Windows上的身份验证:最佳实践

在扫描Windows资产时,我们建议您使用域或本地管理员帐户,以获得最准确的评估。管理员帐户具有正确级别的访问权限,包括注册表权限、文件系统权限,以及使用Common Internet File System (CIFS)或Windows Management Instrumentation (WMI)读取权限进行远程连接的能力。通常,用于扫描的帐户的权限级别越高,结果就会越详尽。如果您没有访问权限,或者希望限制应用程序中域或本地管理员帐户的使用,那么您可以使用具有以下权限的帐户:

  • 该帐户应该能够远程登录,而不是仅限于Guest访问。
  • 该帐户应该能够读取与已安装软件和操作系统信息相关的注册表和文件信息。

注:如果您没有使用管理员权限,那么您将不会被授予管理员共享的访问权限,并且需要为这些共享创建非管理员共享,以便对这些共享的文件系统具有读访问权限。

InsightVM和网络环境也需要按照如下方式进行配置:

  • 扫描域控制器时,由于域控制器上不存在本地管理员,必须使用域管理员帐户。
  • 确保没有防火墙阻止从InsightVM扫描引擎到端口135、139或445(见注释)的流量,以及Windows端点上的WMI随机高端口。您可以使用WMI组策略对象(GPO)设置WMI的随机高端口范围。

注:首选端口445,因为它更高效,当Windows网络中存在名称冲突时,它将继续发挥作用。

  • 如果使用域管理员帐户进行扫描,请确保域管理员也是本地管理员组的成员。否则,域管理员将被视为非管理用户。如果域管理员不是本地管理员的成员,他们可能被限制为无访问,并且用户帐户控制(UAC)将阻止他们的访问,除非采取下一步。
  • 如果使用带有UAC的本地管理员,则必须添加一个DWORD注册表键值微软HKLM \ SOFTWARE \ \ Windows \ CurrentVersion \ \ system \ LocalAccountTokenFilterPolicy政策并将该值设置为1. 确保它是DWORD而不是字符串。
  • 如果在扫描引擎主机上运行防病毒工具,请确保防病毒软件将应用程序以及应用程序发送到网络和从网络接收的所有流量列为白名单。让防病毒软件检查流量可能会导致性能问题和潜在的误报。
  • 方法验证所使用的帐户可以登录到一个或多个正在评估的资产测试证书应用程序中的功能。
  • 如果您正在使用CIFS协议,请确保正在扫描的资产启用了远程注册服务。如果您正在使用WMI,则不需要远程注册服务。

提示

限制对凭据的权限将影响扫描的可见性。如果组织的策略限制或阻止了这些配置方法,请考虑在目标资产上部署Insight代理作为另一种收集方法。必威体育app登录

阅读更多关于洞察代理在我们必威体育app登录帮助页