Windows
Windows 認証情報メニュー項目には、SMB アカウント名、パスワード、ドメイン名などの情報を Nessus に提供する設定があります。デフォルトで、Windows ホストにログインするためのユーザー名、パスワード、ドメインを指定できます。また、Nessus では、Windows ベースのシステム用に複数の異なるタイプの認証方法がサポートされています。
認証方法について
- Lanman 認証の方法は、Windows NT と初期の Windows 2000 サーバーのデプロイメントで普及していました。Lanman 認証方法は、下位互換性用に保持されています。
- Windows NT で導入された NTLM 認証方法 は、 Lanman 認証よりもセキュリティが向上しています。拡張バージョンである NTLMv2 は、NTLM よりも暗号学的に安全性が高く、Nessus が Windows Server にログインしようとするときに選択するデフォルトの認証方法となっています。NTLMv2 は SMB 署名を使用できます。
- SMB 署名は、Windows Server との間のすべての SMB トラフィックに適用される暗号化チェックサムです。システム管理者の多くは、サーバーで SMB 署名機能を有効化し、リモートユーザーが 100% 認証されており、ドメインの一部であることを確認します。さらに、John the Ripper や L0phtCrack などのツールによる辞書攻撃で簡単に破られることのない強力なパスワードの使用を義務付けるポリシーを実施するようにしてください。SMB 署名は、リモートの Windows Server から求められた場合、Nessus が自動的に使用します。Windows セキュリティに対し、コンピューターからの不正なハッシュの再利用によるサーバーの攻撃など、さまざまな種類の攻撃が行われています。SMB 署名は、これらの中間者攻撃を防ぐためにセキュリティ層を追加します。
- SPNEGO (Simple and Protected Negotiate) プロトコルは、ユーザーの Windows ログイン認証情報を介して、Windows クライアントからさまざまな保護リソースへのシングルサインオン (SSO) 機能を提供します。Nessus は、SPNEGO スキャンとポリシーの使用をサポートします : LMv2 認証付きの NTLMSSP または Kerberos と RC4 暗号化のいずれかで 151 のうち 54 をスキャンします。SPNEGO 認証は、NTLM または Kerberos 認証を通じて行われます。Nessus ポリシーで設定する必要はありません。
- 拡張セキュリティスキーム (Kerberos、SPNEGO など) がサポートされていないか、または失敗した場合、Nessus は NTLMSSP/LMv2 認証を介してログインを試みます。それが失敗した場合、Nessus は NTLM 認証を使用してログインを試行します。
- Nessus は、Windows ドメインでの Kerberos 認証の使用もサポートしています。上記を設定するには、Kerberos ドメインコントローラーの IP アドレス (実際には、Windows Active Directory サーバーの IP アドレス) を提供する必要があります。
サーバーメッセージブロック (SMB) は、コンピューターがネットワーク全体で情報を共有できるようにするファイル共有プロトコルです。この情報を Nessus に提供することで、リモートの Windows ホストからローカル情報を見つけられるようになります。たとえば、認証情報を使用すると、Nessus は重要なセキュリティパッチが適用されているかどうかを判断できます。他の SMB パラメーターをデフォルト設定から変更する必要はありません。
SMB ドメイン設定はオプションであり、Nessus はこの設定がなくてもドメイン認証情報を使用してログオンできます。ユーザー名、パスワード、オプションのドメインは、ターゲットのマシンが認識しているアカウントを参照します。たとえば、joesmith というユーザー名と my4x4mpl3 というパスワードを入力すると、Windows Server は、まずローカルシステムのユーザーリストでこのユーザー名を検索し、それがドメインの一部であるかどうかを判断します。
使用される認証情報に関係なく、Nessus は常に次の組み合わせで Windows Server へのログインを試行します。
- パスワードを持たない管理者
- ゲストアカウントをテストするためのランダムなユーザー名とパスワード
- ユーザー名とパスワードなしで null セッションをテスト
実際のドメイン名は、アカウント名がコンピューター上のアカウント名とドメイン上で異なる場合にのみ必要となります。Windows Server とドメイン内で管理者アカウントを持つことができます。この場合、ローカルサーバーにログオンするために、管理者のユーザー名がそのアカウントのパスワードと共に使用されます。ドメインにログオンするには、管理者のユーザー名をメインパスワードとドメイン名とともに使用します。
複数の SMB アカウントが設定されている場合、Nessus は提供された認証情報で順次ログインを試行します。Nessus は、一連の認証情報で認証できるようになると、提供された次の認証情報を確認しますが、以前のアカウントがユーザーアクセスを提供したときに管理者権限が付与されている場合にのみそれらを使用します。
Windows の一部のバージョンでは、新しいアカウントが作成でき、そのアカウントを管理者として指定できます。これらのアカウントは、認証情報スキャンの実行に必ずしも適しているとは限りません。Tenable は、完全なアクセスが許可されるように、認証情報のスキャンには管理者と名付けられたオリジナルの管理アカウントを使用することを推奨します。Windows の一部のバージョンでは、このアカウントは非表示となっている場合があります。実際の管理者アカウントは、管理者権限で DOS プロンプトを実行し、次のコマンドを入力することで非表示にできます。
C:\> net user administrator /active:yes
SMB アカウントが制限付き管理者権限で作成されている場合、Nessus は複数のドメインを簡単かつ安全にスキャンできます。Tenable は、ネットワーク管理者がテストを容易にするために特定のドメインアカウントの作成を検討することを推奨しています。Nessus は、ドメインアカウントが提供された場合、Windows 10、11、Windows Server 2012、Server 2012 R2、Server 2016、Server 2019、Server 2022 に対してさまざまなセキュリティチェックをより正確に行えます。アカウントが提供されていない場合でも、Nessus は複数のチェックを試行します。
注意: Windows リモートレジストリサービスを使用すると、認証情報を持つリモートコンピューターが監査対象のコンピューターのレジストリにアクセスできます。サービスが実行されていない場合、認証情報が完全でも、キーと値をレジストリから読み取れません。認証情報を使用してシステムを完全に監査するには、Nessus 認証情報スキャン用にこのサービスを開始する必要があります。
詳細は、Tenable ブログ投稿を参照してください。
Windows システムでの認証情報スキャンでは、完全な管理者レベルのアカウントを使用する必要があります。Microsoft のセキュリティ情報とソフトウェア更新プログラムにより、レジストリが読み取られ、ソフトウェアパッチレベルは管理者権限なしでは信頼できないと判断されましたが、すべてではありません。Nessus プラグインは、提供された認証情報が完全な管理者アクセス権を持っていることを確認し、適切に実行されるようにします。たとえば、ファイルシステムを直接読み取るためには、完全な管理者としてアクセスする必要があります。これにより Nessus をコンピューターにアタッチし、ファイル分析を直接実行して評価対象システムの実際のパッチレベルを判断できます。
認証方法
オプション | Default (デフォルト) | 説明 |
---|---|---|
暗号化されていない認証情報を送信しない |
有効 |
セキュリティ上の理由から、デフォルトで、Windows 認証情報を暗号化されていないテキストで送信することはできません。 |
Do not use NTLMv1 authentication |
有効 |
このオプションが無効になっている場合、理論的には、NTLM バージョン 1 プロトコル経由でドメイン認証情報を使用し、Nessus を誘導して Windows Server へのログインを試みることが可能です。これにより、リモートの攻撃者は Nessus から取得したハッシュを使用できます。このハッシュは解読され、ユーザー名またはパスワードが特定される可能性があります。また、その他のサーバーに直接ログインするために使用される可能性もあります。スキャン時に [Only use NTLMv2] (NTLMv2 のみ使用) 設定を有効にすると、Nessus は強制的に NTLMv2 を使用します。これにより、悪意のある Windows サーバーが NTLM を使用してハッシュを受信することを防ぎます。NTLMv1 は安全なプロトコルではないため、このオプションはデフォルトで有効となっています。 |
Start the Remote Registry service during the scan |
無効 |
このオプションは、スキャン対象のコンピューターでリモートレジストリサービスが実行されていない場合に、開始するよう Nessus に指示します。Nessus が Windows ローカルチェックプラグインを実行するには、このサービスが実行されている必要があります。 |
Enable administrative shares during the scan |
無効 |
このオプションにより、Nessus は ADMIN$ および C$ の管理共有にアクセスできます。これは、管理者権限で読み取ることができます。 注意: この設定が適切に機能するようにするには、管理共有を有効にする必要があります。ほとんどのオペレーティングシステムでは、ADMIN$ および C$ がデフォルトで有効になっています。ただし、Windows 10、Windows 11、およびそれ以降の Windows バージョンでは、デフォルトで ADMIN$ が無効になっています。したがって、レジストリエントリへのフルアクセスのためにこの設定を使用することに加えて、Windows 環境の ADMIN$ を手動で有効にする必要があります。詳細については、https://support.microsoft.com/kb/842715/en-us を参照してください。 |
Start the Server service during the scan | 無効 |
有効になっている場合、スキャナーによって Windows Server サービスが一時的に有効になります。これによって、コンピューターはネットワーク上のファイルと他のデバイスを共有できます。スキャンが完了すると、サービスは無効になります。 デフォルトでは、Windows システムによって Windows Server サービスは無効になっており、この設定を有効にする必要はありません。ただし、ご利用の環境で Windows Server サービスを無効にし、SMB 認証情報を使用してスキャンする場合は、スキャナーがリモートでファイルにアクセスできるようにこの設定を有効にする必要があります。 |
ヒント: CyberArk の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Nessus Manager は、CyberArk から認証情報を取得してスキャンに使用します。
オプション | 説明 | 必須 |
---|---|---|
CyberArk ホスト |
CyberArk AIM Web サービスの IP アドレスまたは FQDN 名。これは、ホスト、または 1 つの文字列にカスタム URL が追加されたホストにすることができます。 |
〇 |
ポート |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
AppID |
CyberArk API 接続に関連するアプリケーション ID。 |
〇 |
クライアント証明書 | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 |
✕ |
クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル。 |
○ (秘密鍵が適用されている場合) |
クライアント証明書のプライベートキーのパスフレーズ | プライベートキーのパスフレーズ (必要な場合)。 |
○ (秘密鍵が適用されている場合) |
Kerberos ターゲット認証 |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
キー配布センター (KDC) |
(Kerberos ターゲット認証が有効な場合は必須) このホストがユーザーにセッションチケットを提供します。 |
〇 |
KDC ポート |
Kerberos 認証 API が通信するポート。デフォルトでは、Tenable は 88 を使用します。 |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
|
Domain (ドメイン) |
(Kerberos ターゲット認証が有効な場合は必須) Kerberos ターゲット認証が属するドメイン (該当する場合)。 |
〇 |
認証情報の取得 |
CyberArk API 認証情報を取得する方法。[アドレス]、[識別子]、[パラメーター]、または [ユーザー名] のいずれかです。 注意: [パラメーター] オプションの詳細については、パラメーターオプションの表を参照してください。 注意: ユーザー名のクエリ頻度は、ターゲットごとにクエリ 1 回です。識別子のクエリの頻度は、チャンクごとにクエリ 1 回です。この機能では、すべてのターゲットに同じ識別子が必要です。 |
はい |
Username |
([Get credential by] がユーザー名に設定されている場合) パスワードを要求する CyberArk ユーザーのユーザー名。 |
✕ |
Safe |
認証情報を取得するべき CyberArk のセーフ。 |
✕ |
アドレス | このオプションは、アドレス値が単一の CyberArk アカウント認証情報に対して一意である場合にのみ使用します。 | ✕ |
アカウント名 | ([認証情報の取得] が [識別子] の場合) CyberArk API の認証情報が割り当てられる固有のアカウント名または識別子。 | ✕ |
Use SSL (SSL の使用) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を介した SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が安全な通信のために IIS によって SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
ヒント: CyberArk の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
Tenable と CyberArk との統合による大幅な改善を利用して、複数のターゲットを入力することなく特定のターゲットグループのアカウント情報を一括で収集できるようになりました。
オプション |
説明 |
必須 |
---|---|---|
CyberArk Host (Delinea ホスト) |
ユーザーの CyberArk インスタンスの IP アドレスまたは FQDN 名。 |
〇 |
ポート |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
AppID |
CyberArk API 接続に関連付けられているアプリケーション ID。 |
〇 |
Safe |
ユーザーは、オプションで Safe ボックスを指定してアカウント情報を収集し、パスワードをリクエストできます。 |
✕ |
AIM ウェブサービス認証のタイプ |
この機能では、2 つの認証方法が確立されています。IIS 基本認証と証明書認証です。証明書認証は、暗号化することも非暗号化することもできます。 |
〇 |
CyberArk PVWA ウェブ UI ログイン名 |
CyberArk ウェブコンソールにログインするためのユーザー名。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
CyberArk PVWA ウェブ UI ログインパスワード |
CyberArk ウェブコンソールにログインするためのユーザー名のパスワード。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
CyberArk プラットフォーム検索文字列 |
アカウント情報を一括収集するために PVWA REST API クエリパラメーターで使用される文字列。たとえば、UnixSSH Admin TestSafe と入力すると、TestSafe というセーフにある、ユーザー名 Admin を含むすべての Windows プラットフォームのアカウントを収集できます。 注意: これは完全一致ではないキーワード検索です。精度を向上させるために、CyberArk でカスタムプラットフォーム名を作成し、このフィールドにその値を入力することをお勧めします。 |
〇 |
Use SSL (SSL の使用) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を通して SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
〇 |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が IIS を通して SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
ヒント: CyberArk の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Nessus Manager は、CyberArk から認証情報を取得してスキャンに使用します。
オプション | 説明 |
---|---|
Username (ユーザー名) |
ターゲットシステムのユーザー名。 |
CyberArk AIM Service URL |
AIM サービスの URL。デフォルトでは、この設定は |
Central Credential Provider Host |
CyberArk Central Credential Provider の IP/DNS アドレス。 |
Central Credential Provider Port |
CyberArk Central Credential Provider がリッスンするポート。 |
Central Credential Provider Username |
CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、この設定に入力して認証できます。 |
Central Credential Provider Password |
CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、この設定に入力して認証できます。 |
Safe |
取得する認証情報が格納されていた CyberArk Central Credential Provider サーバー上の金庫。 |
CyberArk Client Certificate | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 |
CyberArk Client Certificate Private Key | クライアント証明書の PEM 秘密鍵を含むファイル。 |
CyberArk Client Certificate Private Key Passphrase | 秘密鍵のパスフレーズ (必要な場合)。 |
AppId | CyberArk Central Credential Provider でターゲットパスワードを取得するためのアクセス許可を割り当てられたAppId。 |
Folder | 取得する認証情報が格納されている CyberArk Central Credential Provider サーバー上のフォルダー。 |
PolicyId |
CyberArk Central Credential Provider から取得する認証情報に割り当てられたポリシー ID です。 |
Use SSL (SSL の使用) |
CyberArk Central Credential Provider が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。 |
Verify SSL Certificate (SSL 証明書の検証) |
CyberArk Central Credential Provider が IIS 経由で SSL をサポートするように設定されていて、その証明書を検証する場合は、これを有効にします。自己署名証明書の使用方法については、custom_CA.inc ドキュメントを参照してください。 |
CyberArk Account Details Name |
CyberArk から取得する認証情報の一意の名前 |
ヒント: Delinea の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
オプション | 説明 | 必須 |
---|---|---|
Delinea Authentication Method (Delinea 認証方法) | 認証に認証情報と API キーのどちらを使用するかを示します。デフォルトでは、[認証情報] が選択されています。 | 〇 |
Delinea Login Name |
Delinea サーバーに入る際の認証に使用されるユーザー名。 |
〇 |
Delinea Password |
Delinea サーバーに入る際の認証に使用されるパスワード。これは、指定した Delinea Login Name に関連付けられているものです。 |
〇 |
Delinea API キー | シークレットサーバーユーザーインターフェースで生成された API キー。この設定は、[API キー] の認証方法を選択した場合に必須です。 | 〇 |
Delinea シークレット |
Delinea サーバーのシークレットの値。シークレットには、Delinea サーバーでシークレット名のラベルが付けられています。 |
〇 |
Delinea ホスト |
API リクエストに使用する Delinea シークレットサーバー IP アドレス。 |
〇 |
Delinea Port |
API リクエスト用の Delinea Secret Server ポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
チェックアウト期間 |
Tenable が Delinea からパスワードをチェックアウトする期間。期間は時間単位で、スキャン時間より長くしてください。 |
〇 |
Use SSL (SSL の使用) |
Delinea Secret Server が SSL をサポートするように設定されている場合は有効にします。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Delinea サーバーで SSL 証明書を検証します。 |
✕ |
ヒント: QiAnXin の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
オプション | 説明 | 必須 |
---|---|---|
QiAnXin ホスト |
QiAnXin ホストの IP アドレスまたは URL。 |
〇 |
QiAnXin ポート |
QiAnXin API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
QiAnXin API クライアント ID |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションのクライアント ID。 |
〇 |
QiAnXin API 秘密 ID |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションの秘密 ID。 |
〇 |
Domain (ドメイン) | ユーザー名が属するドメイン |
✕ |
Username (ユーザー名) |
スキャンするホストにログインするためのユーザー名 |
〇 |
ホスト IP |
使用するアカウントを含む資産のホスト IP を指定します。指定しない場合、スキャンターゲット IP が使用されます。 |
✕ |
プラットフォーム |
使用するアカウントを含む資産のプラットフォーム (資産タイプに基づく) を指定します。指定しない場合、認証情報のタイプに基づいてデフォルトのターゲットが使用されます (たとえば、Windows 認証情報の場合、デフォルトは WINDOWS です)。可能な値は次のとおりです。
|
✕ |
リージョン ID |
使用するアカウントを含む資産のリージョン ID を指定します。 |
複数のリージョンを使用している場合のみ。 |
Use SSL (SSL の使用) | 有効にすると、Tenable は安全な通信のために SSL を使用します。このオプションはデフォルトで有効です。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Tenable は、サーバーの SSL 証明書が信頼できる認証局によって署名されたものかどうかを検証します。 |
✕ |
ヒント: Senhasegura の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
オプション | 説明 | 必須 |
---|---|---|
Senhasegura ホスト |
Senhasegura ホストの IP アドレスまたは URL です。 |
〇 |
Senhasegura ポート |
Senhasegura API が通信に使用するポートです。Tenable はデフォルトで 443 を使用します。 |
〇 |
Senhasegura API クライアント ID |
Oauth 2.0 API 認証に適用される Senhasegura A2A アプリケーションのクライアント ID です。 |
〇 |
Senhasegura API のシークレット ID | Oauth 2.0 API 認証に適用される Senhasegura A2A アプリケーションのシークレット ID です。 |
〇 |
Domain (ドメイン) | ユーザー名が属するドメイン |
✕ |
Senhasegura 認証情報 ID または識別子 | 取得をリクエストしている認証情報の認証情報 ID または識別子です。 |
〇 |
秘密鍵ファイル |
A2A からの暗号化された機密データを復号するために使用される秘密鍵です。 注意: A2A アプリケーション認証で機密データの暗号化を有効にできます。有効にした場合、ユーザーはスキャン認証情報に秘密鍵ファイルを指定する必要があります。これは、Senhasegura の該当する A2A アプリケーションからダウンロードできます。 |
A2A アプリケーション認証で機密データの暗号化を有効にした場合には必須です。 |
HTTPS |
このオプションはデフォルトで有効です。 |
〇 |
SSL 証明書を検証する |
これはデフォルトでは無効になっています。 |
✕ |
オプション | デフォルト値 |
---|---|
Username (ユーザー名) |
(必須) ターゲットシステムのユーザーのユーザー名。 |
Domain (ドメイン) |
Thycotic サーバーで設定されている場合、ユーザー名のドメイン。 |
Thycotic Secret Name (Thycotic シークレット名) |
(必須) Thycoticサーバーのシークレット名の値。 |
Thycotic Secret Server URL (Thycotic シークレットサーバー URL) |
(必須) スキャナーの転送方法、ターゲット、ターゲットディレクトリを設定するときに Tenable Nessus が使用する値。この値は、Thycotic サーバーの [Admin] (管理者) > [Configuration] (設定) > [Application Settings] (アプリケーション設定) > [Secret Server URL] (シークレットサーバー URL) にあります。 たとえば、https://pw.mydomain.com/SecretServer と入力した場合、Tenable Nessus はこれが SSL 接続であり、pw.mydomain.com がターゲットアドレス、/SecretServer はルートディレクトリであると判断します。 |
Thycotic Login Name (Thycotic ログイン名) |
(必須) Thycotic サーバーのユーザーのユーザー名。 |
Thycotic Password (Thycotic パスワード) |
(必須) 指定した Thycotic ログイン名に関連付けられたパスワード。 |
Thycotic Organization (Thycotic 企業) |
Thycotic のクラウドインスタンスで、Tenable Nessus クエリがターゲットにする必要がある企業を識別する値。 |
Thycotic Domain (Thycotic ドメイン) |
ドメイン (Thycotic サーバーに設定されている場合)。 |
Private Key (プライベートキー) |
有効にすると、Tenable Nessus はパスワード認証ではなく鍵ベースの認証で SSH 接続を行います。 |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Tenable Nessus は Thycotic サーバーの SSL 証明書を検証します。 自己署名証明書の使用の詳細については、カスタム SSL サーバー証明書を参照してください。 |
ヒント: BeyondTrust の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
オプション | 説明 | 必須 |
---|---|---|
Username (ユーザー名) | ターゲットシステムのユーザー名。 |
〇 |
Domain (ドメイン) | ドメイン (ユーザー名がドメインの一部である場合) |
✕ |
Lieberman ホスト |
Lieberman の IP/DNS アドレス。 注意: Lieberman インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
Lieberman ポート | Lieberman がリッスンするポート。 |
〇 |
Lieberman API URL | Tenable Nessus が Lieberman へのアクセスに使用する URL。 | ✕ |
Lieberman ユーザー | Lieberman RED API への認証に使用される Lieberman 明示ユーザーです。 |
〇 |
Lieberman パスワード | Lieberman 明示ユーザーのパスワード。 |
〇 |
Lieberman 認証 |
Lieberman のオーセンティケーターに使用されるエイリアス。この名前は Lieberman で使用される名前に一致する必要があります。 注意: このオプションを使用する場合は、[Lieberman ユーザー] オプションにドメインを追加してください (例: domain\user)。 |
✕ |
Lieberman クライアント証明書 |
Lieberman ホストとの通信に使用される PEM 証明書を含むファイル。 注意: このオプションを使用する場合は、[Lieberman ユーザー]、[Lieberman パスワード]、[Lieberman 認証] の各フィールドに情報を入力する必要はありません。 |
✕ |
Lieberman クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル。 | ✕ |
Lieberman クライアント証明書の秘密鍵パスフレーズ | プライベートキーのパスフレーズ (必要な場合)。 | ✕ |
Use SSL (SSL の使用) |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
Lieberman が IIS 経由で SSL をサポートするように設定されていて、その証明書を検証する場合は、これを有効にします。自己署名証明書の使用方法については、custom_CA.inc ドキュメントを参照してください。 |
✕ |
システム名 | まれなケースではあるものの、お客様の企業がすべての管理対象システムにデフォルトの Lieberman エントリを 1 つ使用している場合は、デフォルトのエントリ名を入力します。 |
✕ |
ヒント: Wallix Bastion の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
オプション | 説明 | 必須 |
---|---|---|
WALLIX Host (Delinea ホスト) |
WALLIX Bastion ホストの IP アドレス。 |
〇 |
WALLIX ポート |
WALLIX Bastion API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
Authentication Type (認証タイプ) |
[Basic] (基本) 認証 (WALLIX Bastion ユーザーインターフェースのユーザー名とパスワードが必要) または [API Key] (API キー) 認証 (ユーザー名と WALLIX Bastion 生成の API キーが必要)。 |
✕ |
WALLIX ユーザー |
WALLIX Bastion ユーザーインターフェースのログインユーザー名。 |
〇 |
WALLIX Password (Delinea パスワード) | WALLIX Bastion ユーザーインターフェースのログインパスワード。API への [Basic] (基本) 認証に使用されます。 | 〇 |
WALLIX API キー | WALLIX Bastion ユーザーインターフェースで生成された API キー。API への [API Key] (API キー) 認証に使用されます。 | 〇 |
Get Credential by Device Account Name |
ターゲットシステムへのログインに使用するデバイスが関連付けられているアカウント名。 注意: デバイスに複数のアカウントがある場合、認証情報を取得するアカウントの特定のデバイス名を入力する必要があります。入力しないと、システムから誤ったアカウントの認証情報が返される可能性があります。 |
複数のアカウントがあるターゲットやデバイスを使用している場合にのみ必要です。 |
HTTPS |
これはデフォルトで有効です。 注意: HTTPS を無効にすると、統合が失敗します。 |
〇 |
Verify SSL Certificate (SSL 証明書の検証) |
これはデフォルトで無効になっており、WALLIX Bastion PAM 統合ではサポートされていません。 |
✕ |
権限昇格方法 |
これにより、WALLIX Bastion 特権アクセス管理 (PAM) が有効になります。ドロップダウンメニューを使用して、権限昇格方法を選択します。この機能をバイパスするには、このフィールドを [Nothing] (なし) に設定されたままにします。 警告: PAM を有効にするには、WALLIX Bastion アカウントで、WALLIX Bastion スーパー管理者がアカウントの「認証情報回復」を有効にしている必要があります。有効にしないと、スキャンから結果が返されない可能性があります。詳細は、WALLIX Bastion ドキュメントを参照してください。 注意: su、su+sudo、sudo など、複数の権限昇格オプションがサポートされています。たとえば sudo を選択すると、[sudo user] (sudo ユーザー)、[Escalation Account Name] (昇格アカウント名)、[Location of su and sudo] (su と sudo の場所) のフィールドが追加で表示され、これらのフィールドに入力することで WALLIX Bastion PAM による認証と権限昇格をサポートできます。権限昇格を完了するには、[Escalation Account Name] (エスカレーションアカウント名) フィールドに入力する必要があります。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、 |
権限昇格を行う場合に必要です。 |
Database Port (データベースのポート) |
通信に対して Oracle データベースインスタンスがリッスンする TCP ポート。デフォルトはポート 1521 です。 |
✕ |
Auth Type (認証方法) |
データベースインスタンスにアクセスするために Tenable が使用するアカウントの種類。
|
✕ |
Service Type (サービスの種類) | データベースインスタンスを指定するために使用する Oracle パラメーター: SID または SERVICE_NAME |
✕ |
Service (サービス) |
データベースインスタンスの SID 値または SERVICE_NAME 値。 入力する [Service] (サービス) 値は、[Service Type] (サービスタイプ) オプションのパラメーターとして選択した値と一致する必要があります。 |
〇 |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
ヒント: HashiCorp の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
Windows と SSH の認証情報 | ||
---|---|---|
オプション | 説明 |
必須 |
Hashicorp Vault host (Hashicorp Vault ホスト) |
Hashicorp Vault IP アドレスまたは DNS アドレス。 注意: Hashicorp Vault インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
Hashicorp Vault port (Hashicorp Vault ポート) | Hashicorp Vault がリッスンするポート。 | 〇 |
Authentication Type (認証タイプ) |
インスタンスに接続するための認証タイプとして、[App Role] (アプリロール) または [Certificates] (証明書) を指定します。 [証明書] を選択すると、[Hashicorp Client Certificate] (Hashicorp クライアント証明書) (必須) および [Hashicorp Client Certificate Private Key] (Hashicorp クライアント証明書の秘密鍵) (必須) の追加オプションが表示されます。クライアント証明書と秘密鍵にそれぞれ適切なファイルを選択してください。 |
〇 |
Role ID (ロール ID) | App Role を構成したときに Hashicorp Vault によって提供される GUID です。 | 〇 |
Role Secret ID (ロールシークレット名) |
App Role を構成したときに Hashicorp Vault によって生成される GUID です。 |
〇 |
Authentication URL (認証 URL) |
認証エンドポイントへのパス/サブディレクトリ。This is not the full URL. (これは完全な URL ではありません。)たとえば、 /v1/auth/approle/login |
〇 |
Namespace (名前空間) | マルチチーム環境で指定されたチームの名前 | ✕ |
Vault Type (Vault タイプ) |
Tenable Nessus バージョン: KV1、KV2、AD、LDAP。Tenable Nessus バージョンの詳細については、Tenable Nessus のドキュメントを参照してください。 |
〇 |
KV1 Engine URL (KV1 エンジン URL) |
(KV1) Tenable Nessus が KV1 エンジンへのアクセスに使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV1 Vault タイプを選択した場合) |
KV2 エンジン URL |
(KV2) Tenable Nessus が KV2 エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV2 Vault タイプを選択した場合) |
AD Engine URL (AD エンジン URL) |
(AD) Tenable Nessus が Active Directory エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (AD Vault タイプを選択した場合) |
LDAP Engine URL (LDAP エンジン URL) |
(LDAP) Tenable Nessus が LDAP エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (LDAP Vault タイプを選択した場合) |
Username Source (ユーザー名ソース) | (KV1 および KV2) ユーザー名が手動で入力されるか、Hashicorp Vault からプルするかを指定するドロップダウンボックスです。 | 〇 |
Username Key (ユーザー名鍵) | (KV1 および KV2) ユーザー名が格納されている Hashicorp Vault での名前です。 | 〇 |
Password Key (パスワード鍵) | (KV1 および KV2) パスワードが格納されている Hashicorp Vault での鍵です。 | yes |
Domain Key (Windows) (ドメイン鍵 (Windows)) |
(Kerberos ターゲット認証が有効な場合は必須。) ドメインが保存される秘密鍵の名前です。 |
yes |
Secret Name (秘密名) | (KV1、KV2、AD) 値を取得したい鍵秘密です。 | 〇 |
Kerberos ターゲット認証 |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
Key Distribution Center (KDC) |
(Kerberos ターゲット認証が有効な場合は必須。) このホストは、ユーザーにセッションチケットを提供します。 |
〇 |
KDC ポート |
Kerberos 認証 API が通信するポート。デフォルトでは、Tenable は 88 を使用します。 |
✕ |
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
✕ |
ドメイン (Windows) |
(Kerberos ターゲット認証が有効な場合は必須。) Kerberos ターゲット認証が属するドメイン (該当する場合)。 |
〇 |
レルム (SSH) |
(Kerberos ターゲット認証が有効な場合は必須。) Realm は、通常標的のドメイン名として記録されている認証ドメインです (例: example.com)。 |
yes |
Use SSL (SSL の使用) | 有効にすると、Tenable Nessus Manager は安全な通信のために SSL を使用します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | ✕ |
Verify SSL Certificate (SSL 証明書の検証) | 有効にすると、Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | no |
Tenable Nessus に対して有効にする | Tenable Nessus での IBM DataPower Gateway の使用を有効または無効にします。 | 〇 |
権限昇格方法 (SSH) |
スキャンの実行時に追加の権限を使用するには、su や sudo などの権限昇格手法を使用します。 注意: Tenable では、権限昇格のために su、su+sudo、sudo などの複数のオプションを使用できます。たとえば sudo を選択すると、sudo ユーザー、昇格アカウントの秘密名、sudo の場所 (ディレクトリ) のフィールドが追加で表示され、これらのフィールドに入力することで Tenable Nessus による認証と権限昇格をサポートできます。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、Nessus ユーザーガイドおよびTenable Vulnerability Management ユーザーガイドを参照してください。 |
権限昇格を行う場合は必須です。 |
昇格アカウントシークレット名 (SSH) | 昇格アカウントのユーザー名またはパスワードが最小権限ユーザーと異なる場合、昇格アカウント認証情報の認証情報 ID または識別子をここに入力します。 | ✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
オプション | デフォルト値 |
---|---|
Centrify ホスト |
(必須) Centrify IP アドレスまたは DNS アドレスです。 注意: Centrify インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
Centrify Port |
Centrify がリッスンするポート。 |
API User | (必須) Centrify が提供する API ユーザー |
API Key (API キー) |
(必須) Centrify が提供する API キー。 |
Tenant | マルチチーム環境で指定されたチームの名前です。 |
Authentication URL (認証 URL) |
Tenable Nessus Manager が Centrify へのアクセスに使用する URL。 |
Password Engine URL | マルチチーム環境で指定されたチームの名前です。 |
Username (ユーザー名) | (必須) スキャンするホストにログインするためのユーザー名。 |
Checkout duration |
Centrify で認証情報のチェックアウト状態を保持する時間 (分)。 チェックアウトの期間は、 Tenable Nessus Manager における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意 : Centrify でパスワードの変更間隔を設定し、パスワード変更によって Tenable Nessus Manager スキャンが中断されないようにします。スキャン中に Centrify がパスワードを変更すると、スキャンは失敗します。 |
Use SSL (SSL の使用) | 有効にすると、 Tenable Nessus Manager は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
Verify SSL | 有効にすると、 Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
ヒント: Arcon の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
オプション | デフォルト値 |
---|---|
Arcon のホスト |
(必須) Arcon IP アドレスまたは DNS アドレスです。 注意: Arcon インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
Arcon port |
Arcon がリッスンするポート。 |
API User |
(必須) Arcon が提供するAPIユーザーです。 |
API キー |
(必須) Arcon が提供するAPIキーです。 |
Authentication URL (認証 URL) | Tenable Nessus Manager が Arcon へのアクセスに使用する URL。 |
Password Engine URL |
Tenable Nessus Manager が Arcon のパスワードへのアクセスに使用する URL。 |
Username (ユーザー名) | (必須) スキャンするホストにログインするためのユーザー名。 |
Arcon ターゲットタイプ | (オプション) ターゲットタイプの名前。お使いの Arcon PAM のバージョンと SSH 認証情報を作成したシステムのタイプにより異なりますが、デフォルトでは linux に設定されます。正しいターゲットタイプ値を知るためのターゲットタイプ/システムタイプのマッピングは、Arcon PAM 仕様ドキュメント (Arcon 提供) を参照してください。 |
チェックアウト期間 |
(必須) Arcon で認証情報のチェックアウト状態を保持する時間 (時間)です。 チェックアウトの期間は、Tenable Vulnerability Management における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意 : Arcon でパスワードの変更間隔を設定し、パスワード変更によって Tenable Vulnerability Management スキャンが中断されないようにします。スキャン中に Arcon がパスワードを変更すると、スキャンは失敗します。 |
Use SSL (SSL の使用) | 有効にすると、 Tenable Nessus Manager は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
Verify SSL | 有効にすると、 Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |