В соответствии с передовой практикой мы:
В связи с № 1 у нас есть отдельные сканирование и учетные записи служб для Nessus для аутентификации на каждом классе компьютеров. Однако это не работает должным образом. Сканирование на ПК работает нормально, но сканирование на других классах компьютеров не завершается полностью и регистрирует следующее под уязвимостью INFO Authentication Failure - Local Checks Not Run
:
The following service errors were logged :
- Plugin : smb_login.nasl
Plugin ID : 10394
Plugin Name : Microsoft Windows SMB Log In Possible
Protocol : SMB
Message :
It was not possible to log into the remote host via smb (invalid credentials).
Ясно, что причиной являются разрозненные хранилища политик аутентификации и политики аутентификации, потому что:
Сканирование работало нормально, прежде чем мы их реализовали.
На портативном компьютере, на котором размещен сканер Nessus, попытка перейти к затронутым компьютерам по пути SMB / UNC и пройти аутентификацию с использованием тех же учетных данных завершается ошибкой со следующим сообщением об ошибке:
%UNCpath% is not accessible. You might not have permission to use this network resource. Contact the administrator of this server to find out if you have access permissions.
The user is not allowed to log on from this workstation.
Вход на затронутые устройства через консоль с использованием тех же учетных данных, а затем просмотр через SMB / UNC-путь к другим компьютерам того же класса работает нормально.
Переключение изолированного хранилища из принудительного режима в режим аудита немедленно решает проблему.
Эти меры безопасности, похоже, используются нечасто, поэтому в Интернете о них не так много.
Вопрос: Кто-нибудь знает о хорошем разрешении для этого или временно отменяет принудительное использование бункеров?
Добавление и назначение учетной записи компьютера Nessus PC в бункер политик аутентификации не влияет на проблему.
Я даже не понимаю, почему они запрещают удаленный вход из рабочие станции, потому что, насколько я могу судить, учетные данные даже не кэшируются локально - используя PsExec -s -i cmd.exe
→ regedit
→ и мониторинг HKEY_LOCAL_MACHINE\SECURITY\Cache\
before и after, похоже, не показывают никаких изменений (хотя это сложно узнать наверняка, не используя что-то вроде Mimikatz).