sudo (directory) are provided and can be completed to support authentication and privilege escalation through WALLIX Bastion PAM. The Escalation Account Name field is then required to complete your privilege escalation.

Note: For more information about supported privilege escalation types and their accompanying fields, see the Tenable Nessus User Guide.

Required if you wish to escalate privileges.

Database

Port		 The TCP port that the Oracle database instance listens on for communications from. The default is port 1521.

no

Auth Type

The type of account you want Tenable to use to access the database instance: 

  • SYSDBA
  • SYSOPER
  • NORMAL

no
Service Type The Oracle parameter you want to use to specify the database instance: SID or SERVICE_NAME.

no
Service

The SID value or SERVICE_NAME value for your database instance.

The Service value you enter must match your parameter selection for the Service Type option.

yes
Targets to Prioritize Credentials

Specify IPs or CIDR blocks on which this credential is attempted before any other credential. To specify multiple IPs or CIDR blocks, use a comma or space-separated list.

Using this setting can decrease scan times by prioritizing a credential that you know works against your selected targets. For example, if your scan specifies 100 credentials, and the successful credential is the 59th credential out of 100, the first 58 credentials have to fail before the 59th credential succeeds. If you use Targets To Prioritize Credentials, you configure the scan to use the successful credential first, which allows the scan to access the target faster.

 no

ヒント: HashiCorp の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。

Windows and SSH Credentials
Option Description

Required
Hashicorp Vault host

The Hashicorp Vault IP address or DNS address.

Note: If your Hashicorp Vault installation is in a subdirectory, you must include the subdirectory path. For example, type IP address or hostname / subdirectory path.

 yes
Hashicorp Vault port The port on which Hashicorp Vault listens. yes
Authentication Type

Specifies the authentication type for connecting to the instance: App Role or Certificates.

If you select Certificates, additional options for Hashicorp Client Certificate(Required) and Hashicorp Client Certificate Private Key (Required) appear. Select the appropriate files for the client certificate and private key.

 yes
Role ID The GUID provided by Hashicorp Vault when you configured your App Role. yes
Role Secret ID

The GUID generated by Hashicorp Vault when you configured your App Role.

 yes
Authentication URL

The path/subdirectory to the authentication endpoint. This is not the full URL. For example:

/v1/auth/approle/login

yes
Namespace The name of a specified team in a multi-team environment. no
Vault Type

The Tenable Nessus version: KV1, KV2, AD, or LDAP. For additional information about Tenable Nessus versions, see the Tenable Nessus documentation.

 yes
KV1 Engine URL

(KV1) The URL Tenable Nessus uses to access the KV1 engine.

Example: /v1/path_to_secret. No trailing /

 yes, if you select the KV1 Vault Type
KV2 Engine URL

(KV2) The URL Tenable Nessus uses to access the KV2 engine.

Example: /v1/path_to_secret. No trailing /

 yes, if you select the KV2 Vault Type
AD Engine URL

(AD) The URL Tenable Nessus uses to access the Active Directory engine.

Example: /v1/path_to_secret. No trailing /

 yes, if you select the AD Vault Type
LDAP Engine URL

(LDAP) The URL Tenable Nessus uses to access the LDAP engine.

Example: /v1/path_to_secret. No trailing /

 yes, if you select the LDAP Vault Type
Username Source (KV1 and KV2) A drop-down box to specify if the username is input manually or pulled from Hashicorp Vault. yes
Username Key (KV1 and KV2) The name in Hashicorp Vault that usernames are stored under. yes
Password Key (KV1 and KV2) The key in Hashicorp Vault that passwords are stored under. yes

Domain Key (Windows)

(Required if Kerberos Target Authentication is enabled.) The key name that the domain is stored under in the secret.

yes
Secret Name (KV1, KV2, and AD) The key secret you want to retrieve values for. yes

Kerberos Target Authentication

If enabled, Kerberos authentication is used to log in to the specified Linux or Unix target.

no

Key Distribution Center (KDC)

(Required if Kerberos Target Authentication is enabled.) This host supplies the session tickets for the user.

yes

KDC Port

The port on which the Kerberos authentication API communicates. By default, Tenable uses 88.

no

KDC Transport

The KDC uses TCP by default in Linux implementations. For UDP, change this option. If you need to change the KDC Transport value, you may also need to change the port as the KDC UDP uses either port 88 or 750 by default, depending on the implementation.

no

Domain (Windows)

(Required if Kerberos Target Authentication is enabled.) The domain to which Kerberos Target Authentication belongs, if applicable.

yes

Realm (SSH)

(Required if Kerberos Target Authentication is enabled.) The Realm is the authentication domain, usually noted as the domain name of the target (for example, example.com).

yes
Use SSL If enabled, Tenable Nessus Manager uses SSL for secure communications. Configure SSL in Hashicorp Vault before enabling this option. no
Verify SSL Certificate If enabled, Tenable Nessus Manager validates the SSL certificate. Configure SSL in Hashicorp Vault before enabling this option. no
Enable for Tenable Nessus Enables/disables IBM DataPower Gateway use with Tenable Nessus. yes
Elevate privileges with (SSH)

Use a privilege escalation method such as su or sudo to use extra privileges when scanning.

Note: Tenable supports multiple options for privilege escalation, including su, su+sudo and sudo. For example, if you select sudo, more fields for sudo user, Escalation account secret name, and Location of sudo (directory) are provided and can be completed to support authentication and privilege escalation through Tenable Nessus.

Note: For more information about supported privilege escalation types and their accompanying fields, see the Nessus User Guide and the Tenable Vulnerability Management User Guide.

 Required if you wish to escalate privileges.
Escalation account secret name (SSH) If the escalation account has a different username or password from the least privileged user, enter the credential ID or identifier for the escalation account credential here. no
Targets to Prioritize Credentials

Specify IPs or CIDR blocks on which this credential is attempted before any other credential. To specify multiple IPs or CIDR blocks, use a comma or space-separated list.

Using this setting can decrease scan times by prioritizing a credential that you know works against your selected targets. For example, if your scan specifies 100 credentials, and the successful credential is the 59th credential out of 100, the first 58 credentials have to fail before the 59th credential succeeds. If you use Targets To Prioritize Credentials, you configure the scan to use the successful credential first, which allows the scan to access the target faster.

 no
Option Default Value

Centrify Host

(Required) The Centrify IP address or DNS address.

Note: If your Centrify installation is in a subdirectory, you must include the subdirectory path. For example, type IP address or hostname/subdirectory path.

Centrify Port

 The port on which Centrify listens.
API User (Required) The API user provided by Centrify

API Key

 (Required) The API key provided by Centrify.
Tenant The name of a specified team in a multi-team environment.

Authentication URL

 The URL Tenable Nessus Manager uses to access Centrify.
Password Engine URL The name of a specified team in a multi-team environment.
Username (Required) The username to log in to the hosts you want to scan.
Checkout Duration

The length of time, in minutes, that you want to keep credentials checked out in Centrify.

Configure the Checkout Duration to exceed the typical duration of your Tenable Nessus Manager scans. If a password from a previous scan is still checked out when a new scan begins, the new scan fails.

Note: Configure the password change interval in Centrify so that password changes do not disrupt your Tenable Nessus Manager scans. If Centrify changes a password during a scan, the scan fails.
Use SSL When enabled, Tenable Nessus Manager uses SSL through IIS for secure communications. You must configure SSL through IIS in Centrify before enabling this option.
Verify SSL When enabled, Tenable Nessus Manager validates the SSL certificate. You must configure SSL through IIS in Centrify before enabling this option.
Targets to Prioritize Credentials

Specify IPs or CIDR blocks on which this credential is attempted before any other credential. To specify multiple IPs or CIDR blocks, use a comma or space-separated list.

Using this setting can decrease scan times by prioritizing a credential that you know works against your selected targets. For example, if your scan specifies 100 credentials, and the successful credential is the 59th credential out of 100, the first 58 credentials have to fail before the 59th credential succeeds. If you use Targets To Prioritize Credentials, you configure the scan to use the successful credential first, which allows the scan to access the target faster.

ヒント: Arcon の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。

Option Default Value

Arcon host

(Required) The Arcon IP address or DNS address.

Note: If your Arcon installation is in a subdirectory, you must include the subdirectory path. For example, type IP address or hostname/subdirectory path.

Arcon port

The port on which Arcon listens.
API User

(Required) The API user provided by Arcon.
API Key

(Required) The API key provided by Arcon.
Authentication URL The URL Tenable Nessus Manager uses to access Arcon.

Password Engine URL

The URL Tenable Nessus Manager uses to access the passwords in Arcon.
Username (Required) The username to log in to the hosts you want to scan.
Arcon Target Type (Optional) The name of the target type. . Depending on the Arcon PAM version you are using and the system type the SSH credential has been created with, this is set to linux by default. Refer to the Arcon PAM Specifications document (provided by Arcon) for target type/system type mapping for the correct target type value.
Checkout Duration

(Required) The length of time, in hours, that you want to keep credentials checked out in Arcon.

Configure the Checkout Duration to exceed the typical duration of your Tenable Vulnerability Management scans. If a password from a previous scan is still checked out when a new scan begins, the new scan fails.

Note: Configure the password change interval in Arcon so that password changes do not disrupt your Tenable Vulnerability Management scans. If Arcon changes a password during a scan, the scan fails.
Kerberos Target Authentication If enabled, Kerberos authentication is used to log in to the specified Linux or Unix target.
Key Distribution Center (KDC) (Required if Kerberos Target Authentication is enabled) This host supplies the session tickets for the user.
KDC Port The port on which the Kerberos authentication API communicates. By default, Tenable uses 88.
KDC Transport The KDC uses TCP by default in Linux implementations. For UDP, change this option. If you need to change the KDC Transport value, you may also need to change the port as the KDC UDP uses either port 88 or 750 by default, depending on the implementation.
Realm (Required if Kerberos Target Authentication is enabled) The Realm is the authentication domain, usually noted as the domain name of the target.
Use SSL When enabled, Tenable Nessus Manager uses SSL through IIS for secure communications. You must configure SSL through IIS in Arcon before enabling this option.
Verify SSL When enabled, Tenable Nessus Manager validates the SSL certificate. You must configure SSL through IIS in Arcon before enabling this option.
Targets to Prioritize Credentials

Specify IPs or CIDR blocks on which this credential is attempted before any other credential. To specify multiple IPs or CIDR blocks, use a comma or space-separated list.

Using this setting can decrease scan times by prioritizing a credential that you know works against your selected targets. For example, if your scan specifies 100 credentials, and the successful credential is the 59th credential out of 100, the first 58 credentials have to fail before the 59th credential succeeds. If you use Targets To Prioritize Credentials, you configure the scan to use the successful credential first, which allows the scan to access the target faster.