使用其他调优选项
除了自定义扫描模板,您还可以做其他事情来提高扫描性能。
更改扫描引擎部署
根据带宽可用性,添加扫描引擎可以总体上减少扫描时间,并提高准确性。你把扫描引擎放在哪里和你有多少扫描引擎一样重要。将扫描引擎放置在网络分界点(如防火墙)的两边很有帮助。看到这个话题战略性地分发扫描引擎在管理员指南中。
编辑网站配置
调整站点配置以支持性能目标。尝试增加站点的数量,并使站点变小。尝试使用不同的扫描模板对站点进行配对。调整扫描计划以避免带宽冲突。
增加资源
资源分为两大类:
- 网络带宽
- 主机的内存和CPU容量
如果您的组织有办法和能力,请提高网络带宽。如果没有,请在运行扫描时寻找减少带宽冲突的方法。
增加主机的容量是比较直接的。的安装指南列出安装的最低系统要求。您的系统可能满足这些要求,但是如果您想增加扫描线程的最大数量,您可能会发现主机系统变慢或变得不稳定。这通常表示内存问题。
如果增加扫描线程对于实现性能目标至关重要,请考虑安装NB曝光的64位版本。在64位操作系统上运行的扫描引擎可以使用操作系统支持的尽可能多的RAM,而在32位系统上的最大RAM约为4 GB。64位扫描引擎的垂直可扩展性显著增加了Nexpose可以运行的潜在同步扫描数。
始终牢记放置扫描引擎的最佳实践。看到这个话题战略性地分发扫描引擎在管理员指南中。带宽也是很重要的考虑因素。
使您的环境“有利于扫描”
任何构造良好的网络都将具有有效的安全机制,如防火墙。这些设备将视暴露为一个敌对实体,并试图阻止它与它们设计攻击的资产进行通信。
如果您能够找到使应用程序更容易与您的安全基础设施共存的方法—而不会使您的网络面临风险或违反安全策略—您就可以提高扫描速度和准确性。
例如,在扫描Windows XP工作站时,您可以采取一些简单的措施来提高性能:
- 使应用程序成为本地域的一部分。
- 为应用程序提供正确的域凭据。
- 配置XP防火墙以允许其连接到Windows并执行修补程序检查
- 编辑域策略以赋予应用程序对工作站的通信访问权。
在Windows扫描目标上打开防火墙
您可以打开Windows资产上的防火墙,允许暴露在您的网络内对这些目标执行深度扫描。
默认情况下,Microsoft Windows XP SP2、Vista、Server 2003和Server 2008启用防火墙来阻止传入的TCP/IP数据包。维护此设置通常是一种明智的安全做法。但是,封闭防火墙限制应用程序在扫描期间发现网络资产。打开防火墙使it能够访问修补程序或合规性检查所需的关键安全相关数据。
要了解如何在Windows平台上打开防火墙而不禁用防火墙,请参阅该平台的Microsoft文档。通常,Windows域管理员将执行此过程。