Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=managed-risk-credentials

Managed-Risk-Anmeldeinformationen

Authentifizierte Managed-Risk-Scans können Schwachstellen in Ihrem internen Netzwerk identifizieren, die bei nicht authentifizierten Scans eventuell übersehen werden.

Auf dieser Seite wird beschrieben, wie Sie die für authentifizierte Scans benötigten Zugangsdaten erstellen und verwalten können.

Vor dem Start

Vor dem Hinzufügen von Zugangsdaten stellen Sie sicher, dass Sie Ihre Systeme so konfigurieren, dass authentifizierte Scans möglich sind. Verwenden Sie die Links in den Abschnitten unten, um die detaillierten Konfigurationsanforderungen für jedes Betriebssystem einzusehen.

Windows

Für Windows-Anforderungen siehe Tenable: Credentialed Checks on Windows.

Befolgen Sie diese Best Practices:

  • Erstellen Sie dedizierte lokale Admin-Konten für Scans. Verwenden Sie Konten in der Gruppe „Lokale Administratoren“ und nicht in „Domänenadministratoren“, um reguläre Windows-Systeme zu scannen. Dadurch wird das Risiko für die Offenlegung von Zugangsdaten verringert.

  • Erstellen Sie separate Scans speziell für Domänencontroller und verwenden Sie dafür ordnungsgemäß gesicherte Domänenadmin-Zugangsdaten. Dadurch wird verhindert, dass diese wichtigen Zugangsdaten an anderer Stelle verwendet werden.

Eine Anleitung zum Hardening der Active Directory-Richtlinieneinstellungen, die mit diesen Zugangsdaten verbunden sind, finden Sie unter Additional Tenable Guidance.

macOS

Für macOS-Anforderungen siehe Tenable: Credentialed Checks on macOS.

Linux

Für Linux-Anforderungen siehe Tenable: Credentialed Checks on Linux.

Zugangsdaten hinzufügen

Um Anmeldeinformationen hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Managed Risk > Einstellungen.

  2. Wählen Sie den Tab Zugangsdaten.

    Tab „Managed-Risk-Anmeldeinformationen“.

  3. Klicken Sie auf Anmeldeinformationen hinzufügen.

    Schaltfläche „Anmeldeinformationen hinzufügen“.

  4. Wählen Sie in Anmeldeinformationen erstellen den geeigneten Zugangsdatentyp für Ihre Umgebung aus:

    • SNMPv3: Für Netzwerkgeräte, die SNMP Version 3 unterstützen.
    • SSH: Für UNIX/Linux/macOS-Systeme.
    • Windows: Für die Windows-Domäne oder lokale Authentifizierung.
    • VMware ESX SOAP API: Für VMware ESX/ESXi-Hosts.

    Hinweis

    Managed Risk unterstützt keine Klartext-Authentifizierung.

    Bereich „Anmeldeinformationen erstellen“.

  5. Erstellen Sie die Zugangsdaten gemäß den unten stehenden Schritten. Klicken Sie auf den Tab für Ihren Zugangsdatentyp.

    Um SNMPv3-Zugangsdaten hinzuzufügen, gehen Sie folgendermaßen vor:

    1. In Zugangsdatentyp wählen Sie SNMPv3 aus.
    2. Geben Sie einen eindeutigen Zugangsdaten-Namen ein.
    3. (Optional) Fügen Sie eine Beschreibung hinzu, um diese Zugangsdaten zu identifizieren.
    4. Geben Sie den Benutzernamen für das SNMPv3-Konto ein.
    5. Geben Sie Port-Nummer an. Die Standardeinstellung ist 161.
    6. Wählen Sie in Sicherheitsstufe Authentifizierung und Datenschutz aus. Hierbei wird sowohl Authentifizierung als auch Verschlüsselung verwendet und dies ist derzeit die einzige Option.
    7. Wählen Sie einen Authentifizierungsalgorithmus. SHA-256, SHA-384 oder SHA-512.
    8. Geben Sie das Authentifizierungspasswort ein.
    9. Wählen Sie Datenschutzalgorithmus aus. AES-256 oder AES-256C.
    10. Geben Sie das Datenschutzpasswort ein.
    11. Klicken Sie auf Erstellen, um die Zugangsdaten zu speichern.

    Um Windows-Zugangsdaten hinzuzufügen, gehen Sie folgendermaßen vor:

    1. In Zugangsdatentyp wählen Sie Windows aus.
    2. Geben Sie einen eindeutigen Zugangsdaten-Namen ein.
    3. (Optional) Fügen Sie eine Beschreibung hinzu, um diese Zugangsdaten zu identifizieren.

    4. Wählen Sie die Authentifizierungsmethode aus:

      • Kerberos: Kerberos-Authentifizierung für Domänenumgebungen
      • NTLM-Hash: NTLM-Hash-basierte Authentifizierung
      • Password: Standard-Benutzername und Passwortauthentifizierung

      Wenn Sie die Kerberos-Authentifizierung ausgewählt haben, verfahren Sie wie folgt:

      1. Geben Sie den Benutzernamen ein.
      2. Geben Sie das Passwort ein.
      3. Geben Sie die Domäne ein.
      4. Geben Sie die Adresse des *Key Distribution Center* (KDC) ein.
      5. Geben Sie den KDC-Port ein. Die Standardeinstellung ist 88.
      6. Wählen Sie das KDC Transport-Protokoll aus: TCP oder UDP.
      7. Geben Sie den Realm ein.

      Wenn Sie die NTLM-Hash-Authentifizierung ausgewählt haben, gehen Sie wie folgt vor:

      1. Geben Sie den Benutzernamen ein.
      2. Geben Sie den Hash ein.
      3. Geben Sie die Domäne ein.

      Wenn Sie die Passwort-Authentifizierung ausgewählt haben, verfahren Sie wie folgt:

      1. Geben Sie den Benutzernamen ein.
      2. Geben Sie das Passwort ein.
      3. (Optional) Geben Sie die Domäne ein.

    5. Klicken Sie auf Erstellen, um die Zugangsdaten zu speichern.

    Zum Testen der Zugangsdaten siehe Managed-Risk-Zugangsdaten testen.

    Zur Sicherstellung eines erfolgreichen Windows-Scans befolgen Sie die Konfigurationsschritte in Tenable: Credentialed Checks on Windows.

    1. In Zugangsdatentyp wählen Sie SSH aus.
    2. Geben Sie einen eindeutigen Zugangsdaten-Namen ein.
    3. (Optional) Fügen Sie eine Beschreibung hinzu, um diese Zugangsdaten zu identifizieren.

    4. Wählen Sie die Authentifizierungsmethode aus.

      • Kerberos: Kerberos-Authentifizierung für integrierte Umgebungen
      • Password: Standard-Benutzername und Passwortauthentifizierung
      • Öffentlicher Schlüssel: Authentifizierung mittels SSH-Schlüsselpaaren

      Wenn Sie die Kerberos-Authentifizierung ausgewählt haben, verfahren Sie wie folgt:

      1. Geben Sie den Benutzernamen ein.
      2. Geben Sie die Adresse des *Key Distribution Center* (KDC) ein.
      3. Geben Sie den KDC-Port ein. Die Standardeinstellung ist 88.
      4. Wählen Sie das KDC Transport-Protokoll aus: TCP oder UDP.
      5. Geben Sie den Realm ein.

      Wenn Sie die Passwort-Authentifizierung ausgewählt haben, verfahren Sie wie folgt:

      1. Geben Sie den Benutzernamen ein.
      2. Geben Sie das Passwort ein.
      3. Wählen Sie die Option Berechtigungen erweitern mit bei Bedarf aus.

      Wenn Sie die Authentifizierung über öffentliche Schlüssel ausgewählt haben, führen Sie folgende Schritte aus:

      1. Geben Sie den Benutzernamen ein.

      2. Für den Privaten Schlüssel klicken Sie auf Datei hinzufügen, um die Datei mit dem privaten Schlüssel hochzuladen, oder fügen Sie Ihren privaten Schlüssel direkt ein.

        Hinweis

        Nur RSA- und DSA-OpenSSH-Schlüssel werden unterstützt.

      3. Geben Sie die Passphrase des privaten Schlüssels ein (falls Ihr Schlüssel damit geschützt ist).

      4. Wählen Sie unter Berechtigungen erweitern mit die entsprechende Option aus:

        • Nichts: Keine Rechteausweitung verwenden.
        • sudo: sudo zur Rechteausweitung verwenden.
        • Geben Sie den sudo-Benutzer ein (das Konto, für das erweitert werden soll).
        • Geben Sie das sudo-Passwort ein (falls erforderlich).

    5. (Optional) Geben Sie Ziele ein, um Zugangsdaten nach Priorität festzulegen: Hostnamen, IPs oder CIDR-Blöcke (durch Kommas oder Leerzeichen getrennt).

    6. Klicken Sie auf Erstellen, um die Zugangsdaten zu speichern.

    Informationen zur Konfiguration der SSH-Host-basierten Authentifizierung finden Sie unter Configure a Tenable Nessus Scan for SSH Host-Based Checks.

    1. Wählen Sie unter Zugangsdatentyp VMware ESX SOAP API aus.
    2. Geben Sie einen eindeutigen Zugangsdaten-Namen ein.
    3. (Optional) Fügen Sie eine Beschreibung hinzu, um diese Zugangsdaten zu identifizieren.

    4. In der ESX SOAP API-Authentifizierungsmethode wählen Sie Benutzername und Passwort aus. Dies ist derzeit die einzige verfügbare Option.

      1. Geben Sie den Benutzernamen für das VMware-Konto mit administrativen Rechten ein.
      2. Geben Sie das Passwort für das Konto ein.

    5. Klicken Sie auf Erstellen, um die Zugangsdaten zu speichern.

    Zur Durchführung eines umfassenden Scans muss das Konto über administrativen Zugriff auf den VMware ESX/ESXi-Host verfügen. Dieser Zugangsdatentyp ist speziell für das Scannen von VMware-Virtualisierungsumgebungen konzipiert.

Zugangsdaten bearbeiten

Um Zugangsdaten zu bearbeiten, gehen Sie wie folgt vor:

  1. Gehen Sie zu Managed Risk > Einstellungen.
  2. Wählen Sie den Tab Zugangsdaten.
  3. Suchen Sie die Zugangsdaten in der Liste, die Sie bearbeiten möchten.
  4. Klicken Sie in der Spalte Aktionen auf die drei Punkte Symbol mit drei Punkten..
  5. Wählen Sie Bearbeiten aus.
  6. Führen Sie die Änderungen an den Zugangsdaten durch.
  7. Klicken Sie auf Aktualisieren.

Zugangsdaten löschen

  1. Gehen Sie zu Managed Risk > Einstellungen.
  2. Wählen Sie den Tab Zugangsdaten.
  3. Suchen Sie die Zugangsdaten in der Liste, die Sie löschen möchten.
  4. Klicken Sie in der Spalte Aktionen auf die drei Punkte Symbol mit drei Punkten..
  5. Wählen Sie Löschen aus.
  6. Im Bestätigungsdialogfeld klicken Sie auf Bestätigen, um die Zugangsdaten dauerhaft zu löschen.

Beim Löschen von Zugangsdaten werden diese aus allen Scan-Konfigurationen entfernt, in denen sie verwendet wurden. Dies könnte zukünftige Scans beeinflussen, die zum Nutzen dieser Zugangsdaten konfiguriert wurden.

Zugangsdatenliste aktualisieren

Um die Liste der Zugangsdaten zu aktualisieren, klicken Sie auf das Aktualisierungssymbol Aktualisierungssymbol. oben rechts in der Liste.

Fehlersuche

Wenn Sie Probleme mit den Managed-Risk-Zugangsdaten haben, gehen Sie wie folgt vor:

  • Stellen Sie sicher, dass die Firewall-Regeln Traffic von der IP-Adresse der Scan-Appliance zulassen.
  • Stellen Sie sicher, dass der Remote-Registry-Dienst auf den Zielsystemen ausgeführt wird.

Für Informationen zum Testen von Zugangsdaten siehe Managed-Risk-Zugangsdaten testen.