管理用户和认证

有效地使用扫描信息取决于您的组织如何分析和分发它,谁可以看到它,以及出于什么原因。管理对应用程序中信息的访问包括创建资产组和为用户分配角色和权限。本章提供了管理用户、角色和权限的最佳实践和指导。

将角色映射到您的组织

研究角色和权限如何映射到组织结构是很有帮助的。

提示

虽然已经包含了用户身份验证系统,但您应该将支持的任何外部身份验证服务集成到应用程序中,以避免管理多组用户信息。安全控制台支持与以下身份验证源集成:

  • 微软活动目录
  • Kerberos
  • SAML 2.0

看到使用外部源进行用户认证的指令。

在小公司,一个人可以处理所有的安全任务。他或她将是全局管理员,启动扫描、检查报告并执行补救。或者可能有一小群人共享整个系统的访问权限。在这两种情况下,都不需要创建多个角色,因为所有网络资产都可以包含在一个站点中,这需要一个单一的Scan Engine。

例如,Inc.是一个更大的公司。网络更广泛、更复杂,跨越多个物理位置和IP地址段。每个部分都有自己专门的支持团队单独管理该部分的安全性。

一个或两个全局管理员负责创建用户帐户、维护系统,并生成关于所有公司资产的高级执行报告。它们为网络的不同部分创建站点。他们指派安全管理员、站点管理员和系统管理员为这些站点运行扫描和分发报告。

全局管理员还创建各种资产组。有些将专注于资产的小子集。这些组中的非管理用户将负责修复漏洞,然后在后续扫描运行后生成报告,以验证修复成功。其他资产集团将更加全球化,但在范围上不那么细粒度。这些组中的非行政用户将是查看执行报告以跟踪公司漏洞管理计划进展的高级经理。

配置角色和权限

您是创建自定义角色还是为帐户分配预设角色取决于以下几个问题:您希望帐户持有人执行什么任务?哪些数据应该对用户可见?哪些数据不应该对用户可见。

例如,支持工作站的安全团队的经理可能需要偶尔运行扫描,然后将报告分发给团队成员,以跟踪关键漏洞并对修复任务进行优先级排序。这个帐户可能是资产所有者角色的一个很好的候选角色,它可以访问只包括工作站而不包括其他资产(如数据库服务器)的站点。

请记住,除了Global Administrator角色外,自定义或预置角色的分配与对站点和资产组的访问是相互依赖的。

如果希望为角色分配非常特定的权限集,可以创建自定义角色。下表列出并描述了所有可用的权限。有些权限需要授予其他权限才能使用。例如,为了能够创建报告,用户还必须能够查看已报告站点或资产组中的资产数据,用户还必须被授予访问权限。

这些表还指出哪些角色包括每个权限。您可能会发现,对于给定的帐户,某些角色是颗粒状的或包含足够多的。权限表后面是预先设置的角色及其包含的权限列表。看到允许用户访问资产组

权限表

全球的权限

这些权限自动应用于所有站点和资产组,不需要额外的指定访问。

许可

描述

角色

管理网站

创建、删除和配置除用户访问外的所有站点属性。隐式访问所有站点。管理共享扫描凭据。其他受影响的权限:选择此权限后,所有站点权限将自动被选中。看到网站的权限。

全球管理员

管理扫描模板

创建、删除和配置扫描模板的所有属性。

全球管理员

管理报告模板

创建、删除和配置报表模板的所有属性。

全球管理员
安全经理和站点所有者
资产拥有者
用户

管理扫描引擎

创建、删除和配置扫描引擎的所有属性;使用安全控制台对扫描引擎进行配对。

全球管理员

管理政策

复制现有的政策;编辑和删除自定义策略。

全球管理员

出现在报告列表中

出现在用户列表中,以便查看报告。

先决条件:具有此权限的用户还必须具有任何相关网站或资产组的资产查看权限:查看网站资产数据;查看组资产数据

全球管理员
安全经理和站点所有者
资产拥有者
用户

配置全局设置

配置应用于整个环境的设置,例如风险评分和从所有扫描中排除资产。

全球管理员

管理标签

创建标记并配置它们的属性。删除除内置的临界标记外的标记。隐式访问所有站点。

全球管理员

网站权限

这些权限只适用于用户被授予访问权限的站点。

许可

描述

角色

查看站点资产数据

查看可访问站点中发现的所有资产信息,包括IP地址、已安装软件、漏洞等。

全球管理员
安全经理和站点所有者
资产拥有者
用户

指定网站的元数据

输入站点描述、重要性评级和组织数据。

全球管理员
安全经理和站点所有者

指定扫描目标

添加或删除用于站点扫描的IP地址、地址范围和主机名。

全球管理员

指定扫描引擎

为站点分配扫描引擎。

全球管理员

指定扫描模板

分配扫描模板到站点。

全球管理员
安全经理和站点所有者

管理扫描警报

创建、删除和配置警报的所有属性,以通知用户有关扫描的事件。

全球管理员
安全经理和站点所有者

管理网站的凭证

提供登录凭据,以便对受密码保护的资产进行更深入的扫描

全球管理员
安全经理和站点所有者

安排自动扫描

创建和编辑网站扫描计划。

全球管理员
安全经理和站点所有者

开始计划外扫描

手动启动可访问站点的一次性扫描(不包括配置扫描设置的能力)。

全球管理员
安全经理和站点所有者
资产拥有者

清除站点资产数据

从可访问的站点手动删除资产数据。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员

管理网站访问

授予和移除用户对站点的访问权限。

全球管理员

资产组的权限

这些权限仅适用于已授予用户访问权限的资产组。

许可

描述

角色

管理动态资产组

创建动态资产组。删除并配置可访问的动态资产组的除用户访问外的所有属性。隐式访问所有站点

注意:具有此权限的用户可以查看组织中的所有资产数据。

全球管理员

管理静态资产组

创建静态资产组。删除并配置可访问的静态资产组的除用户访问外的所有属性。

先决条件:为有效管理静态资产组,具有该权限的用户还必须至少具有一个站点的访问权限:管理集团资产;查看组资产数据

全球管理员

查看组资产数据

查看可访问资产组中所有资产的已发现信息,包括IP地址、已安装软件、漏洞等。

全球管理员
安全经理和站点所有者
资产拥有者
用户

资产管理集团

在静态资产组中添加和删除资产。

注意:此权限不包括删除基础资产定义或已发现资产数据的能力。先决条件:具有此权限的用户还需具备以下权限:查看组资产数据

全球管理员

管理资产组访问

授予和移除用户对资产组的访问权限。

全球管理员

报告的权限

Create Reports权限仅适用于已授予用户访问权限的资产。其他报表权限不受任何类型的访问限制。

许可

描述

角色

创建报告

为可访问的资产创建和自己的报告;配置所有拥有的报表的属性,除了用户访问。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员
安全经理和站点所有者
资产拥有者
用户

使用限制报告部分

创建带有受限部分的报表模板;配置报表以使用带有限制部分的模板。

先决条件:具有此权限的用户还必须具有以下权限之一:管理报表模板

全球管理员

管理报告访问

授予和删除用户对自有报表的访问权限。

全球管理员

平台的权限

这些权限只适用于用户创建的项目。

许可

描述

角色

补救项目、目标和sla

创建、删除和配置此用户的补救项目、目标和sla。

全球管理员
安全经理和站点所有者
资产拥有者
用户

自动化和通知

创建、删除和配置此用户的自动化工作流和通知

全球管理员
安全经理和站点所有者
资产拥有者
用户

脆弱性异常权限

这些权限仅适用于已授予用户访问权限的站点或资产组。

许可

描述

角色

提交漏洞例外

提交请求以从报告中排除漏洞。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员
安全经理和站点所有者
资产拥有者
用户

评估脆弱性例外

批准或拒绝从报告中排除漏洞的请求。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员

评估脆弱性例外

批准或拒绝从报告中排除漏洞的请求。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员

删除异常脆弱

删除漏洞异常和异常请求。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员

脆弱性调查权限

这些权限仅应用于已授予此用户访问权限的资产。

许可 描述 角色
视图脆弱性调查 查看可访问资产的漏洞调查。 全球管理员安全经理和站点所有者资产拥有者用户
管理脆弱性调查 打开、提交和关闭漏洞调查。 全球管理员安全经理和站点所有者

的角色列表

全球管理员

全局管理员角色在以下几个方面与所有其他预设角色不同。它不受站点或资产组访问的约束。它包括任何其他预设或自定义角色可用的所有权限。它还包括自定义角色不可用的权限:

  • 管理与用户帐号、角色、权限相关的所有功能。
  • 管理动态发现连接,允许您从VMWare、AWS、DHCP和Infoblox等系统中提取资产。
  • 管理安全控制台的配置、维护和诊断例程。
  • 管理共享扫描凭据。
  • 创建、管理、查看和删除项目。

安全经理和站点所有者

安全经理和站点所有者角色包括以下权限:

这两个角色之间的唯一区别是Security Manager在可访问站点中工作的能力资产组。另一方面,站点所有者的角色仅限于站点。

资产拥有者

资产所有人角色包括可访问站点和资产组的权限:

用户

虽然“user”通常可以指InsightVM帐户的任何所有者,但名称user是大写字母U,指预先设定的角色之一。它是唯一不包含扫描权限的角色。包括可访问站点和资产组的权限:

管理和创建用户帐户

用户上的链接政府页面提供对页面的访问,以创建和管理用户帐户。点击管理旁边用户查看用户页面。在此页上,您可以查看组织内所有帐户的列表。显示每个帐户的最后一次登录日期和时间,使您能够监视使用情况并删除不再使用的帐户。

编辑用户帐户:

  1. 点击编辑,并更改其属性。应用程序显示用户配置面板。编辑帐户的过程与创建新用户帐户的过程相同。看到配置用户帐号的通用属性

删除帐户并重新分配报表:

  1. 点击删除您想要删除的帐户。出现一个对话框,要求您确认要删除该帐户。
  2. 点击是的删除帐户。如果该帐户已被用于创建报告,应用程序将显示一个对话框,提示您重新分配或删除有问题的报告。您可以选择删除包含过期信息的旧报表。
  3. 从下拉列表中选择要重新分配报表的帐户。
  4. 可选)点击删除报告从数据库中删除这些项。
  5. 点击好吧完成重新分配或删除。

配置用户帐号的通用属性

控件上可以为普通用户帐户指定属性用户配置面板。

配置用户帐号属性。

  1. 点击新用户用户页面。
  2. 可选)点击创建旁边用户政府页面。安全控制台显示一般页面的用户配置面板。
  3. 在文本字段中输入所有请求的用户信息。
  4. 可选)从下拉列表中选择适当的源,以使用外部源对用户进行身份验证。在创建外部认证用户帐户之前,必须定义外部认证源。看到使用外部源进行用户认证
  5. 检查帐户启用复选框。稍后您可以禁用该帐户而不删除它,方法是再次单击复选框以删除复选标记。
  6. 点击保存保存新用户信息。

为用户分配角色和权限

为新用户分配角色和权限允许您控制该用户对安全控制台功能的访问。

为新用户分配角色和权限。

  1. 角色页面。
  2. 在下拉列表中选择角色。当您选择角色时,安全控制台将显示该角色的简要描述。如果您选择五个默认角色中的一个,Security Console会自动为该角色选择适当的复选框。如果你选择自定义角色,为希望授予用户的每个权限选择复选框。
  3. 点击保存保存新用户信息。

让用户访问特定的站点

全局管理员可以自动访问所有站点。安全管理员、站点管理员、系统管理员或非管理员用户只能访问全局管理员授予的站点。

授予用户访问特定站点的权限:

  1. 网站访问页面。
  2. 可选)单击适当的单选按钮让用户访问所有站点。
  3. 可选)单击单选按钮,创建可访问站点的自定义列表,使用户可以访问特定站点。
  4. 点击添加网站
  5. 安全控制台显示一个框,列出组织中的所有站点。
  6. 单击希望用户访问的每个站点的复选框。
  7. 点击保存.新网站出现在网站访问页面。
  8. 点击保存保存新用户信息。

允许用户访问资产组

全局管理员可以自动访问所有资产组。站点管理员用户不能访问资产组。安全管理员、系统管理员或非管理员用户只能访问全局管理员授予的访问组。

赋予用户对资产组的访问权限。

  1. 资产组的访问页面。
  2. 可选)单击适当的单选按钮让用户访问所有资产组。
  3. 可选单击单选按钮,创建可访问资产组的自定义列表,使用户可以访问特定的资产组。
  4. 点击添加组.安全控制台显示一个框,列出组织中的所有资产组。
  5. 单击希望此用户访问的每个资产组的复选框。
  6. 点击保存.新资产组出现在资产组的访问页面。
  7. 点击保存保存新用户信息。

使用外部源进行用户认证

您可以将安全控制台与外部身份验证源集成。如果您使用这些资源之一,那么利用现有的基础设施将使您更容易管理用户帐户。

该应用程序提供单点登录外部身份验证的来源如下:

  • LDAP(包括Microsoft Active Directory):Active Directory (AD)是一种支持ldap的Microsoft技术,可以自动化地对整个网络的用户、服务和资源进行集中、安全的管理。看到配置LDAP身份验证的指令。
  • Kerberos:Kerberos是一种安全的身份验证方法,它使用加密的密钥验证用户凭证,并通过“票据”系统提供对网络服务的访问。看到配置Kerberos身份验证的指令。
  • SAML 2.0:安全断言标记语言2.0版本是一种基于xml的协议,它通过标识和服务提供者之间通信的语句包(称为断言)对用户进行身份验证。看到配置SAML 2.0身份验证的指令。

安全控制台的双因素身份验证目前与Active Directory (LDAP)和Kerberos身份验证方法不兼容。

该应用程序还继续支持它的两个内部用户帐户存储:

  • XML文件列出了默认的“内置”帐户。当数据库故障或其他问题导致其他用户无法访问时,全局管理员可以使用内置帐户以维护模式登录应用程序进行故障排除并重新启动系统。
  • Datastore列出了由全局管理员创建的标准用户帐户。

设置密码策略

全局管理员可以在安装InsightVM时自定义密码策略。这样做的一个原因是配置它以符合您组织的特定密码标准。

当用户更新密码策略时,密码策略对新用户生效,对已有用户修改密码时生效。现有用户不会被强制更改密码。

自定义密码策略。

  1. 在安全控制台中,进入政府页面。
  2. 选择密码策略
  1. 修改策略名称。
  2. 选择所需的密码要求参数。

如果不想强制执行最大长度,请将最大长度设置为0。

  1. 点击保存

一旦设置了密码策略,它将在User Configuration页面上执行。

当输入新密码时,需求列表中的项目将从红色变为绿色,因为满足了密码需求。

如果用户试图保存不符合所有要求的密码,则会出现错误消息。