管理用户和认证

有效使用扫描信息取决于您的组织如何分析和分配它,谁可以看到它,以及出于什么原因。管理应用程序的访问涉及创建资产组并为用户分配角色和权限。本章提供了用于管理用户,角色和权限的最佳实践和说明。

将角色映射到您的组织

研究角色和权限如何映射到组织结构是有帮助的。

提示

虽然已经包含了用户身份验证系统,但您应该将支持的任何外部身份验证服务集成到应用程序中,以避免管理多组用户信息。安全控制台支持与以下身份验证源集成:

  • 微软活动目录
  • Kerberos.
  • SAML 2.0

看到使用外部源进行用户身份验证有关说明。

在一家较小的公司中,一个人可以处理所有安全任务。他或她将成为全球管理人员,发起扫描,审查报告,履行补救措施。或者可能有一个小组人团队为整个系统共享访问权限。在这些情况下,不必创建多个角色,因为所有网络资产都可以包含在一个站点中,需要单个扫描引擎。

例子,Inc。是一个更大的公司。它具有更广泛,更复杂的网络,跨越多个物理位置和IP地址段。每个段都有自己的专用支持团队管理该段的安全性。

一个或两个全局管理员负责创建用户帐户、维护系统,并生成关于所有公司资产的高级执行报告。它们为网络的不同部分创建站点。他们指派安全管理员、站点管理员和系统管理员为这些站点运行扫描和分发报告。

全局管理员还创建各种资产组。有些将专注于资产的小子集。这些组中的非管理用户将负责修复漏洞,然后在后续扫描运行后生成报告,以验证修复成功。其他资产集团将更加全球化,但在范围上不那么细粒度。这些组中的非行政用户将是查看执行报告以跟踪公司漏洞管理计划进展的高级经理。

配置角色和权限

无论您是创建自定义角色还是为帐户分配预设角色取决于几个问题:您希望该帐户持有人执行哪些任务?用户应该看到哪些数据?用户不应显示哪些数据。

例如,支持工作站的安全团队的经理可能需要偶尔运行扫描,然后将报告分发给团队成员,以跟踪关键漏洞并对修复任务进行优先级排序。这个帐户可能是资产所有者角色的一个很好的候选角色,它可以访问只包括工作站而不包括其他资产(如数据库服务器)的站点。

请记住,除了Global Administrator角色外,自定义或预置角色的分配与对站点和资产组的访问是相互依赖的。

如果要为具有非常特定的权限集分配角色,则可以创建自定义角色。以下表列表并描述可用的所有权限。某些权限需要授予其他权限才能有用。例如,为了能够创建报告,用户还必须能够在报告的站点或资产组中查看资产数据,用户也必须授予用户访问权限。

表还指示哪些角色包括每个权限。您可能会发现某些角色对于给定帐户足够粒度或包容性。预设角色列表和它们包含的权限遵循权限表。看到允许用户访问资产组

权限表

全球的权限

这些权限自动适用于所有站点和资产组,不需要其他指定的访问。

允许

描述

角色

管理网站

创建、删除和配置除用户访问外的所有站点属性。隐式访问所有站点。管理共享扫描凭据。其他受影响的权限:选择此权限后,所有站点权限将自动被选中。看到网站的权限。

全球管理员

管理扫描模板

创建、删除和配置扫描模板的所有属性。

全球管理员

管理报告模板

创建、删除和配置报表模板的所有属性。

全球管理员
安全经理和网站所有者
资产拥有者
用户

管理扫描引擎

创建、删除和配置扫描引擎的所有属性;使用安全控制台对扫描引擎进行配对。

全球管理员

管理政策

复制现有策略;编辑和删除自定义策略。

全球管理员

出现在报告列表中

出现在用户列表中以查看报告。

先决条件:具有此权限的用户还必须在任何相关站点或资产组中具有资产查看许可:查看现场资产数据;查看组资产数据

全球管理员
安全经理和网站所有者
资产拥有者
用户

配置全局设置

配置应用于整个环境的设置,例如风险评分和从所有扫描中排除资产。

全球管理员

管理标签

创建标记并配置它们的属性。删除除内置的临界标记外的标记。隐式访问所有站点。

全球管理员

网站权限

这些权限只适用于用户被授予访问权限的站点。

允许

描述

角色

查看站点资产数据

查看有关可访问站点中所有资产的信息,包括IP地址,安装软件和漏洞。

全球管理员
安全经理和网站所有者
资产拥有者
用户

指定网站元数据

输入站点描述、重要性评级和组织数据。

全球管理员
安全经理和网站所有者

指定扫描目标

添加或删除网站扫描的IP地址,地址范围和主机名。

全球管理员

指定扫描引擎

为站点分配扫描引擎。

全球管理员

指定扫描模板

分配扫描模板到站点。

全球管理员
安全经理和网站所有者

管理扫描警报

创建,删除和配置警报的所有属性以通知用户有关扫描相关事件的事件。

全球管理员
安全经理和网站所有者

管理网站凭据

为密码保护资产提供更深的扫描功能提供登录凭据

全球管理员
安全经理和网站所有者

安排自动扫描

创建和编辑网站扫描计划。

全球管理员
安全经理和网站所有者

开始未安排的扫描

手动启动可访问站点的一次性扫描(不包括配置扫描设置的能力)。

全球管理员
安全经理和网站所有者
资产拥有者

清除站点资产数据

从可访问的站点手动删除资产数据。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员

管理网站访问

授予并删除用户访问站点的访问权限。

全球管理员

资产组的权限

这些权限仅适用于已授予用户访问权限的资产组。

允许

描述

角色

管理动态资产组

创建动态资产组。删除并配置可访问的动态资产组的除用户访问外的所有属性。隐式访问所有站点

笔记:具有此权限的用户可以查看组织中的所有资产数据。

全球管理员

管理静态资产组

创建静态资产组。删除并配置可访问的静态资产组的除用户访问外的所有属性。

先决条件:具有此权限的用户还必须具有以下权限和访问至少一个站点以有效地管理静态资产组:管理集团资产;查看组资产数据

全球管理员

查看组资产数据

查看有关可访问资产组中所有资产的信息,包括IP地址,安装软件和漏洞。

全球管理员)(#全局管理员),
安全经理和网站所有者
资产拥有者
用户

资产管理集团

在静态资产组中添加和删除资产。

笔记:此权限不包括删除基础资产定义或已发现资产数据的能力。先决条件:具有此权限的用户还必须具有以下许可:查看组资产数据

全球管理员

管理资产组访问

授予并删除用户访问资产组。

全球管理员

报告权限

Create Reports权限仅适用于已授予用户访问权限的资产。其他报表权限不受任何类型的访问限制。

允许

描述

角色

创建报告

为可访问的资产创建和自己的报告;配置所有拥有的报表的属性,除了用户访问。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员
安全经理和网站所有者
资产拥有者
用户

使用限制报告部分

创建具有限制部分的报告模板;配置报告以使用具有限制部分的模板。

先决条件:具有此权限的用户还必须具有以下权限之一:管理报告模板

全球管理员

管理报告访问

授予和删除用户对自有报表的访问权限。

全球管理员

脆弱性异常权限

这些权限仅适用于用户已被授予访问权限的站点或资产组。

允许

描述

角色

提交漏洞例外

提交请求以从报告中排除漏洞。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员
安全经理和网站所有者
资产拥有者
用户

评估脆弱性例外

批准或拒绝从报告中排除漏洞的请求。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员

评估脆弱性例外

批准或拒绝从报告中排除漏洞的请求。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员

删除异常脆弱

删除漏洞异常和异常请求。

先决条件:具有此权限的用户还必须具有以下权限之一:查看站点资产数据;查看组资产数据

全球管理员

脆弱性调查权限

这些权限仅适用于该用户授予访问权限的资产。

允许 描述 角色
查看漏洞调查 查看可访问资产的漏洞调查。 全球管理员安全经理和网站所有者资产拥有者用户
管理漏洞调查 打开、提交和关闭漏洞调查。 全球管理员安全经理和网站所有者

角色列表

全球管理员

全局管理员角色在以下几个方面与所有其他预设角色不同。它不受站点或资产组访问的约束。它包括任何其他预设或自定义角色可用的所有权限。它还包括自定义角色不可用的权限:

  • 管理与用户帐户,角色和权限相关的所有功能。
  • 管理动态发现连接,允许您从VMware,AWS,DHCP和InfoBlox等系统中提取资产。
  • 管理安全控制台的配置、维护和诊断例程。
  • 管理共享扫描凭据。

安全经理和网站所有者

安全经理和站点所有者角色包括以下权限:

这两个角色之间的唯一区别是Security Manager在可访问站点中工作的能力资产组。另一方面,站点所有者的角色仅限于站点。

资产拥有者

资产所有者角色包括以下可访问网站和资产组的以下权限:

用户

虽然“user”通常可以指任何公开帐户的所有者,但名称user是大写字母U,指预先设定的角色之一。它是唯一不包含扫描权限的角色。包括可访问站点和资产组的权限:

管理和创建用户帐户

用户上的链接政府页面提供对用于创建和管理用户帐户的页面的访问权限。点击管理旁边用户查看用户页面。在此页上,您可以查看组织内所有帐户的列表。显示每个帐户的最后一次登录日期和时间,使您能够监视使用情况并删除不再使用的帐户。

编辑用户帐户:

  1. 点击编辑对于任何列出的帐户,并更改其属性。应用程序显示用户配置面板。编辑帐户的过程与创建新用户帐户的过程相同。看到配置用户帐号的通用属性

删除帐户并重新分配报表:

  1. 点击删除您想要删除的帐户。出现一个对话框,要求您确认要删除该帐户。
  2. 点击是的删除帐户。如果该帐户已被用于创建报告,则应用程序将显示一个对话框,提示您重新分配或删除所讨论的报告。您可以选择删除包含过期信息的报告。
  3. 从下拉列表中选择一个帐户以重新分配报告。
  4. 可选的)点击删除报告从数据库中删除这些项。
  5. 点击好吧完成重新分配或删除。

配置用户帐号的通用属性

您可以为常规用户帐户指定属性用户配置面板。

配置用户帐号属性。

  1. 点击新用户在这方面用户页面。
  2. 可选的)点击创建旁边用户在这方面政府页面。安全控制台显示一般页面的页面用户配置面板。
  3. 在文本字段中输入所有请求的用户信息。
  4. 可选的)从下拉列表中选择适当的源,以使用外部源对用户进行身份验证。在创建外部认证用户帐户之前,必须定义外部认证源。看到使用外部源进行用户身份验证
  5. 检查帐户启用复选框。稍后您可以禁用该帐户而不删除它,方法是再次单击复选框以删除复选标记。
  6. 点击保存保存新用户信息。

为用户分配角色和权限

为新用户分配角色和权限允许您控制该用户对安全控制台功能的访问。

要为新用户分配角色和权限:

  1. 角色页面。
  2. 从下拉列表中选择一个角色。选择角色时,安全控制台显示该角色的简要说明。如果选择五个默认角色中的一个,则安全控制台会自动选择该角色的相应复选框。如果你选择自定义角色,选中要授予用户的每个权限的复选框。
  3. 点击保存保存新用户信息。

让用户访问特定的站点

全局管理员可以自动访问所有站点。安全管理员、站点管理员、系统管理员或非管理员用户只能访问全局管理员授予的站点。

授予用户访问特定站点的权限:

  1. 网站访问页面。
  2. 可选的)单击适当的单选按钮让用户访问所有站点。
  3. 可选的)单击单选按钮,创建可访问站点的自定义列表,使用户可以访问特定站点。
  4. 点击添加网站
  5. 安全控制台显示一个列出组织内的所有站点的框。
  6. 单击要访问用户访问的每个站点的复选框。
  7. 点击保存.新网站出现在网站访问页面。
  8. 点击保存保存新用户信息。

允许用户访问资产组

全局管理员可以自动访问所有资产组。站点管理员用户不能访问资产组。安全管理员、系统管理员或非管理员用户只能访问全局管理员授予的访问组。

授予用户访问资产组:

  1. 资产集团访问页面。
  2. 可选的)单击适当的单选按钮让用户访问所有资产组。
  3. 可选的)单击单选按钮以创建可访问的资产组的自定义列表,以便为用户访问特定的资产组。
  4. 点击添加组.安全控制台显示一个框,列出组织中的所有资产组。
  5. 单击要访问此用户访问的每个资产组的复选框。
  6. 点击保存.新资产组出现在资产集团访问页面。
  7. 点击保存保存新用户信息。

使用外部源进行用户身份验证

您可以将安全控制台与外部身份验证源集成。如果您使用这些资源之一,那么利用现有的基础设施将使您更容易管理用户帐户。

该应用程序提供单点登录外部身份验证的来源如下:

  • LDAP(包括Microsoft Active Directory):Active Directory (AD)是一种支持ldap的Microsoft技术,可以自动化地对整个网络的用户、服务和资源进行集中、安全的管理。看到配置LDAP身份验证有关说明。
  • Kerberos:Kerberos是一种安全的身份验证方法,可通过加密密钥验证用户凭据,并通过“票证”系统提供对网络服务的访问。看到配置Kerberos身份验证有关说明。
  • SAML 2.0:安全断言标记语言2.0版本是一种基于xml的协议,它通过标识和服务提供者之间通信的语句包(称为断言)对用户进行身份验证。看到配置SAML 2.0身份验证有关说明。

安全控制台的双因素身份验证目前与Active Directory (LDAP)和Kerberos身份验证方法不兼容。

该应用程序还继续支持它的两个内部用户帐户存储:

  • XML文件列出了默认的“内置”帐户。当数据库故障或其他问题导致其他用户无法访问时,全局管理员可以使用内置帐户以维护模式登录应用程序进行故障排除并重新启动系统。
  • Datastore列出了由全局管理员创建的标准用户帐户。

设置密码策略

全局管理员可以在Nexpose安装中自定义密码策略。这样做的一个原因是将其配置为与组织的特定密码标准相对应。

当用户更新密码策略时,密码策略对新用户生效,对已有用户修改密码时生效。现有用户不会被强制更改密码。

自定义密码策略。

  1. 在安全控制台中,进入政府页面。
  2. 选择密码策略
  1. 修改策略名称。
  2. 选择所需的密码要求参数。

如果您不想强制执行最大长度,请将最大长度设置为0。

  1. 点击保存

一旦设置了密码策略,它将在User Configuration页面上执行。

当输入新密码时,需求列表中的项目将从红色变为绿色,因为满足了密码需求。

如果用户试图保存不符合所有要求的密码,则会出现错误消息。