レコードはいくつでも追加できます。それぞれの対象ホストが 1 つのレコードと照合されます。詳細
一部のコンプライアンスチェックでは、認証レベルを「Packet Privacy」まで上げて、安全な方法で実行されるように WMI サービスを設定する必要があります。詳細
Windows レコードを作成すると、スキャン時に Windows ホストへの認証が行えるようになります。認証スキャンを実行すると、誤検出が少なくなり、最も正確な結果を得ることができます。Windows レコードを作成するには、「Scans」->「Authentication」を選択した後、「New」->「Operating Systems」->「Windows」を選択します。
VM/VMDR の場合: 最も正確なセキュリティ評価を行い、システムに推奨される修正を行うには、管理者権限が推奨されます。
PC/SCA の場合: 管理者権限(ビルトイン管理者または「Domain Admins」グループメンバーアカウント)が必要です。コンプライアンススキャンエンジンがオペレーティングシステムの設定を検証するために、管理者権限が必要です。
管理者権限を持つアカウントを使用すると、レジストリキー、管理ファイル共有(C$ など)、実行中のサービスに基づく情報を収集できます。VM/VMDR では、管理者権限より下の権限を持つアカウントを使用することも可能ですが、この場合、スキャンチェックの数が制限され、結果の正確性や完全性が低下します。
パスワード Vault の使用パスワード Vault の使用
Vault システムを設定するには、「Scans」->「Authentication」->「Vaults」を選択します。次に、レコードで「Authentication Vault」を選択し、Vault 名を選択します。スキャン時には、レコードにあるアカウント名と Vault で見つかったパスワードを使用してホストへの認証が行われます。
ドメインアカウントを使用する場合は、ドメイン名を入力して、ドメインタイプを選択します。
これを選択すると、NetBIOS 認証を使用してドメイン設定にある IP アドレスへの認証が行われます。レコードの「IPs」項に IP を入力します。この方法を使用して、ドメイン(ツリー)全体に対して 1 つの認証レコードを定義できます。
これを選択すると、ドメインに保存されている資格情報に基づき、NetBIOS を使用してドメインのホストへの認証が行われます。信頼関係が存在し、アカウントのパーミッションが正しく伝播されていれば、同じドメインのメンバー以外のホストへの認証が可能です。詳細
これを選択すると、Active Directory フォレストを使用して、フレームワーク内の特定のドメインのホストへの認証が行われます。FQDN(完全修飾ドメイン名)を入力する必要があります。「Follow trust relationships」を選択し、信頼関係が存在する場合は、レコードで定義されたドメインと信頼関係のある他のドメインのホストへの認証が行われます。
Windows ドメインのログインで信頼関係がサポートされます。つまり信頼関係がある場合は、あるドメインに格納された資格情報を使用して、別のドメインに格納された 1 つ以上のホストへの認証が行えます。これは、パススルー認証を使用して、スキャン対象によって自動的に行われます。
「Follow trust relationships」設定(「Active Directory」ドメインタイプで使用可能)の使用は、所有するすべてのドメインが 1 か所(1 つのオフィスなど)にある中小企業のみに適しています。この設定は、多くの場所に数百ものドメインを所有し、複数のファイアウォールを備えているエンタープライズユーザには適していません。
この設定を有効にすると、スキャナは、認証レコードで使用されるドメインとの信頼関係を持つフォレスト内のすべてのドメインのすべてのドメインコントローラにアクセスする必要があります。ファイアウォールがこれらのドメインコントローラへの接続をブロックした場合、またはファイアウォールがこれらのドメインを解決する DNS サーバへの接続をブロックした場合、認証エラーとなる可能性があります。
スキャナでは、レコードで選択された認証プロトコルの 1 つを使用して対象ホストへの認証が試行されます。その際、安全性の高いプロトコルから順に使用されます。ドメインレベルの認証では、3 つすべてのプロトコルがサポートされます。ローカルホスト認証では、NTLMv2 および NTLMv1 プロトコルがサポートされます。
このレコードで定義したログイン資格情報を使用して認証を行う Windows ホスト(IP)を選択します。各 IP は、1 つの Windows レコードに含めることができます。
ドメインレベルの認証では、ドメインタイプ「NetBIOS, User-Selected IPs」が「Login Credentials」タブで選択されている場合にのみ IP を選択します。この項で指定されるすべての IP がドメイン設定に含まれている必要があります。
「Login Credentials」タブで「NetBIOS, Service-Selected IPs」または「Active Directory」を選択した場合、これらのドメインタイプではレコードに IP を入力しないため、「IPs」項は無効になります。
マネージャ以外のユーザがレコードを編集することへの警告マネージャ以外のユーザがレコードを編集することへの警告
ユーザに表示される IP は、そのユーザが表示パーミッションを持つレコードの IP のみです。実際には、レコードにはそれより多くの IP が含まれている可能性があり、レコードを変更すると、レコード内に定義されているすべてのホスト(表示されないホストも含む)に影響が及びます。
認証レコードでタグのサポートがサブスクリプションで有効な場合、アセットタグを使用してホストを指定するための追加オプションが表示されます。アセットタイプを選択してから、レコードに IP またはタグを設定します。アセットタイプには、「IPs/Ranges」、「IP Range in Tag Rule」、「Asset Tags」というオプションがあります。
注記 - ドメインレベル認証についてはドメインタイプが「NetBIOS, User-Selected IPs」の場合にのみアセットを追加できます。ドメインタイプが「NetBIOS, Service-Selected IPs」または「Active Directory」の場合、アセット選択は無効になります。
このオプションは、レコードに IP アドレス/範囲を追加する場合に使用します。表示されたフィールドに IP アドレス/範囲を入力します。
このオプションは、タグルールで定義された IP アドレス範囲があるタグの追加に使用します。タグルールで定義されているすべての IP アドレスが、まだタグが割り当てられていない IP も含めて、レコードに関連付けされます。レコードに含める、またはレコードから除外するタグを選択するには、「Add Tag」をクリックします。タグセレクタに表示されるのは、動的なタグルール「IP Address in Range(s)」が設定されたタグに限られます。
このオプションは、レコードにアセットを含めるためにタグを追加するときに使用します。選択したタグに既に割り当てられている IP アドレスが、レコードに関連付けられます。レコードに含める、またはレコードから除外するタグを選択するには、「Add Tag」をクリックします。
SMB 署名 - このオプションはデフォルトではオフになっています。つまり、SMB 署名は必須ではありません。これは推奨設定です。このオプションがオフの場合、対象ホストで SMB 署名がどのように設定されているかに関係なく、任意の Windows バージョンへの認証が可能です。ただし、中間者(MITM)攻撃に対しては保護されません。このオプションを選択した場合、次のようになります。このオプションを選択した場合、次のようになります。
このオプションを選択すると、設定がローカルポリシー経由であるかグループポリシー経由であるかに関係なく、各対象 Windows に対して SMB 署名をサポートするよう要求されます。この場合に対象ホストで SMB 署名を無効にすると、認証に失敗し、ホストがスキャンされません。このオプションにより MITM 攻撃からは保護されますが、一部のホストへの認証ができない場合があります。
SMB の最小バージョン - SMB プロトコルの最小バージョン(1、2.0.2、2.1 など)を選択してください。各対象 Windows にそれ以上のバージョンがあることが必須となります。対象にそれより前の SMB プロトコルがある場合、認証に失敗し、ホストがスキャンされません。
このレコードにあるホストを ID によって追跡するには、「Enable agentless tracking」オプションを選択します。スキャンプロセスの実行中、対象の各ホストには一意のホスト ID がサービスによって割り当てられます。詳細