亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　你無(wú)法保護(hù)你不知道的東西。雖然這并不是IT安全領(lǐng)域的咒語(yǔ)，但當(dāng)你從“可信”用戶的角度尋找安全漏洞，或者換句話說(shuō)，通過身份驗(yàn)證執(zhí)行漏洞掃描時(shí)，這個(gè)原則確實(shí)是真的。

　　通過配置漏洞掃描儀來(lái)登錄到你正在測(cè)試的主機(jī)，你會(huì)看到這個(gè)故事的其余部分——即為了節(jié)省時(shí)間或金錢，或者因?yàn)閺?fù)雜性而經(jīng)常被忽略的安全方面。事實(shí)的真相是，盡管執(zhí)行身份驗(yàn)證掃描確實(shí)需要更多的時(shí)間，但從發(fā)現(xiàn)的漏洞(以及最終緩解的風(fēng)險(xiǎn))來(lái)看，這種漏洞掃描比通過非身份驗(yàn)證掃描的效果好十倍。

　　安全團(tuán)隊(duì)可以遵循下面五種方法來(lái)更有效地準(zhǔn)備和執(zhí)行身份驗(yàn)證漏洞掃描，以及充分利用其得到的結(jié)果：

　　1. 事先知道需要通過身份驗(yàn)證進(jìn)行掃描的系統(tǒng)

　　這可能包括所有Windows和基于Linux的系統(tǒng)，或者少數(shù)計(jì)算機(jī)部分(例如服務(wù)器或工作組)。此外，請(qǐng)務(wù)必考慮掃描Web應(yīng)用、數(shù)據(jù)庫(kù)以及允許或要求通過Telnet、FTP、SSH和SNMP等協(xié)議的身份驗(yàn)證的所有網(wǎng)絡(luò)主機(jī)。很多商業(yè)漏洞掃描儀(例如Nexpose和LanGuard)提供了各種方法來(lái)進(jìn)行掃描。如果你網(wǎng)絡(luò)外部的黑客或者內(nèi)部的惡意用戶都開始使用身份驗(yàn)證掃描，那么你也需要這樣做。

　　2. 確定想要掃描何種用戶角色水平

　　筆者建議至少使用管理員或根級(jí)登錄憑證進(jìn)行掃描；這樣你將會(huì)發(fā)現(xiàn)大部分漏洞。然而，通過不同用戶角色進(jìn)行掃描(例如經(jīng)理級(jí)別角色或基本用戶角色)，你可以更好地了解每個(gè)用戶組可以看到和利用的資源。在一定程度上，你測(cè)試的用戶角色越多，你得到的結(jié)果會(huì)越好(不過在某種情況下將會(huì)出現(xiàn)收效遞減的規(guī)律)。當(dāng)你看到你的結(jié)果不再根據(jù)權(quán)限而變化時(shí)，你會(huì)知道什么時(shí)候該適可而止。

　　3. 為身份驗(yàn)證掃描設(shè)置用戶賬號(hào)

　　這樣在首次登錄時(shí)不會(huì)要求更改密碼(這是Active Directory組策略和一些web應(yīng)用的通用設(shè)置)。如果你忘記了這一點(diǎn)，你的掃描儀首次登錄時(shí)將會(huì)提示你更改密碼，當(dāng)然這無(wú)法做到。你可能不知道這個(gè)情況，然后繼續(xù)進(jìn)行掃描。幾分鐘后(可能更長(zhǎng)時(shí)間)，你會(huì)意識(shí)到身份驗(yàn)證無(wú)法使用，你將需要重新開始進(jìn)行掃描。通過web漏洞掃描儀，你可能需要?jiǎng)?chuàng)建一個(gè)登錄宏以允許你測(cè)試。出于某種原因，大多數(shù)網(wǎng)絡(luò)漏洞掃描儀不會(huì)提供選項(xiàng)以在你開始掃描前測(cè)試你的登錄憑證。筆者所知道的唯一具有這種功能的兩個(gè)掃描儀是老的Harris STAT掃描儀和Rapid7的Nexpose。這一點(diǎn)似乎是老生常談，但從長(zhǎng)期來(lái)看，這個(gè)功能可以為你節(jié)省大量時(shí)間和避免很多麻煩。

　　4. 先確保對(duì)網(wǎng)絡(luò)主機(jī)的身份驗(yàn)證漏洞掃描不會(huì)帶來(lái)問題

　　這就是說(shuō)，這可能會(huì)在生產(chǎn)環(huán)境產(chǎn)生問題，特別是當(dāng)掃描web應(yīng)用時(shí)。無(wú)論你在掃描什么，都會(huì)消耗CPU、磁盤和網(wǎng)絡(luò)周期，日志文件和數(shù)據(jù)庫(kù)可能會(huì)被填滿，用戶賬號(hào)可能被鎖定等。筆者建議首先在一個(gè)或兩個(gè)系統(tǒng)上運(yùn)行身份驗(yàn)證掃描，看看會(huì)帶來(lái)什么副作用，再擴(kuò)展到掃描成千上萬(wàn)個(gè)系統(tǒng)。

　　5. 按照漏洞的排序方式來(lái)生成HTML或電子表格報(bào)告

　　在身份驗(yàn)證掃描期間發(fā)現(xiàn)的安全漏洞可能非常多，特別是當(dāng)查看傳統(tǒng)PDF報(bào)告中的結(jié)果時(shí)。筆者發(fā)現(xiàn)，按照漏洞的排序方式來(lái)生成HTML或電子表格報(bào)告是查看發(fā)現(xiàn)結(jié)果的最佳方法。當(dāng)你整理漏洞結(jié)果時(shí)，你可以通過能夠更簡(jiǎn)單更清楚地看清事物(例如每個(gè)漏洞所影響的主機(jī)或網(wǎng)頁(yè))而節(jié)省大量時(shí)間，并且可以更簡(jiǎn)單地生成最終報(bào)告或修復(fù)計(jì)劃，而不是一次查看一臺(tái)主機(jī)。

　　使用漏洞掃描儀來(lái)正確地執(zhí)行漏洞掃描類似于使用數(shù)碼單反相機(jī)拍攝照片。任何人都可以使用這個(gè)工具，但這并不意味著你知道如何有效地利用它，而且也不能保證取得積極的效果。

　　你執(zhí)行身份驗(yàn)證掃描的次數(shù)越多，你就會(huì)學(xué)到越多的技巧，這將讓你的使用變得更加高效。這樣，你能夠在更短時(shí)間內(nèi)更好地發(fā)現(xiàn)漏洞，幫助企業(yè)降低風(fēng)險(xiǎn)，然后萬(wàn)事大吉，何樂而不為呢？