ホスト

Tenable Vulnerability Management では、次の形式のホスト認証がサポートされます。

注意: 選択したスキャンテンプレートによっては、一部の認証情報タイプが設定に利用できない場合があります。

SNMPv3

SNMPv3 認証情報を使用して、暗号化されたネットワーク管理プロトコルを使用するリモートシステムをスキャンします。(ネットワークデバイスを含む。)Tenable Vulnerability Management はこれらの認証情報を使用して、パッチ監査やコンプライアンスチェックをスキャンします。

注意: SNMPv3 オプションは、高度なネットワークのスキャンテンプレートでのみ使用できます。

[認証情報] リストの [SNMPv3] をクリックして、次の項目を設定します。

オプション 説明 デフォルト

必須

ユーザー名

(必須) ターゲットのシステムでチェックを実行するために Tenable Vulnerability Management が使用する、SNMPv3 のアカウントのユーザー名

-

ポート

Tenable Vulnerability Management からの通信に対して SNMPv3 がリッスンする TCP ポート

161

Security level

SNMP のセキュリティレベル:

  • プライバシーのない認証
  • 認証とプライバシー
認証とプライバシー

認証アルゴリズム

削除サービスがサポートするアルゴリズム: SHA1SHA224SHA-256SHA-384SHA-512、または MD5

SHA1 〇 (認証を選択する場合)

Authentication password

(必須) ユーザー名に関連付けられたパスワード

- 〇 (認証を選択する場合)

プライバシーアルゴリズム

SNMP トラフィックに使用する暗号アルゴリズム: AESAES-192AES-192CAES-256AES-256C、または DES

AES-192

〇 (プライバシーのある認証を選択する場合)

Privacy password

(必須) 暗号化された SNMP 通信を保護するために使用されるパスワード

- 〇 (プライバシーのある認証を選択する場合)

SSH

Unix システムとサポートされているネットワークデバイスで、ホストベースのチェックに SSH 認証情報を使用します。Tenable Vulnerability Management はこれらの認証情報を使用して、パッチ監査やコンプライアンスチェックのために、リモート Unix システムからローカル情報を取得します。Tenable Vulnerability Management は、セキュアシェル (SSH) プロトコルバージョン2ベースのプログラム (OpenSSH、Solaris SSH など) をホストベースのチェックに使用します。

Tenable Vulnerability Management は、スニファープログラムによる表示から保護するためにデータを暗号化します。

注意: Linuxシステムにローカルでアクセス可能な特権ユーザー以外のユーザーは、パッチレベルや /etc/passwd ファイルへの入力といった基本的なセキュリティ問題を判断できます。システム設定データやシステム全体のファイルのアクセス許可など、より包括的な情報を得るには、ルート権限を持つアカウントが必要です。

注意: 1 つのスキャンに最大 1000 個の SSH 認証情報を追加できます。最高のパフォーマンスを得るために、Tenable は追加する SSH 認証情報をスキャンあたりで 10 個以下にすることを推奨しています。

[認証情報] リストで [SSH] を選択して、次の SSH 認証方法の設定を行います。

注意: Unix システムのローカルアクセス権を持つ特権ユーザー以外は、パッチレベルや /etc/passwd ファイルのエントリなど、基本的なセキュリティ問題を特定できます。システム設定データやシステム全体のファイルのアクセス許可など、より包括的な情報を得るには、ルート権限を持つアカウントが必要です。

Windows

[認証情報] リストの [Windows] をクリックして、以下の Windows ベースの認証方法の設定を行います。

Windows 認証の考慮事項

認証方法について:

  • Tenable Vulnerability Management は、リモート Windows Server で必要とされる場合、SMB 署名を自動的に使用します。SMB 署名は、Windows Server との間のすべての SMB トラフィックに適用される暗号化チェックサムです。システム管理者の多くは、サーバーで SMB 署名機能を有効化し、リモートユーザーが 100% 認証されており、ドメインの一部であることを確認します。さらに、John the Ripper や L0phtCrack などのツールによる辞書攻撃で簡単に破られることのない強力なパスワードの使用を義務付けるポリシーを実施するようにしてください。Windows セキュリティに対し、コンピューターからの不正なハッシュの再利用によるサーバーの攻撃など、さまざまな種類の攻撃が行われています。SMB 署名は、これらの中間者攻撃を防ぐためにセキュリティ層を追加します。
  • SPNEGO (Simple and Protected Negotiate) プロトコルは、ユーザーの Windows ログイン認証情報を介して、Windows クライアントからさまざまな保護リソースへのシングルサインオン (SSO) 機能を提供します。Tenable Vulnerability Management は、SPNEGO スキャンとポリシーの使用をサポートします。すなわち、LMv2 認証付きの NTLMSSP または Kerberos と RC4 暗号化のいずれかで 151 のうち 54 をスキャンします。SPNEGO 認証は、NTLM 認証または Kerberos 認証を通じて行われるため、Tenable Vulnerability Management スキャン設定では何も設定する必要がありません。
  • 拡張セキュリティスキーム (Kerberos、SPNEGO など) がサポートされていないか、または失敗した場合、Tenable Vulnerability Management はNTLMSSP/LMv2 認証を介してログインを試みます。上記が失敗した場合、Tenable Vulnerability Management は NTLM 認証を使用してログインを試行します。
  • Tenable Vulnerability Management は、Windows ドメインでの Kerberos 認証の使用もサポートしています。これを設定するには、Kerberos ドメインコントローラーの IP アドレス (実際には、Windows Active Directory サーバーの IP アドレス) を指定する必要があります。

サーバーメッセージブロック (SMB) は、コンピューターがネットワーク全体で情報を共有できるようにするファイル共有プロトコルです。この情報を Tenable Vulnerability Managementに提供することで、リモートの Windows ホストからローカル情報を見つけられるようになります。たとえば、認証情報を使用すると、Tenable Vulnerability Management は重要なセキュリティパッチが適用されているかどうかを判断できます。他の SMB パラメーターをデフォルト設定から変更する必要はありません。

SMB ドメインフィールドはオプションであり、Tenable Vulnerability Management はこのフィールドがなくてもドメイン認証情報を使用してログオンできます。ユーザー名、パスワード、オプションのドメインは、ターゲットのマシンが認識しているアカウントを参照します。たとえば、joesmith というユーザー名と my4x4mpl3 というパスワードを入力すると、Windows Server は、まずローカルシステムのユーザーリストでこのユーザー名を検索し、それがドメインの一部であるかどうかを判断します。

使用される認証情報が何であろうと、Tenable Vulnerability Management は常に次の組み合わせで Windows Server へのログインを試行します。

  • パスワードを持たない管理者
  • ゲストアカウントをテストするためのランダムなユーザー名とパスワード
  • ユーザー名とパスワードなしで null セッションをテスト

実際のドメイン名は、アカウント名がコンピューター上のアカウント名とドメイン上で異なる場合にのみ必要となります。Windows Server とドメイン内で管理者アカウントを持つことができます。この場合、ローカルサーバーにログオンするには、管理者のユーザー名がそのアカウントのパスワードと共に使用されます。ドメインにログオンする際にも管理者のユーザー名が使用されますが、ドメインパスワードとドメイン名が共に使用されます。

複数の SMB アカウントが設定されている場合、Tenable Vulnerability Management は指定された認証情報を使用して順番にログインを試みます。Tenable Vulnerability Management は、一連の認証情報で認証できるようになると、提供された次の認証情報を確認しますが、以前のアカウントがユーザーアクセスを提供したときに管理者権限が付与されている場合にのみ、それらを使用します。

Windows の一部のバージョンでは、新しいアカウントが作成でき、そのアカウントを管理者として指定できます。これらのアカウントは、認証情報スキャンの実行に必ずしも適しているとは限りません。Tenable は、完全なアクセスが許可されるように、認証情報のスキャンには管理者と名付けられたオリジナルの管理アカウントを使用することを推奨します。Windows の一部のバージョンでは、このアカウントは非表示となっている場合があります。実際の管理者アカウントを表示するには、管理者権限で DOS プロンプトを開いて、次のコマンドを実行します。

コピー
C:\> net user administrator /active:yes

SMB アカウントが制限付き管理者権限で作成されている場合、Tenable Vulnerability Management は複数のドメインを簡単かつ安全にスキャンできます。Tenable では、テストを容易にするために、ネットワーク管理者が特定のドメインアカウントを作成することを推奨しています。Tenable Vulnerability Management は、ドメインアカウントが提供された場合、Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 に対してさまざまなセキュリティチェックをより正確に行えます。Tenable Vulnerability Management はアカウントが提供されていなくても、大抵の場合には複数のチェックを試行します。

注意: Windows リモートレジストリサービスを使用すると、認証情報を持つリモートコンピューターが監査対象のコンピューターのレジストリにアクセスできます。サービスが実行されていない場合、認証情報が完全でも、キーと値をレジストリから読み取れません。Tenable Vulnerability Management 認証スキャンで認証情報を使用してシステムを完全に監査するには、このサービスが開始される必要があります。

詳細は、Tenable のブログ記事 Dynamic Remote Registry Auditing - Now you see it, now you don’t! を参照してください。

Windows システム上の認証情報スキャンでは、完全な管理者レベルのアカウントを使用する必要があります。Microsoft のセキュリティ情報とソフトウェア更新プログラムにより、レジストリが読み取られ、ソフトウェアパッチレベルは管理者権限なしでは信頼できないと判断されましたが、すべてではありません。Tenable Vulnerability Management プラグインは、プラグインが適切に実行されるように、提供された認証情報が完全な管理者アクセス権を持っていることを確認します。たとえば、ファイルシステムを直接読み取るためには、完全な管理者としてアクセスする必要があります。これにより Tenable Vulnerability Managementをコンピューターにアタッチし、ファイル分析を直接実行して評価対象システムの実際のパッチレベルを判断できます。