Nexpose操作运维手册

NeXpose操作运维手册版本 2.02015年 8 月 25日上海宇信安信息技术有限公司目录1.介绍42.安装42.1准备相关资料及软硬件42.2开机初始化设置及安装NeXpose软件53.初始设置和维护93.1查看并激活软件93.2软件及库的更新114.站点和扫描144.1创建配置站点144.2站点扫描。185.查看资产225.1要按站点来查看资产225.2为资产分组。245.3分类查看资产266.查看管理漏洞276.1发现漏洞信息276.2管理漏洞信息307.使用请求提交系统317.1创建请求提交317.2管理Tickets（请求）338.报表348.1创建报表348.2查看和生成自定义报表378.3补救措施报表398.4比较报表409.扫描模板419.1配置自定义扫描模板419.2配置模板的资产发现429.3设置漏洞检查参数439.4配置模板的Web爬虫4510.用户管理4610.1创建站点用户4610.2创建自定义权限用户4710.3配置外部认证用户4811.管理5011.1调度任务5011.2设置风险战略5111.3备份和还原5311.4部署多个引擎5311.5使用搜索功能5412.基本故障排除5512.1收集查看日志5512.2检查系统运行状态5512.3解决刷新会话方面的故障。5612.4重置被锁定的账户。5612.5扫描时的内存问题。571. 介绍 根据众多合作伙伴和客户的要求，他们希望我们提供教程来指导他们评估或“试用”NeXpose。本指南指导您按步测试 NeXpose。完整的评估步骤包括安装、资产发现、漏洞评估、报告和补救措施。本指南不仅提供产品配置，还告诉您可以从哪里获得更多产品/市场营销信息和技术支持。对于各个任务（例如：定位资产并将技术支持请求分配给管理员），都有若干完成方式。本指南将仅演示其中一种方式。因此您必需记住：了解和学习 NeXpose 来领会其中的逻辑原理比按照本指南点击并输入信息更重要。2. 安装 我们将在本章节按步指导您正确安装 Nexpose。这包括获得文档、软件和许可证等。在本指南中，将 Nexpose 安装在 Ubuntu 12.04 LTS（64-位）上。如果您没有用来测试NeXpose 的环境，本指南将告诉您如何安装配置。 2.1 准备相关资料及软硬件2.1.1 先下载以下文档请访问/community/nexpose 并下载 Nexpose Administrators Guide（Nexpose 管理员指南）、Nexpose Users Guid（Nexpose用户指南）和Nexpose Installation Guide（Nexpose安装指南）。 2.1.2检查软硬件是否满足安装要求。打开“安装指南”并找到“安装要求”。这些要求如下所示。要了解其他部署选项（包括设备、托管服务和私有云），可以访问 /products/nexpose/technology/deployment-options.jsp。 硬件 - 2 GHz 处理器或更高 - 4 GB（32 位）、8 GB 内存（64 位） - 需要 80 GB + 可用磁盘空间来安装 Nexpose 控制台 - 需要 10 GB + 可用磁盘空间来安装 Nexpose 扫描引擎 - 具有英语/美国区域设置的英文操作系统 - 100/1000 Mbps 网卡2.1.3 请前往/products/nexpose/compare-downloads.jsp 并下载用于您操作系统的软件。在本项目中运行平台是一台预装了Ubuntu Linux 12.04 LTS 64位的Dell服务器，因此需要下载NexposeSetup-Linux64.bin安装镜像。2.2 开机初始化设置及安装NeXpose软件2.2.1 将设备接通电源、显示器和键盘，并按下前面板上的电源开关，设备会引导到Ubuntu Linux的系统并出现登陆提示符，输入用户名：nexpose 密码：nexpose进入操作界面。 备注：如果设备关机，建议使用软关机命令，可以登录命令行，并使用“sudo -i”命令切换到超级用户，然后执行“shutdown h now”命令，设备实现软关机。2.2.2 此处仅演示针对 Ubuntu 操作系统的安装。至于其他操作系统，请参阅“安装指南”。打开命令提示框，并使用“sudo i”命令切换到超级用户。2.2.3 设置系统的主机名。一般在初始化安装之前我们都要把系统的主机名设置好，在Ubuntu Linux系统下可以在超级用户模式下通过vi /etc/hostname命令来编辑hostname文件来修改主机名。2.2.4 设置系统的IP地址、网关以及DNS。设置这些参数可以在root模式下通过vi /etc/networks/interfaces命令编辑文件来设置。设置完成后使用ifconfig eth0 down和ifconfig eth0 up来重新激活网卡使得配置生效。2.2.5 使用“apt-get install screen”命令安装需要的程序包。如果在已经安装了此程序包的情况下运行上述命令，也不会有任何不良影响。2.2.6 将下载好的安装软件上传到系统的一个目录下并前往存储此安装软件的目录。请确保该文件有执行权限。否则请使用“chmod +x NexposeSetup-Linux64.bin”命令来添加执行权限。2.2.7 使用“./NexposeSetup-Linux64.bin c”命令以控制台模式运行此安装程序。类似的，“./NexposeSetup-Linux64.bin h”命令将显示帮助文件。2.2.8 点击“Y”开始安装。将显示检查出的系统信息，请确保所有项目都是 Pass 或 Warn。2.2.9 接下来几个步骤是许可证协议，请按照屏幕所示输入名称和公司。2.2.10下一步是安装带有本地扫描引擎的 Nexpose 安全控制台或仅安装扫描引擎。在本指南中，选择“1”来安装带有本地扫描引擎的 Nexpose 安全控制台。2.2.11 下一步是安装目录，请使用默认的“/opt/rapid7/Nexpose”。如果安装了反病毒软件，必须将此目录列入白名单来绕过病毒扫描。2.2.12 如果硬盘可用空间少于 80GB，将显示警告消息。只需点击“1”即可继续。2.2.13 下一步是输入登录 ID 和密码。 请按屏幕所示输入信息并记住凭证。2.2.14 还有两个额外任务：“创建桌面图标”和“安装后初始化并启动 Nexpose”。只需点击“Y”即可完成这两个任务。2.2.15 开始安装,而且需要若干时间来进行初始化。通常需要10-30分钟时间来完成整个安装。2.2.16 安装完成后，注意：登录URL是https:/ip_address/hostname:3780. 而“/opt/rapid7/Nexpose/nsc/nsc.sh”用于手动启动 Nexpose。然后按“回车键”来完成安装。2.2.17 要管理NeXpose Daemon，请前往“/etc/init.d”。使用“./Nexposeconsole.rc status” 来检查Nexpose控制台是否在运行。使用“./Nexposeconsole.rc stop”来停止 Nexpose控制台。使用“./Nexposeconsole.rc restart”来重启 Nexpose 控制台。NeXpose 控制台包括 web 控制台、后端数据库和扫描引擎。3. 初始设置和维护在本章节，将对 Nexpose 进行配置，为扫描做准备。这一部分内容包括许可证激活、更新和其他初始化工作。233.1 查看并激活软件3.1.1 要登录 web 控制台，请连接至 https:/Nexpose_IP:3780，推荐使用 Firefox。利用在安装期间输入的凭证进行登录。将在登录后显示“新闻”（例如产品更新）。3.1.2 要检查许可证，请点击菜单栏顶部的“Administration”（管理）。定位至GLOBAL AND CONSOLE SETTINGS，点击蓝色的“Administer”（管理）后点击左侧“Licensing”（授权）页面。3.1.3 如果是初次安装激活，选择Active a new license按钮出现激活对话框，如果设备可以访问internet，可以直接输入产品key来在线激活。如果不能访问Internet可以使用一个license文件的方式来激活3.1.4 检查安装的软件状态是否正常，可以要运行诊断，请点击菜单栏顶部的“Administration”（管理）。并找到“Troubleshooting”（故障诊断）并点击蓝色的“Diagnose”（诊断）。然后点击“Perform diagnostics”（执行诊断）按钮。请确保 所有类别都呈绿勾状态则表明Nexpose各功能模块运行状态良好。3.2 软件及库的更新3.2.1在能够访问internet的情形下，设备可以自动更新软件及数据库，如果不希望设备自动更新或要要运行手动更新，请点击菜单栏顶部的“Administration”（管理）。定位至“Console”（控制台），点击蓝色的“Administer”（管理）后点击左“Updates”（更新）。然后点击“Manual Update”（手动更新）按钮并点击弹出窗口上的“Start manual update”（启动手动更新）。3.2.2 如果Nexpose的服务器不能访问Internet，这样会导致Nexpose不能自动更新软件及数据库，所以必须要离线更新，如果是离线更新，必须同时更新数据库和软件，不能只更新其中之一，可以按如下方式操作：a.首先要有能上internet的机器去以下链接下载最新的安装包：i. /download/NeXpose-v4/NeXposeSetup-Linux64.bin ii. /download/NeXpose-v4/NeXposeSetup-Windows64.exe b.将Nexpose服务停止c.按照前面安装软件的步骤上传最新的安装软件并前往存储此安装软件的目录。请确保该文件有执行权限。否则请使用“chmod +x NexposeSetup-Linux64.bin”命令来添加执行权限。d.使用“./NexposeSetup-Linux64.bin c”命令以控制台模式运行此安装程序。运行安装包，安装包会发现原有的安装，只会进行更新。e. 安装完成后，按回车就完成升级安装了。3.2.3 要检查更新状态，请点击菜单栏顶部的“Administration”（管理），定位“Console”（控制台），点击蓝色的“Administer”（管理）。“General”（常规）页面显示版本和最近更新信息。3.2.4 要避免自行扫描，请点击菜单栏顶部的“Administration”（管理）。定位至 “Global Settings”（全局设置），点击蓝色的“Manage”（管理）后点击左侧的“Asset Exclusions”（资产例外）。请输入 Nexpose 控制台 IP 地址并点击“Save”（保存）按钮。3.2.5 设置 Web GUI 超时。点击顶部菜单栏上的“Administration”（管理）。定位至左侧的“Console”（控制台），点击蓝色的“Administer”（管理）后点击左侧的“Web Server”（Web 服务器）。将“Session timeout”（会话超时）设置成 1800 秒或其他合适的值。3.2.6 要检查新更新的详细信息（例如：新的漏洞检查），请点击右上方的“News”（新闻）4. 站点和扫描站点用来将合乎逻辑的设备集合归成一组。然后可以利用相同的扫描引擎来扫描各个站点。在 v5.x 中，提供两个站点选项。静态站点是一组 IP 地址、IP 段和主机名集合。动态站点用来发现 vCenter 服务器上的 vAsset。在本指南中，仅说明静态站点。您将了解到如何构建一个站点，以及如何在有/无凭证的情况下在该站点上运行扫描。44.1 创建配置站点 4.1.1 前往“Home”（主页）并点击“Create site”（新建站点）按钮。4.1.2 输入站点名称，例如“My first site”（我的首个站点）。“Importance”（重要性）这一要素用来提高或降低该站点的风险评分，以便微调实际的风险级别。例如：相同的漏洞为数据库服务器带来的风险要甚于为工作站带来的风险。选择“Normal”（标准），同时可以根据自己的要求添加描述和对当前的站点添加TAG标签。完成后点击ASSETS选项。 10.8 将提供有关站点重要性的更多信息。 极低 x 1/3 低 x 1/2 标准 x 1 高 x 2 极高 x 34.1.3 可以在此处添加企业信息（例如公司和联系人），用于为此站点生成的报告.4.1.4 可以将此站点设置成允许特定的用户（例如审计员）进行访问。 4.1.5 在“Assets”（资产）页面上，输入该实验室网络的 IP 地址段。可以在此处添加例外的 IP。支持导入文件。点击“Authentication”选项4.1.6 在“Authentication”(认证)页面上，NeXpose 支持为大量系统验证漏洞扫描和策略审计。这些系统包括 Windows、数据库、Shell和web等。4.1.7 在“TEMPLATES”（扫描模板）页面上，将列出系统可用的模板。选择“Full audit”（完整审计）。也可以根据企业的要求自己创建符合企业的自定义模板。4.1.8 在“ENGINES”（扫描引擎）页面可以选择用来对该站点进行扫描的引擎，缺省是使用本地引擎。如果您拥有多个“Scan Engine”（扫描引擎），您可以为该站点选择其中一个引擎，也可以创建引擎池来提高扫描的效率。4.1.9 在“ALERTS”（警报）页面上，点击“Add alert”（添加警报）按钮来查看可用的警报设置。可以在扫描开始、停止、失败、暂停和继续的时候发送警报。此外，在确认漏洞（例如严重或高危）、找到漏洞（未经确认）或发现潜在漏洞时也可以发送警报。警报选项包括 SMTP 电子邮件、SNMP 和 Syslog。4.1.10 在”SCHEDULE”（计划任务）页面可以设定在特定的日期和时间执行调度扫描。 能够设置最大扫描窗口。可以设置扫描的重复周期（例如每周），以及如果在扫描窗口内无法完成上次扫描该如何操作（例如继续）。 禁用“Enable schedule”（启用调度）。4.2 站点扫描。4.2.1 将在“Home”（主页）页面上的“Sites”（站点）部分下显示新添加的站点。点击“Scan”（扫描）按钮。4.2.2 验证站点信息是否正确。您可以在此处选择扫描模板以及免除IP 或添加 IP。点击“Start now”（立即开始）。4.2.3 将显示扫描进度。您可以随时停止或暂停扫描。“Remaining”（剩余）时间将根据发现的情况和 Expert System JESS 将采取的操作进行变化。可以在扫描期间或扫描后下载扫描日志。该日志将显示扫描内容，例如对某个 URL“Trying form-based XSS injection”（尝试基于表单的 XSS 注入）。4.2.4 “Incompleted Assets”（未完成资产）窗格显示主机的IP、主机名、操作系统和漏洞数。4.2.5 在顶部菜单栏的“Home”（主页）选项卡上，该扫描显示在“Current Scan for All Sites”（所有站点的当前扫描列表）部分之下，而且可以在此处停止、暂停或继续该扫描。4.2.6 可以在扫描后找到站点信息。前往顶部菜单栏的“Home”（主页）选项卡，提供曲线图显示附有严重级别的漏洞数量。该站点信息包括资产数量、漏洞数量、风险评分、站点类型（静态或动态）和扫描状态。4.2.7 尝试对 Windows 域进行凭证扫描。请参阅 2.1.8 - 2.2.1，利用一台服务器和一台Windows 工作站设置 Windows 域。如果此 Windows 域含有 Windows 7 或 Windows Server 2008，请确保已启用“Remote Registry Service”（远程注册表服务）。l 在您希望记录 Shutdown Event Tracker（关机事件跟踪）数据的计算机上，点击 Start（开始）后点击Start Search（开始搜索）框，输入services.msc 并按回车键。将启动Microsoft 管理控制台并打开服务管理单元（snap-in）。l 在此控制台窗格中，右键单击“Remote Registry”（远程注册表）并点击Start（开始）。4.2.8 请参阅4.1来构建新的静态站点（例如“Windows Domain”），其中包括上述两个 Windows 资产，并选择“Exhaustive”（彻查）扫描模板。“Exhaustive”（彻查）包括补丁/修补程序检查、策略合规检查和应用层审计。点击“Browse”（浏览）按钮后点击“Exhaustive”（彻查）来查看扫描模板，“Exhaustive”（彻查）包括针对 Oracle、Lotus Domino、Windows Group、CIFS/SMB、AS/400 和 UNIX 的策略审计。在本例中，将应用“Windows Group Policy”（Windows 群组策略）来扫描 Windows 域。取决于选定的主机数量，执行“彻查”审计可能需要数小时甚至几天才能完成。稍后将继续讨论有关扫描模板的更多信息。4.2.9 在“Credential”（凭证）页面上，添加“Microsoft Window s/Samba (SMB/CIFS)”凭证来登录此 Window 域。记住在保存前测试该凭证。保存并对新站点“Windows Domain”运行扫描。5. 查看资产Nexpose 安全控制台界面提供若干工具来帮助您查看并管理在扫描期间收集的资产数据。23455.1 要按站点来查看资产5.1.1 点击顶部菜单栏上的“Assets”（资产）。点击属于“Sites” （站点）的蓝色数字来查看。5.1.2 将显示所有站点的重要信息。在“Site Listing”（站点列表）窗格中点击任何站点（例如“My first site”）的链接来查看其资产。- Sites（站点）页面顶部的图表提供站点统计，包括风险和漏洞。 -该站点信息包括资产数量、漏洞数量、风险评分、站点类型（静态或动态）和扫描状态。5.1.3 该控制台显示针对此站点的页面，其中包括当前扫描信息、统计图表和资产列表。在此页面上，您可以查看有关各个资产安全性的重要信息，这可以帮助您区分补救措施的优先级：可被入侵的漏洞数量和风险评分。5.1.4 在此站点页面上，滚动鼠标至底部，将在“Asset Listing”（资产列表）上显示已发现的资产并附有主机名、操作系统和其他漏洞相关信息。点击某个资产的IP地址或名称。5.1.5 将在顶部显示“Asset Properties”（资产属性），其后是“Vulnerability Listing”（漏洞列表）。 5.1.6 如果出于某些原因（例如可以接受该漏洞作为资产对 ping的响应）要免除漏洞，您可以点击将此漏洞添加至“Vulnerability Exception Listing”（漏洞例外列表）。5.1.7 “Service Listing”（服务列表）部分将显示已扫描的网络服务（例如 FTP）、正在运行的应用程序（例如 ProFTPD 1.3.1）、使用的端口和漏洞数量等。管理员可以在此处检查这些服务来查看是否运行着任何异常服务。5.1.8 “User and Group Listing”（用户和群组列表）部分将显示找到的用户和群组。管理员可以在此处看见由离职员工或后门恶意软件创建的任何奇怪 ID。5.1.9 数据库一直是关键的受保护系统。“Database Listing”（数据库列表）窗格显示已扫描的数据库。“File and Directory Listing”（文件和目录列表）窗格显示已检测出的文件系统结构。5.2 为资产分组。5.2.1 点击顶部菜单栏上的“Assets”（资产）。点击“Asset groups”（资产群组）的蓝色“View”（查看）。可以创建两种不同类型的“快照”。动态资产群组是会随着每次扫描 进行潜在变化的快照；静态资产群组是保持不变的快照。5.2.2 动态资产群组含有符合一套特定搜索条件的已扫描资产。您可以利用资产搜索过滤器来定义这些条件，例如 IP 地址段或托管的操作系统。 动态群组中的资产列表会随每次扫描进行相应的变动。 点击“New dynamic asset group”（新建动态资产群组）。 您 可以为此动态群组应用搜索过滤器。例如：为“My first site”（我的首个站点）中的所有web服务器定义一个动态群组。条件是“Service name contains HTTP”（服务名称含有 HTTP）和“Site name is My first site”（站点名称是 My first site）。此搜索结果显示符合条件的所有资产。点击“Create asset group”（创建资产群组）按钮。点击“Create asset group”（创建资产群组）按钮。 输入名称、描述并添加用户。点击“Save”（保存）来存储新添加的动态群组，该群组会在“Asset Group Listing”（资产群组列表）中显示。5.2.3 静态资产群组含有符合一套条件（您根据企业需求所定义）的资产。静态群组中的资产列表不会变化，除非您手动修改。5.3 分类查看资产5.3.1 要按运行的操作系统查看资产，请前往顶部菜单栏上的“Assets”（资产）选项卡，并在该页面下拉找到“Operating Systems”（操作系统）。该控制台显示“Operating Systems”（操作系统）页面，其中列出在您网络中运行的所有操作系统，以及各个操作系统的实例数量。点击某个操作系统的链接来查看运行该系统的资产。5.3.2 要按所用服务查看资产，请前往顶部菜单栏上的“Assets”（资产）选项卡，并向下选择到“Services”（服务）选项框。其中列出在您网络中运行的所有服务，以及各个服务的实例数量。点击某个服务的链接来查看运行该服务的资产。5.3.3 要按所运行的软件查看资产，请前往顶部菜单栏上的“Assets”（资产）选项卡，并向下找到“Software”（软件）选项。该选项显示“Software”（软件）页面，其中列出 Nexpose 所找到的在您网络中运行的软件，以及各个程序的实例数量和类型。点击某个程序的链接来查看运行该程序的资产。Nexpose 仅列出其有凭证可以进行扫描的软件。例外情况：Nexpose 发现具有 root/admin 访问权限的漏洞。6. 查看管理漏洞Nexpose 在扫描过程中发现的漏洞将出现在 Nexpose 漏洞数据库中。这个可以搜索且内容丰富的全文本数据库还存储以下信息，包括补丁、可下载修复程序、以及有关安全漏洞的参考内容。234566.1 发现漏洞信息6.1.1点击顶部菜单栏上的“Vulnerabilities”（漏洞）选项卡。该控制台“Vulnerabilities”（漏洞）页面。6.1.2 图标表示此漏洞易受恶意软件的攻击（例如：后门恶意软件）。图标 表示此漏洞可以被 Metasploit 入侵（）。图标 表示已证实此漏洞可以被 Exploit DB 入侵（）。通过点击这些图标（例如 ）和链接（例如 ），可以找到有关恶意软件或入侵技术的更多信息。6.1.3 点击“Vulnerabilities”（漏洞）页面上列出的任何漏洞的相应链接来查看相关信息。该控制台显示此漏洞的页面。页面顶部是漏洞描述、其严重级别和 CVSS 等级“Affects”（影响）窗格列出扫描报告的漏洞所影响的资产、端口和站点。6.1.4 “Exploits”（入侵列表）列出有关可能发生的入侵及其在线来源的描述。“Malware kits”(恶意软件）表格列出攻击者为通过该漏洞攻击您的环境，用来编写和部署恶意代码的任何恶意软件。6.1.5 “References”（参考）窗格列出的链接转至提供有关该漏洞详细信息的网站，底部是“Solution”（解决方案）窗格，列出补救措施的步骤以及下载补丁和修复程序的链接。6.2 管理漏洞信息6.2.1 由于漏洞已获得修复、或者是可以接受的使用/风险，或出于误报原因，企业可以免除某些漏洞出现在这些报告中或影响风险评分。为选定的漏洞点击“Exclude” （例外）。在弹出的“Vulnerability Exception”（漏洞例外）窗口中选择“Scope”（例外范围），可以是此实例或所有资产。选择“Reason”（原因），例如“Acceptable Use”（可以接受的使用）并在必要时添加备注。如果权限允许，可以添加例外。如果权限不足，则需要经过批准。点击“Submit and approve”（提交并批准）。 例外的漏洞将从漏洞列表上消失。如果点击“Submit”（提交），“ Exception”（例外）状态就会从“Exclude”（例外）变成“Under Review”（审核中） 。6.2.2 要查看/批准一个例外，请点击“Administration”（管理）选项卡。定位至“Exceptions and Overrides”（例外和覆盖）并点击蓝色的“Review”（管理）。将在此处列出要进行例外处理的所有已批准和正在审核的漏洞。 可以在此处删除列出的漏洞。点击“Review Status”（审核状态）栏下的“Under review”（审核中）来批准/拒绝要进行例外处理的漏洞。必要时，请输入备注或设置过期日。然后点“Approve”（批准）或“Reject”（拒绝）按钮。7. 使用请求提交系统您可以使用 Nexpose 请求提交系统来管理补救措施工作流并分配补救措施任务。NeXpose 请求提交系统和稍后要说明的补救措施报告都是以资产为导向的。 请求与一个资产相关联，并含有关于一个或多个漏洞的信息。77.1 创建请求提交7.1.1 要找到具有漏洞的资产。点击“Assets”（资产）选项卡后向下找到Scanned的资产表。7.1.2 在“Scanned”（已扫描）列表中，点击要分配请求的资产 IP 地址。7.1.3 点击“Vulnerability Listing”（漏洞列表）窗格下的“Open a ticket”（提交请求）按钮。7.1.4 要配置请求，请输入“Name”（名称），设置“Priority”（优先级）并将其分配给一名人员。前往“Vulnerabilities”（漏洞）页面并点击“Select vulnerabilities”（选择漏洞），以便选择要进行修复的漏洞。 最后，点击“Save”（保存）按钮来保存此请求。7.2 管理Tickets（请求）7.2.1 要查看或更新请求，请前往顶部菜单栏上的“Tickets”（请求）选项卡。找到并点击请求名称，例如“Fix the Web Server”（修复 Web 服务器），如下方屏幕截图所示。7.2.2 可以将请求分配给另一名管理员，添加/删除要修复的漏洞，设置不同的优先级或在“History”（历史记录）页面上添加备注等。8. 报表Nexpose的报表系统提供多种不同方式来查看扫描数据，从业务角度出发的报报表到详尽的技术评估。您可以了解有关漏洞的全面信息以及补救措施，您也可以仅列出在您网络资产上运行的服务。23456788.1 创建报表8.1.1 要创建报告，请前往“Reports”（报表）选项卡并点击“New”（新建）按钮。8.1.2 输入名称，选择格式（例如 PDF）、模板（例如审计报告）和时区（例如 GMT +0800）8.1.3 选择报告“Scope”（范围），例如漏洞和站点、群组或资产。如果要选择生成指定扫描任务的报表可以选择“Select Scan”后选择相应的站点并选择相应完成的扫描任务来生成报表。8.1.4 选择“Frequency”（频度）页面允许您设置此报告是一次性报告还是每次扫描后生成报告，或者按调度生成报告。可以选择：一次生成该次扫描的报表、每次完成扫描后自动生成报表、按照设定的计划时间来生成报表。8.1.5 使用报告中的风险趋势将帮助您理解已修复或排除的漏洞将如何影响您的企业。你可以在您的“Executive Overview”（执行概述）或自定义报告中作为一组彩色折线图显示的风险趋势说明您所面临的风险在报告期间如何变化。在“Advanced Properties”（高级属性）页面允许您进行趋势设置，例如趋势的日期范围。8.1.6 “Report File Storage”（输出）页面允许您设置在文件系统中存储该报告的目录。跳过此项。8.1.7 “Access”（访问权限）页面允许您选择报告拥有者和报告查看者。使用默认值，因为此系统只有默认的“admin”。8.1.8 “Distribution”（分发）页面允许您通过电子邮件将此报告发送至一名或多名收件人。8.1.9 “language”（语言）页面允许您设置生成报表的语言文字。8.1.10 一旦点击“Save&run the report”（保存并运行报表）按钮，即可生成报告。或者只保存设置而不立即生成报表。8.2 查看和生成自定义报表8.2.1 要查看报告，请点击顶栏的“Reports”（报告）选项卡。可以找到所有生成的报告，除了查看报告以外，其他操作包括检查历史记录、再次生成报告、编辑报告配置、复制到新报告和删除报告。8.2.2 要自定义报告，则需要新的报告模板。请遵照步骤 7.1 来生成新报告，点击“Report”（报告）下面的“Manage report templates”（管理报告模板）然后“New”按钮。您也可以前往顶栏“Administration”（管理）选项卡找到“Templates”（模板）来新建报告模板。8.2.3 输入新的报告模板名称，选择技术性详细级别并输入描述。选择漏洞内容的详细度以及包含在该模板中的内容。8.2.4 在“Report Sections”（报告组成部分）中，选择将在报告中显示的各部分及其顺序。8.2.5 某些部分可以进一步定制。例如：可以更改“Cover Page”（面函）的徽标和标题。8.2.6 保存该模板并遵照步骤8.1来生成新的自定义报告。 8.3 补救措施报表8.3.1 要生成帮助您修复漏洞的补救措施报告。补救措施以资产为导向，而且提供预估时间，这有助于对修复（例如停机）做出规划。请参阅 7.1和7.2，使用“Remediation Plan”（补救措施规划）模板来生成一份新报告。8.3.2 打开此补救措施报告，其中显示修复各个资产（例如 29）所需要的步骤数（例如 6 步）和总体时间（例如 7 小时 50 分钟）。此外，还显示各个步骤（例如：升级到 PHP v4.4.8 最新版本）的所需时间（例如 2 小时）和修复的问题数量（例如 39）。这些信息十分有助于对修复（例如停机）做出规划预估。8.4 比较报表8.4.1 比较报表十分有助于找出当前扫描和上次扫描之间的差异。使用“BaselineComparison”（基准比较）模板来为“My first site”（我的首个站点）生成一 份新告。8.4.2 在“Advanced Properties”（高级属性）页面上，选择最新扫描和上次扫描之间的比较。保存并运行此报告。8.4.3 您可以在这份比较基准报告中发现“Vulnerability Trend”（漏洞趋势）、“SystemTrends”（系统趋势）和“Service Trends”（服务趋势）。9. 扫描模板扫描模板用来定义扫描所使用的设置，包括要扫描的端口和要测试的漏洞。除了内置的扫描模板（例如 Web 审计）以外，还新增了自定义模板.扫描模板用来为特定的审计优化扫描行为.一些常规使用包括限制要扫描的服务类型、搜索特定的漏洞，以及调整网络带宽使用。此处，我们使用Web审计模板来创建自定义的模板。234567899.1 配置自定义扫描模板9.1.1 前往顶部菜单栏的“Administration”（管理），点击“SCAN OPTIONS”（扫描选项）的”TEMPLATES”（模板）边上的蓝色“manage”（管理）。9.1.2 将显示所有默认的模板。以及各种基本信息，例如描述和发现的资产和服务等。找到“Web audit”（Web 审计）模板并点击右侧的“Copy”（复制）图标。我们将基于默认的“Web audit”（Web 审计）模板构建一个新的自定义模板。9.1.3 每个模板都由四大部分组成，由此来表示该模板要执行的操作。这些部分是“Asset Discovery”（资产发现）、“Vulnerabilities”（漏洞）、“Web Spidering”（Web 爬虫）和“Policies”（策略）。 将在左侧列出所有子部分，并使用 3 条线进行划分来识别这四大部分。将新的扫描模板命名为“Exhaustive Web audit”（彻查 Web 审计）。9.2 配置模板的资产发现 “Asset Discovery”（资产发现）和“Service Discovery”（服务发现）允许您配NeXpose 如何发现主机和该主机上运行的服务。在相同的资源下（硬件和可用带宽），执行发现操作的时间越长，得到的结果也就越精确。例如：将TCP重试次数从5次减少到4次，就可能使扫描结果不太精确。类似的，您可以通过将10毫秒拖延到25毫秒来提高端口扫描的准确性。9.3 设置漏洞检查参数9.3.1 当 NeXpose 在扫描的发现阶段中识别了资产的“指纹”时，将自动确定要执行哪种漏洞检查。除指纹指定的检查以外，您可以在“Vulnerability Checks”（漏洞检查）页面上，手动配置 NeXpose 执行更多检查。您还可以删除候选检查。不安全检查（Unsafe check）包括对照应用程序（例如 IIS 和 Apache）与服务（例如 FTP 和 SSH）测试缓冲区溢出。以及检查某些数据库客户端中引起系统崩溃的协议错误。不安全扫描可能引起系统崩溃或使系统陷入不确定的状态，即使该系统似乎在正常运行。不安全检查的优点在于：这些检查可以验证对服务攻击的阻止构成威胁的漏洞，这些漏洞会引起一定程度的服务终止或服务滥用，导致使用这些服务的系统无法完成任何工作而陷入崩溃和不可用状态。如果您希望将可靠检查与定期检查相关联，请勾选相应的勾选框（Correlate reliable checks with regular checks）。启用该设置后，Nexpose 就会更信任操作系统补丁检查，并尝试覆盖其他可能不太可靠的检查结果。操作系统补丁检查要比定期漏洞检查更可靠，因为这些检查可以确认目标资产所具有的补丁级别是否可以抵御指定的攻击。要使用检查关联，您必须使用一个含有补丁验证检查的扫描模板，而且必须在您的站点配置中包含登录凭证。在本例“Exhaustive Web audit”（彻查 Web 审计）中，请启用“Check Configuration”（检查配置）下方的所有三个选项。9.3.2 您可以通过各种方式手动添加或移除漏洞检查。您可以配置 Nexpose来检查漏洞类别。在本例中，类别是指服务类型，例如Apache或DNS。您可以配置Nexpose来执行特定类型的检查，例如策略或版本检查。您还可以配置Nexpose来执行特定的漏洞查。 在本例“Exhaustive Web audit”（彻查 Web 审计）中，因为该模板是复制“Web audit”（Web 审计）扫描模板而得，当前的漏洞检查足以有效检测 web 漏洞。无需在此处进行任何更改。9.4 配置模板的Web爬虫 Nexpose可以对网站启用爬虫来发现其目录结构、默认目录、服务器上的文件和应用程序、断开的链接、无法访问的链接和其他信息。然后Nexpose将分析这些数据来验证安全漏洞，例如 SQL 注入、跨站脚本（CSS/XSS）、备份脚本文件、可读 CGI 脚本、不安全的密码使用，以及由软件缺陷或配置错误引起的其他问题。如果您希望在启用爬虫时包含查询字符串（query string），请勾选相应的勾选框。例如：在地址 /index.html?id=6中，“?id=6”参数可能是指应向浏览器交付的内容。如果您启用此设置来包含查询字符串，爬虫就会对照已经检索的所有 URL 页面来检查完整的字符串 /index.html?id=6，以便了解是否已分析过此页面。如果您未启用此设置，爬虫将只检查不含“?id=6”参数的基本 URL。如果您希望爬虫在一次扫描期间测试持续的跨站脚本攻击，请勾选该选项的勾框。该测试有助于抵御通过存储在 Web 服务器上的恶意代码进行的危险攻击。启用此项可能延长Web 爬虫的扫描时间。在本例“Exhaustive Web audit”（彻查 Web 审计）中，选择“Enable web spidering”（启用 web 爬虫）、“Include query strings when spidering”（在启用爬虫时包含查询字符串）、“Test cross-site scripting in a single scan”（在一次扫描中测试跨站脚本）。10. 用户管理NeXpose 支持通过角色分配来控制各个用户的权限。将在此处构建三名用户，分别使用默认角色、自定义角色和外部验证源来构建这三名用户。234567891010.1 创建站点用户10.1.1 前往顶部菜单栏的“Administration”（管理），并选择“Users”（用户）选项下的蓝色“Create”（创建）。10.1.2 在“General”（常规）页面上，输入用户名和密码。将“Authentication method”（验证方式）始终设置为“Nexpose user”（Nexpose 用户）。10.1.3 在“Roles”（角色）页面上，选择“Site Owner”（站点拥有者）角色。10.1.4 在“Site Access”（站点访问权限）页面上，只为新用户分配一个站点（例如“My first site”）。 10.1.5 在“Asset Group Access”（资产群组访问权限）页面上，您无法进行任何设置，因为“Site Owner”（站点拥有者）这个角色是基于站点而非资产群组获得权限的。保存上述设置。10.1.6 使用新用户进行登录。您将发现该用户只能访问被分配到的站点（例如“My first site”）。他无法访