扫描模板附件
本附录列出了所有内置扫描模板暴露可用。它提供了每个模板的描述和何时使用它的建议。
- 独联体
- DISA
- 拒绝服务
- 发现扫描
- 发现扫描(积极)
- 详尽的
- FDCC
- 全面审计
- 完全审计没有网络蜘蛛
- HIPAA合规
- 互联网DMZ审计
- Linux rpm
- 微软热修复补丁
- PCI ASV外部审计
- PCI内部审计
- 渗透测试
- 网络安全审计
- 萨班斯-奥克斯利法案(SOX)合规
- SCADA审计
- USGCB
- 网络审计
独联体
此模板包含了Policy Manager扫描特性,用于验证是否符合Internet安全中心(CIS)基准。扫描运行应用层审计。策略检查需要使用目标上的管理凭据进行身份验证。不包括漏洞检查。
DISA
该扫描模板使用应用程序层审计对受支持的国防信息系统局(DISA)基准系统执行策略遵从性测试。策略检查需要使用目标上的管理凭据进行身份验证。不包括漏洞检查。只扫描默认端口。
拒绝服务
对所有网络资产的基本审计使用了安全和不安全(拒绝服务)检查。此扫描不包括深度补丁/修补程序检查、策略遵从性检查或应用层审计。您可以在预生产环境中运行拒绝服务扫描,以测试资产对拒绝服务条件的抵抗力。
发现扫描
此扫描定位网络上的活动资产,并识别它们的主机名和操作系统。此模板不包括枚举、策略或漏洞扫描。
您可以运行发现扫描来编译所有网络资产的完整列表。之后,您可以针对这些资产的子集进行密集的漏洞扫描,例如使用穷举扫描模板。
发现扫描(积极)
这种快速、粗略的扫描定位高速网络上的活动资产,并识别它们的主机名和操作系统。系统发包速度过快,可能会触发有状态防火墙的IPS/IDS传感器、SYN flood防护和排气状态。此模板不执行枚举、策略或漏洞扫描。
这个模板的作用域与发现扫描相同,只是它使用了更多的线程,因此速度更快。权衡的结果是,使用此模板运行的扫描可能不像使用Discovery扫描模板那样彻底。
详尽的
这种对所有系统和服务的彻底网络扫描只使用安全检查,包括补丁/修补程序检查、策略遵从性评估和应用层审计。根据目标资产的数量,该扫描可能需要几个小时,甚至几天才能完成。
使用此模板运行的扫描是彻底的,但很慢。使用此模板运行密集扫描目标数量较低的资产。
FDCC
此模板包含了Policy Manager扫描特性,用于验证是否符合所有联邦桌面核心配置(Federal Desktop Core Configuration, FDCC)策略。该扫描在所有Windows XP和Windows Vista系统上运行应用层审计。策略检查需要使用目标上的管理凭据进行身份验证。不包括漏洞检查。只扫描默认端口。
如果您为美国政府组织或提供政府服务的供应商工作,请使用此模板来验证您的Windows Vista和XP系统是否符合FDCC政策。
全面审计
这种对所有系统的全面网络审计只使用安全检查,包括基于网络的漏洞、补丁/热修复程序检查和应用层审计。系统只扫描默认端口并禁用策略检查,这使得扫描比穷击扫描更快。此外,此模板不检查潜在的漏洞。
使用此模板可执行彻底的漏洞扫描。
完全审计没有网络蜘蛛
此全面网络审计仅使用安全检查,包括基于网络的漏洞、补丁/热修复程序检查和应用层审计。系统只扫描默认端口并禁用策略检查,这使得扫描比穷击扫描更快。它也不包括Web spider,这使得它比包含Web spider的完整审计更快。此外,此模板不检查潜在的漏洞。
这是默认的扫描模板。使用它可以“开箱即用”运行快速漏洞扫描。
HIPAA合规
本模板在HIPAA第164.312节(“技术保障”)的符合性审计中使用安全检查。扫描将标记导致访问控制不充分、审计不充分、完整性丧失、身份验证不充分或传输安全性(加密)不充分的任何条件。
使用此模板扫描HIPAA监管环境中的资产,作为HIPAA合规计划的一部分。
互联网DMZ审计
此渗透测试覆盖所有常见的Internet服务,如Web、FTP、邮件(SMTP/POP/IMAP/Lotus Notes)、DNS、数据库、Telnet、SSH和VPN。此模板不包括深入的补丁/修补程序检查和策略遵从性审计。
使用此模板扫描DMZ中的资产。
Linux rpm
此扫描将验证Linux系统上RPM补丁的正确安装。为了获得最佳结果,请使用管理凭证。
使用此模板扫描运行Linux操作系统的资产。
微软热修复补丁
此扫描将验证Microsoft Windows系统上是否正确安装了修补程序和服务包。为了获得最佳的成功,请使用管理凭据。
使用此模板来验证运行Windows的资产上是否安装了热修复补丁。
PCI ASV外部审计
以前叫支付卡行业(PCI)审计.
这项对paycard Industry (PCI)合规性的审计仅使用安全检查,包括基于网络的漏洞、补丁/热修复程序验证和应用层测试。扫描所有TCP端口和UDP知名端口。不包括策略检查。
此模板应由经批准的扫描供应商(ASV)用于扫描资产,作为PCI合规计划的一部分。对于您的内部PCI发现扫描,请使用PCI内部审计模板。
PCI内部审计
该模板旨在根据支付卡行业(PCI)数据安全标准(DSS)的要求发现漏洞。它包括所有基于网络的漏洞和web应用程序扫描。它特别排除了潜在的漏洞以及特定于外部边界的漏洞。
此模板适用于您的组织的PCI合规内部扫描。
渗透测试
这种对所有系统的深度扫描只使用安全检查。主机发现和网络渗透特性允许系统动态检测资产,否则可能无法检测到。该模板不包含补丁/修补程序深度检查、策略遵从性检查和应用层审计。
使用此模板,您可能会发现超出初始扫描范围的资产。此外,使用此模板运行扫描有助于进行正式的渗透测试过程。
网络安全审计
这种对所有网络资产的非侵入式扫描只使用安全检查。该模板不包含补丁/修补程序深度检查、策略遵从性检查和应用层审计。
这个模板对于快速、全面地扫描您的网络非常有用。
萨班斯-奥克斯利法案(SOX)合规
这是对所有系统的安全检查萨班斯-奥克斯利法案(SOX)审计。根据第302条(“财务报告的企业责任”)、第404条(“内部控制的管理评估”)和第409条(“发行人实时披露”)的要求,它检测数字数据完整性、数据访问审计、问责和可用性的威胁。
使用此模板来扫描资产,作为SOX法规遵循计划的一部分。
SCADA审计
这是对敏感的监控控制和数据采集(SCADA)系统的一种“礼貌的”或不那么激进的网络审计,只使用安全检查。分组块延迟增加了;发送数据包之间的时间增加了;协议握手已被禁用;同时对资产的网络访问也受到了限制。
使用此模板扫描SCADA系统。
USGCB
该模板包含了Policy Manager扫描特性,用于验证所有美国政府配置基线(USGCB)策略的遵从性。扫描在所有Windows 7系统上运行应用层审计。策略检查需要使用目标上的管理凭据进行身份验证。不包括漏洞检查。只扫描默认端口。
如果您为美国政府组织或提供政府服务的供应商工作,请使用此模板来验证您的Windows 7系统是否符合USGCB政策。
网络审计
这种对所有Web服务器和Web应用程序的审计适用于面向公众和内部的资产,包括应用程序服务器、asp和CGI脚本。该模板不包含补丁检查或策略遵从性审计。它也不像DMZ Audit扫描模板那样扫描FTP服务器、邮件服务器或数据库服务器。
使用此模板扫描面向公众的Web资产。