認証情報
スキャンまたはポリシーの認証情報を設定すると、ターゲットシステムをスキャンするためのローカルアクセス権を Tenable Nessus スキャナーに付与できるので、エージェントは不要になります。これにより、大規模なネットワークをスキャンしてローカルのエクスポージャーまたはコンプライアンス違反を検出する作業が簡単になります。前述のとおり、ポリシー作成手順の一部は省略可能な場合があります。作成すると、Tenable Nessus は推奨設定を使用してポリシーを保存します。
Tenable Nessus には、セキュアシェル (SSH) を介してリモートの Linux ホストにログインする機能があります。また、Windows ホストでは、Tenable Nessus はさまざまな Microsoft 認証技術を使用します。Tenable Nessus は、簡易ネットワーク管理プロトコル (SNMP) を使用して、ルーターとスイッチにバージョンと情報を照会することもできます。スキャン認証情報は global.db に保管されます。
ヒント: Tenable Nessus が認証情報に使用する暗号化の強度については、暗号強度 を参照してください。
スキャンまたはポリシーの [Credentials] (認証情報) ページでは、スキャン時に認証情報を使用するように Tenable Nessus スキャナーを設定できます。認証情報を設定することで広範囲のチェックを実行でき、Tenable Nessus のスキャン結果はより正確になります。
データベース、SSH、Windows、ネットワークデバイス、パッチ管理サーバー、さまざまなプレーンテキスト認証プロトコル、およびその他を含むさまざまな形式の認証をサポートしています。
Tenable Nessus は、オペレーティングシステムの認証情報に加えて、その他の形式のローカル認証もサポートしています。
スキャンまたはポリシーの [Credentials] (認証情報) セクションでは、以下のタイプの認証情報を管理できます。
- クラウドサービス
- データベース (MongoDB、Oracle、MySQL、DB2、PostgreSQL、SQL Server を含む)
- ホスト (Windows ログイン、SSH、SNMPv3 を含む)
- その他のサービス (VMware、Red Hat Enterprise Virtualization (RHEV)、IBM iSeries、Palo Alto Networks PAN-OS、ディレクトリサービス (ADSI および X.509) を含む)
- モバイルデバイスの管理
- パッチ管理サービス
- プレーンテキスト認証メカニズム (FTP、HTTP、POP3、その他のサービスを含む)
- ウェブ認証の認証情報 (ウェブアプリスキャンテンプレートのみ)
認証情報を使用したスキャンでは、ローカルユーザーが実行できる任意の操作を実行できます。スキャンのレベルは、ユーザーアカウントに付与されている権限によって異なります。ログインアカウントを介してスキャナーに与えられる権限 (ルートまたは管理者アクセスなど) が多いほど、スキャン結果はより詳細になります。
注意: Tenable Nessus は、複数の同時認証接続を開きます。監査対象のホストに同時セッションに基づく厳格なアカウントロックアウトポリシーがないことを確認してください。
スキャンに 1 種類の認証情報の複数のインスタンスが含まれている場合、
注意: