Der Umfang und der Erfolg der Prüfroutinen für authentifizierte Scans hängen stark von den Berechtigungen des verwendeten Kontos ab. Auf Linux-Systemen ist ein unprivilegierter Benutzer ausreichend und kann auf die meisten interessanten Informationen zugreifen, während insbesondere auf Windows-Systemen unprivilegierte Benutzer sehr eingeschränkt sind und administrative Benutzer mehr Ergebnisse liefern. Ein unprivilegierter Benutzer hat keinen Zugriff auf die Windows-Registry
sowie den Windows-Systemordner \windows
, der Informationen über Updates und Patch-Levels enthält.
Der RemoteRegistry
Dienst muss gestartet werden, um auf die Registry zugreifen zu können. Dies wird erreicht, indem der Dienst so konfiguriert wird, dass er automatisch gestartet wird.Wenn ein automatischer Start nicht gewünscht ist, kann ein manueller Start konfiguriert werden. In diesem Fall wird der Dienst gestartet, während das System von der Appliance gescannt wird, und danach wird er wieder deaktiviert. Um dieses Verhalten zu gewährleisten, müssen die folgenden Informationen der LocalAccountTokenFilterPolicy
berücksichtigt werden. Darüber hinaus ist es notwendig, dass auf allen gescannten Windows-Systemen die Datei- und Druckerfreigabe
aktiviert ist.
Systeme in Active Directory Domänen
Auf Systemen in Active Directory Domänen muss das verwendete Benutzerkonto Mitglied der Gruppe Domänenadministratoren
sein, um die bestmöglichen Ergebnisse zu erzielen. Aufgrund des Berechtigungskonzepts ist es nicht möglich, alle Schwachstellen mit dem lokalen Administrator oder den von der Domäne zugewiesenen Administratoren zu erkennen.
Erstellen einer Sicherheitsgruppe
- Melden Sie sich an einem Domänencontroller an und öffnen Sie
Active Directory-Benutzer und -Computer
. - Wählen Sie in der
Menü
:Aktion
→Neu
→Gruppe
. - Geben Sie
Greenbone Local Scan
in das EingabefeldName
ein. - Wählen Sie
Global
als Gruppenumfang undSicherheit
als Gruppentyp. - Fügen Sie das Konto, das für die lokalen authentifizierten Scans der Appliance unter Microsoft Windows verwendet wird, der Gruppe hinzu.
- Klicken Sie auf
OK
.