Если вы когда-нибудь ловили себя на мысли «а вдруг у меня в системе зияет дыра размером с Гранд-Каньон», то добро пожаловать. Ниже — свежий гид по бесплатным сканерам, которые помогут поймать и обезвредить эти цифровые «каньоны», прежде чем туда провалится что-нибудь важное — вроде репутации компании или собственной зарплаты.
Зачем вообще нужен сканер уязвимостей?
Условно: чтобы спать спокойно. Конкретно: чтобы регулярно автоматически проверять ОС, службы, веб-приложения и сетевую периферию на известные CVE, неправильные права или просто плохие настройки, которые могут открыть злоумышленнику дверь без стука. Такой сканер:
- строит инвентаризацию хостов и открытую карту портов,
- сверяет версии ПО c базой CVE,
- дает отчёт с приоритетами и CVSS-баллами,
- часто подсказывает патчи или конфиги «под ключ».
Подходы к сканированию
Все нижеописанные продукты делятся на три лагеря:
- Сетевые сканеры — гоняют пакеты из-вне и «прощупывают» любую TCP/UDP-поверхность (OpenVAS, Nessus Essentials, Nmap).
- Агентские решения — ставят маленького агента на каждом хосте (Wazuh, Microsoft Defender VM).
- Веб-сканеры — специализируются на DAST- аудите веб-приложений (OWASP ZAP, Nikto).
Ниже рассмотрим каждый инструмент с позиции Windows-админа, который хочет «поставил — нажал — увидел красную зону».
1. Greenbone OpenVAS (Community Edition)
OpenVAS — классический open-source сетевой сканер, прозванный «швейцарским ножом» пентестера. Руководство ставит его в Docker или VM, сканировать можно и домен, и отдельную машину в сякой подсети. Двигатель проверяет более 50 000 тестов из ежедневного фида.
Плюсы
- Полностью бесплатен, в том числе для коммерции.
- При правильной настройке выдерживает крупные сети.
- Пишется скриптами, можно создавать свои VT-плагины.
Минусы
- ❗ Требует Linux-узел; на чистой Windows придётся поднимать WSL2 или VM.
- Первичная настройка нетривиальна (NVT-фид, сертификаты, Redis).
- Фронтенд становится медлительным на очень больших отчётах.
Кому подойдёт: небольшим и средним компаниям, которые готовы поторговаться с консолью ради полной свободы.
2. Nessus Essentials
Nessus Essentials — «лайт»-версия культового Nessus, бесплатная до 16 адресов. Установка есть под Windows x64, интерфейс веб-GUI с профилями сканов. Обновляет плагины раз в день, охватывая те же CVE, что и старший брат. С 2024 года даёт отчёты в формате .nessus, PDF и CSV.
Плюсы
- 5 минут от скачивания до первого скана.
- Tenable-фид считается одним из самых полных.
- Отчёты понятны даже гуманитарию, CVSS оценивается автоматически.
Минусы
- Лимит 16 IP — для домашнего лаба норм, для офиса — уже боль.
- Рекламу «обновитесь до Pro» придётся терпеть.
Кому подойдёт: админам малого бизнеса, которым надо «одно окно» и никаких докер-тарелок.
3. Wazuh 3.x (Open-source XDR + Vuln Detector)
Wazuh изначально задуман как SIEM/XDR, но в модуле Vulnerability Detector использует те же NVD-базы, что и сканеры, и умеет сверять версии пакетов Windows и софт из «Программы и компоненты». В 2025-м появился Windows-инсталлятор, который цепляет агент к централизованному менеджеру на Linux-сервере или в облаке.
Плюсы
- Агент не нагружает сеть: сначала вычисляет хешы, потом тянет CVE-карты.
- Интеграция с MITRE ATT&CK, Web UI на базе Kibana.
- Можно строить дашборды «patch gap» для CIO.
Минусы
- Нужен отдельный сервер-менеджер (Elastic/Wazuh-stack).
- Порог входа выше, чем «скачай — нажми — сканируй».
Кому подойдёт: тем, кто всё равно думал о лог-менеджменте и хочет убить двух зайцев.
4. Microsoft Defender Vulnerability Management (Standalone Preview)
MDVM вырос из Defender for Endpoint и в 2024 году получил самостоятельный SaaS-тариф с бесплатным уровнем «Evaluation lab» (до тридцати дней на 50 хостов). Агент уже встроен в Windows 10/11, так что ничего ставить не нужно. База CVE подтягивается через Microsoft Threat Intelligence.
Плюсы
- Нативная интеграция с Windows Security Center.
- Автоматический приоритезатор Patch Tuesday.
- Можно запускать эксплойт-симуляцию в песочнице.
Минусы
- Функция бесплатна только в режиме «Evaluation». Для долгой жизни нужен план E5 или отдельная подписка.
- Работает только на актуальных сборках Windows 10/11.
Кому подойдёт: тем, у кого весь парк машин уже под Endpoint Protection, и нужно быстро «привинтить» патч-менеджмент.
5. OWASP ZAP (DAST для веб-разработчика)
ZAP — абсолютный фаворит начинающих пентестеров веб-приложений. Java-GUI прекрасно живёт на Windows, проксирует трафик и автоматом детектит XSS, SQLi, CSRF и около 100 других напастей. Сообщество активно чинит и дописывает плагины, новые релизы выходят ежемесячно.
Плюсы
- Можно «прогнать» сайт локально перед выкладкой.
- Имеет headless-режим для CI/CD (GitHub Actions, Azure DevOps).
- Документация написана человеческим языком.
Минусы
- Не анализирует десктопные приложения и бинарные протоколы.
- Большой отчёт JSON может весить сотни мегабайт.
Кому подойдёт: разработчикам и DevSecOps-командам, которые хотят вписать DAST в pipeline.
6. Nmap + NSE-скрипты
Nmap — старый добрый сканер портов, но в режиме -sV --script vuln запускает десятки NSE-скриптов, ищущих конкретные CVE. Для Windows есть официальная сборка с GUI ( Zenmap ). Часть скриптов обнаруживает SMB-v1, EternalBlue, Heartbleed и другие популярные уязвимости.
Плюсы
- Легко встроить в батник или PowerShell-скрипт.
- Работает без установки агента.
- Прекрасно подходит для «разведки».
Минусы
- Покрытие CVE сильно меньше, чем у «тяжёлых» сканеров.
- Отчёт придётся разбирать вручную или парсить XML.
7. Nikto 2
Nikto — консольный Perl-сканер, который проверяет веб-серверы на старые директории, ошибочные конфига и уязвимые версии Apache/IIS. Работает на Windows через Strawberry Perl или в WSL2.
Сводная таблица
| Инструмент | Тип | Лимит бесплатно | UI | Отчёт | Лучше всего подходит |
|---|---|---|---|---|---|
| OpenVAS CE | Сетевой | Без лимита | Веб GUI | PDF, HTML | SMB до 1000 хостов |
| Nessus Essentials | Сетевой | 16 IP | Веб GUI | PDF, CSV | Домашний лаб, малый офис |
| Wazuh (Vuln Detector) | Агентский | Без лимита | Kibana | JSON, Dash | SIEM + vuln-mgmt |
| MD Vulnerability Mgmt | Агентский | 50 хостов / 30 дней | Portal 365 | Web, CSV | Корпорации на M365 |
| OWASP ZAP | DAST | Без лимита | Java GUI | HTML, JSON | Веб-разработка |
| Nmap NSE | CLI скрипты | Без лимита | CLI / Zenmap | XML, Grepable | Разведка сети |
Как выбрать «тот самый»
Чтобы не устроить себе «фестиваль сканеров» на рабочем ноуте, задайте три вопроса:
- Сколько хостов? — если парк больше 20, Nessus Essentials уже не вытянет.
- Нужен ли вам веб-DAST? — тогда ZAP/Nikto обязательны.
- Есть ли навыки Linux? — OpenVAS и Wazuh дадут максимум пользы, но придётся повозиться.
Лайфхаки установки на Windows
- OpenVAS в Docker Desktop. Импортируйте готовый образ
greenbone/community-edition, пробросьте порты 9390-9392. Потребуется минимум 4 ГБ RAM. - Nessus Essentials можно автозапустить как службу и выдавать отчёт на SMTP.
- Wazuh-агенты тихо ставятся через
msiexec /i wazuh-agent.msi /qn— удобно разворачивать через GPO.
Советы по безопасному запуску
Сканер — это ещё один «пауэр-юзер» в сети. Поэтому:
- Создайте отдельный учётный service account с минимумом прав;
- Делайте credentialed scan только по SSH/WinRM с ключевой авторизацией;
- Не запускайте полные сканы в рабочие часы — ноутбук бухгалтера так точно уйдёт в турборежим;
- Храните отчёты как конфиденциальные: CVE-таблица — подарок для злоумышленника.
Заключение
Главный вывод: бесплатные сканеры действительно закрывают 80 % ежедневных рисков, если ими пользоваться регулярно. Один-два инструмента в арсенале — и вы уже не «ковбой в тумане», а человек, который знает, где тонко и что чинить в первую очередь. А ещё это отличный повод сказать начальству: «Смотрите, угрозы есть, но мы держим руку на пульсе — и бюджет пока цел».
Удачной охоты на баги — и пусть единственным «дыром» в вашей жизни будет фирменный пончик по пятницам!
