Managed Risk 憑證

受管風險驗證掃描可識別內部網路中未經驗證掃描可能忽略的漏洞。

此頁面告訴您如何建立和管理您需要進行身分驗證掃描的憑證。

在开始之前：

在添加憑證之前，請確保配置您的系統以允許進行驗證掃描。請使用這些連結查看您的作業系統的詳細配置需求。

• For Windows, see Tenable: Credentialed Checks on Windows.
• 對於 macOS，請參閱 Tenable: 在 macOS 上進行具憑證檢查
• For Linux, see Tenable: Credentialed Checks on Linux

新增憑證

若要新增憑證，請依照以下步驟操作：

1. 前往 Managed Risk > 設定。

2. 選取 回應 索引標籤。

   

3. 按一下 新增認證。

   

4. 在建立憑證中，為您的環境選擇適合的憑證類型：

   • SNMPv3：對於支援 SNMP 第 3 版的網路裝置。
   • SSH：針對UNIX/Linux/macOS系統。
   • Windows：適用於 Windows 網域或本機驗證。
   • VMware ESX SOAP API針對 VMware ESX/ESXi 主機。

   注意

   Managed Risk 不支援 明文 認證。

   

5. 請按以下步驟建立憑證。請點擊您的憑證類型標籤。

   SNMPv3Windows

   若要新增憑證，請依照以下步驟操作：

   1. 在\中，請選擇\。
   2. 輸入認證名稱。
   3. 為了幫助識別此憑證，請選擇添加一個Description。
   4. 輸入 SNMPv3 帳戶的 使用者名稱。
   5. 請指定埠號碼。預設值為 161。
   6. 在\安全等級中，選擇\身分驗證和隱私權。此方案同時使用身分驗證和加密，目前是唯一的選項。
   7. 選取「加密演算法」SHA-256 / SHA-384 / SHA-512
   8. 輸入驗證密碼。
   9. 選取雜湊算法。AES-256，AES-256C
   10. 輸入相關密碼。
   11. 按一下儲存以儲存設定。

   若要新增憑證，請依照以下步驟操作：

   1. Under Credential type, select Windows.
   2. 輸入認證名稱。
   3. (Optional) 將 描述新增為幫助識別此憑證。

   4. 選取驗證方法。

      • Kerberos用於網域環境的Kerberos驗證
      • NTLM 雜湊以 NTLM 為基礎的驗證
      • 密碼：標準使用者名稱和密碼驗證

      「Kerberos」

      如需驗證，您需要進行以下操作：
      
      1.  輸入**使用者名稱**。
      2.  輸入**密碼**。
      3.  輸入**網域**。
      4.  輸入\<KeyDistributionCenter>(KDC)金鑰分發中心\</KeyDistributionCenter>地址。
      5.  輸入\<KDC Port> KDC埠預設值為 88。
      6.  選擇 **KDC Transport** 協定：TCP 或 UDP
      7.  輸入\<Translation>**Realm**。
      

      NTLM Hash

      如果您選擇了 NTLM 雜湊驗證，請按照以下步驟進行：
      
      1.  輸入**使用者名稱**。
      2.  輸入**雜湊**。
      3.  輸入**Domain**。
      

      密碼(&P)：

      如需驗證，您需要進行以下操作：
      
      1.  輸入**使用者名稱**。
      2.  輸入**密碼**。
      3.  輸入**Domain** (Optional)。
      

   5. 按一下儲存以儲存設定。

   如果要變更目錄服務，請參閱 已刪除 Managed Risk 憑證。

   為確保 Windows 掃描成功，請按照 Tenable 的配置步驟進行。Credentialed Checks on Windows.

   SSH

   1.  在\<Credential type>下，選擇\<SSH>。
   2.  輸入**認證名稱**。
   3.  (Optional) 添加一個**Description**以幫助識別此憑據。
   4.  選取驗證方法。
   
       -   KerberosKerberos 認證適用於整合環境
       -   **密碼**：標準使用者名稱和密碼驗證
       -   公開金鑰使用 SSH 金鑰對進行身分驗證
   
       === "Kerberos"
   
           如需驗證，您需要進行以下操作：
   
           1.  輸入**使用者名稱**。
           2.  Enter the **Key Distribution Center (KDC)** address.
           3.  Enter the **KDC Port**. 預設值為 88。
           4.  選擇**KDC Transport**協議：TCP 或 UDP
           5.  輸入**領域**。
   
       密碼(&P)：
   
           如需驗證，您需要進行以下操作：
   
           1.  輸入**使用者名稱**。
           2.  輸入**密碼**。
           3.  如有需要，請選擇使用**提升權限**選項。
   
       公開金鑰
   
           如果您選擇了公鑰驗證，請按照以下步驟進行：
   
           1.  輸入**使用者名稱**。
           2.  對於**私鑰**，點擊**新增檔案**以上傳您的私鑰檔案，或直接貼上您的私鑰。
   
               !!! note "注意"
   
                   僅支援 RSA 和 DSA OpenSSH 金鑰。
   
           3.  輸入**私鑰密碼**（如果您的金鑰受到保護）。
           4.  在**提升特權與**下，選擇適當的選項：
   
               -   無請勿使用特權提升。
               -   權限不足：使用 sudo 進行權限提升。
               -   輸入 sudo 使用者（提升權限的帳戶）。
               -   請輸入 sudo 密碼 (如果需要)。
   
   5.  (Optional) 使用**目標**來優先考慮憑據：主機名稱、IP 或 CIDR 塊（逗號或空格分隔）。
   6.  按一下**儲存**以儲存設定。
   
   有關 SSH 主機驗證配置，請參閱[設定 Tenable Nessus 掃描以進行 SSH 主機驗證檢查](https://docs.tenable.com/nessus/10_8/Content/ConfigureNessusForSSHHostBasedChecks.htm)。
   

   VMware ESX SOAP API

   1.  在\<Credential type>下，選擇\<VMware ESX SOAP API>
   2.  輸入**認證名稱**。
   3.  為了幫助識別這個憑證，請選擇性地添加**Description**。
   4.  在 **ESX SOAP API 認證方法** 中，選擇 **使用者名稱和密碼**。目前僅有此選項可用。
   
       1.  輸入具有管理權限的 VMware 帳戶的 **使用者名稱**。
       2.  請輸入帳戶的 **密碼**。
   
   5.  按一下**儲存**以儲存設定。
   
   !!! info "為了執行全面掃描，帳戶必須具有對 VMware ESX/ESXi 主機的管理訪問權限。此憑證類型專為掃描 VMware 虛擬化環境而設計。"
   

編輯憑證

若要新增憑證，請依照以下步驟操作：

1. 前往 Managed Risk > 設定。
2. 選取 回應 索引標籤。
3. 在清單中找到您要編輯的憑證。
4. 在操作欄中，按一下三個點。
5. 選取 編輯。
6. 請修改憑證詳細資料。
7. 按一下 更新

删除憑證

1. 前往 Managed Risk > 設定。
2. 選取 回應 索引標籤。
3. 選取要從 清單中刪除的項目。
4. 在操作列中，點擊三個點。
5. 選取 删除。
6. 在確認對話方塊中，點擊確認以永久刪除憑證。

更新憑證清單

若要更新憑證清單，請按一下清單右上方的更新圖示。

排疑解難

如果您遇到 Managed Risk 憑證問題，請按照以下步驟操作：

• 確保防火牆規則允許來自掃描設備的 IP 位址的流量。
• 請確認遠端登錄服務是否在目標系統上運行。

有關案件的資訊，請參閱 已刪除 Managed Risk 憑證。