Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=managed-risk-credentials

Credenziali di Managed Risk

La scansione autenticata di Managed Risk è in grado di identificare vulnerabilità nella rete interna che potrebbero sfuggire alle scansioni non autenticate.

Questa pagina descrive come creare e gestire le credenziali richieste per eseguire la scansione autenticata.

Prima di cominciare

Prima di aggiungere credenziali, assicurarsi di aver configurato i sistemi in modo da autorizzare le scansioni autenticate. Utilizzare i link riportati nelle seguenti sezioni per visualizzare i requisiti di configurazione dettagliati per ogni sistema operativo.

Windows

Per i requisiti per Windows, vedere Tenable: Controlli autenticati su Windows.

Seguire queste best practice:

  • Creare account di amministrazione locali dedicati per la scansione. Utilizzare gli account nel gruppo Amministratori locali, non Amministratori di dominio, per eseguire la scansione dei sistemi Windows regolari. Questo limita la potenziale esposizione delle credenziali.

  • Creare scansioni specifiche a parte per i Controller di dominio, utilizzando credenziali dell’Amministratore di dominio adeguatamente protette. Procedendo in questo modo si impedisce che queste credenziali con privilegi elevati vengano utilizzate altrove.

Per indicazioni sulla protezione avanzata delle impostazioni dei criteri di Active Directory associate a queste credenziali, vedere Ulteriori risorse per Tenable.

macOS

Per i requisiti per macOS, vedere Tenable: Controlli autenticati su macOS.

Linux

Per i requisiti per Linux, vedere Tenable: Controlli autenticati su Linux.

Aggiunta di una credenziale

Per aggiungere una credenziale, procedere come segue:

  1. Selezionare Managed Risk > Impostazioni.

  2. Selezionare la scheda Credenziali.

    Scheda Credenziali di Managed Risk.

  3. Cliccare su Aggiungi credenziale.

    Pulsante Aggiungi credenziale.

  4. Per Crea credenziale, selezionare il tipo di credenziale appropriato per il proprio ambiente:

    • SNMPv3: per i dispositivi di rete che supportano SNMP versione 3.
    • SSH: per sistemi UNIX/Linux/macOS.
    • Windows: per l’autenticazione di dominio Windows o locale.
    • VMware ESX SOAP API: per host VMware ESX/ESXi.

    Nota

    Managed Risk non supporta l’autenticazione senza crittografia.

    Riquadro Crea credenziale.

  5. Creare le credenziali svolgendo i passaggi indicati di seguito. Cliccare sulla scheda corrispondente al proprio tipo di credenziale.

    Per aggiungere credenziali SNMPv3, procedere come segue:

    1. In Tipo di credenziali, selezionare SNMPv3.
    2. Inserire un Credential name (Nome della credenziale) univoco.
    3. (Facoltativo) Aggiungere una Description (Descrizione) per aiutare a identificare questa credenziale.
    4. Inserire l’Username (Nome utente) per l’account SNMPv3.
    5. Specificare il numero di Port (Porta). L’impostazione predefinita è 161.
    6. In Security Level (Livello di sicurezza), selezionare *Authentication and privacy* (Autenticazione e privacy). Questa soluzione utilizza sia l’autenticazione che la crittografia ed è attualmente l’unica opzione.
    7. Selezionare un Authentication algorithm (Algoritmo di autenticazione): SHA-256, SHA-384 o SHA-512.
    8. Inserire la password di autenticazione.
    9. Selezionare un Privacy algorithm (Algoritmo di privacy): AES-256 o AES-256C.
    10. Inserire la password per la privacy.
    11. Cliccare su Create (Crea) per salvare la credenziale.

    Per aggiungere credenziali Windows, procedere come segue:

    1. Sotto Tipo di credenziali, selezionare Windows.
    2. Inserire un Credential name (Nome della credenziale) univoco.
    3. (Facoltativo) Aggiungere una Description (Descrizione) per aiutare a identificare questa credenziale.

    4. Selezionare l’Authentication method (Metodo di autenticazione):

      • Kerberos: autenticazione Kerberos per ambienti di dominio
      • Hash NTLM: autenticazione basata sull’hash NTLM
      • Password: autenticazione standard tramite nome utente e password

      Se è stata selezionata l’autenticazione Kerberos, procedere come segue:

      1. Inserire il Nome utente.
      2. Inserire la Password.
      3. Inserire il Dominio.
      4. Inserire l’indirizzo del Key Distribution Center (KDC).
      5. Inserire la Porta KDC. L’impostazione predefinita è 88.
      6. Selezionare il protocollo di trasporto KDC: TCP o UDP.
      7. Inserire il Realm (l’area di autenticazione).

      Se è stata selezionata l’autenticazione con Hash NTLM, procedere come segue:

      1. Inserire il Nome utente.
      2. Inserire l’Hash.
      3. Inserire il Dominio.

      Se è stata selezionata l’autenticazione tramite Password, procedere come segue:

      1. Inserire il Nome utente.
      2. Inserire la Password.
      3. (Facoltativo) Inserire il Dominio.

    5. Cliccare su Create (Crea) per salvare la credenziale.

    Se si desidera testare la credenziale, vedere Test delle credenziali di Managed Risk.

    Per garantire il corretto funzionamento della scansione Windows, seguire i passaggi di configurazione descritti in Tenable: Controlli autenticati su Windows.

    1. Sotto Tipo di credenziali, selezionare SSH.
    2. Inserire un Credential name (Nome della credenziale) univoco.
    3. (Facoltativo) Aggiungere una Description (Descrizione) per aiutare a identificare questa credenziale.

    4. Selezionare il Metodo di autenticazione.

      • Kerberos: autenticazione Kerberos per ambienti integrati
      • Password: autenticazione standard tramite nome utente e password
      • Chiave pubblica: Autenticazione tramite coppie di chiavi SSH

      Se è stata selezionata l’autenticazione Kerberos, procedere come segue:

      1. Inserire il Nome utente.
      2. Inserire l’indirizzo del Key Distribution Center (KDC).
      3. Inserire la Porta KDC. L’impostazione predefinita è 88.
      4. Selezionare il protocollo di trasporto KDC: TCP o UDP.
      5. Inserire il Realm (l’area di autenticazione).

      Se è stata selezionata l’autenticazione tramite Password, procedere come segue:

      1. Inserire il Nome utente.
      2. Inserire la Password.
      3. Se necessario, selezionare l’opzione Elevate privileges with (Eleva privilegi con).

      Se è stata selezionata l’autenticazione tramite chiave pubblica, procedere come segue:

      1. Inserire il Nome utente.

      2. Per la Chiave privata, cliccare su Aggiungi file per caricare il file della chiave privata, oppure copiare e incollare direttamente la chiave privata.

        Nota

        Sono supportate solo le chiavi OpenSSH RSA e DSA.

      3. Inserire la Passphrase della chiave privata (se la propria chiave è protetta da una di queste passphrase).

      4. Sotto Elevate privileges with (Eleva privilegi con), selezionare l’opzione appropriata:

        • Nothing (Niente): non utilizzare l’elevazione dei privilegi.
        • sudo: utilizzare sudo per l’elevazione dei privilegi.
        • Inserire l’utente sudo (l’account verso cui eseguire l’escalation).
        • Inserire la password sudo (se richiesta).

    5. (Facoltativo) Inserire Targets (Destinazioni) per dare priorità alle credenziali: nomi host, IP o blocchi CIDR (separati da virgole o spazi).

    6. Cliccare su Create (Crea) per salvare la credenziale.

    Per la configurazione dell’autenticazione SSH basata su host, vedere Configurazione di una scansione Tenable Nessus per i controlli SSH basati su host.

    1. Sotto Tipo di credenziale, selezionare *VMware ESX SOAP API*
    2. Inserire un Credential name (Nome della credenziale) univoco.
    3. (Facoltativo) Aggiungere una Description (Descrizione) per aiutare a identificare questa credenziale.

    4. In ESX SOAP API Authentication Method, selezionare Username and Password (Nome utente e password). Attualmente, questa è l’unica opzione disponibile.

      1. Inserire l’Username dell’account VMware con privilegi di amministrazione.
      2. Inserire la Password dell’account.

    5. Cliccare su Create (Crea) per salvare la credenziale.

    Per eseguire una scansione completa, l’account deve avere accesso amministrativo all’host VMware ESX/ESXi. Questo tipo di credenziale è progettato appositamente per eseguire la scansione degli ambienti di virtualizzazione VMware.

Modifica di una credenziale

Per modificare una credenziale, procedere come segue:

  1. Selezionare Managed Risk > Impostazioni.
  2. Selezionare la scheda Credenziali.
  3. Cercare nell’elenco la credenziale che si desidera modificare.
  4. Nella colonna Actions (Azioni), cliccare sui tre puntini Icona con i tre puntini..
  5. Selezionare Modifica.
  6. Eseguire le modifiche dei dettagli delle credenziali.
  7. Cliccare su Update (Aggiorna).

Eliminazione di una credenziale

  1. Selezionare Managed Risk > Impostazioni.
  2. Selezionare la scheda Credenziali.
  3. Selezionare dall’elenco la credenziale da eliminare.
  4. Nella colonna Actions (Azioni), cliccare sui tre puntini Icona con i tre puntini..
  5. Selezionare Elimina.
  6. Nella finestra di conferma, cliccare su Confirm (Conferma) per eliminare in maniera permanente la credenziale.

Quando si elimina una credenziale, la rimuoviamo da tutte le configurazioni di scansione nelle quali veniva utilizzata. Questo potrebbe influire sulle scansioni future che sono state configurate per utilizzarla.

Aggiornamento dell’elenco di credenziali

Per aggiornare l’elenco di credenziali, cliccare sull’icona di aggiornamento Icona Aggiorna. nella parte in alto a destra dell’elenco.

Risoluzione dei problemi

In caso di problemi con le credenziali di Managed Risk, procedere come segue:

  • Assicurarsi che le regole del firewall autorizzino il traffico proveniente dall’indirizzo IP dell’appliance di scansione.
  • Verificare che il servizio Registro remoto sia in esecuzione sui sistemi di destinazione.

Per informazioni su come testare le credenziali, vedere Test delle credenziali di Managed Risk.