选择策略管理器检查

如果您为美国政府机构、与政府进行业务交易的供应商或具有严格配置安全政策的公司工作,您可能正在运行扫描,以验证您的资产符合美国政府配置基线(USGCB)政策、互联网安全中心(CIS)基准,联邦桌面核心配置(FDCC)。或者您可能正在测试资产是否符合基于这些标准的定制策略。USGCB、CIS、FDCC内置扫描模板包括对这些标准的检查。看到扫描模板

这些模板不包括漏洞检查,因此,如果您想使用策略检查运行漏洞检查,请使用以下方法之一创建自定义版本的扫描模板:

  • 向USGCB、CIS、DISA或FDCC模板的定制副本添加漏洞检查。
  • 将USGCB、CIS、DISA STIG或FDCC检查添加到包含要运行的漏洞检查的其他模板中。
  • 创建扫描模板,添加USGCB、CIS、DISA STIG或FDCC检查和漏洞检查。

要使用第二种或第三种方法,您需要通过以下步骤选择USGCB、CIS、DISA STIGS或FDCC检查。您必须拥有启用策略管理器和FDCC扫描的许可证。

  1. 选择政策一般第页,共页扫描模板配置面板
  2. 去医院策略管理器第页,共页扫描模板配置面板
  3. 选择一个政策。
  4. 查看每个策略的名称、受影响的平台和说明。
  5. 选中要包括在扫描中的任何策略的复选框。
  6. 如果要求您以资产报告格式(ARF)报告的形式向美国政府提交策略扫描结果以获得SCAP认证,请选中复选框以存储SCAP数据。

存储的SCAP数据可以快速积累,这对文件存储有很大的影响。

  1. 如果要在Windows系统上启用递归文件搜索,请选择相应的复选框。建议您不要启用此功能,除非您的内部安全实践需要它。看到在Windows上启用递归搜索

递归文件搜索可以显著增加扫描时间。根据不同的环境条件,通常在几分钟内完成的资产扫描可能无法在该资产上完成数小时。

  1. 根据需要配置任何其他模板设置。配置完扫描模板后,单击拯救

有关USGCB、CIS或FDCC合规性验证的信息,请参见与Policy Manager结果一起工作

在Windows上启用递归搜索

默认情况下,对运行Microsoft Windows的资产的扫描禁用递归文件搜索。在Windows文件系统中搜索父文件夹的每个子文件夹可能会将单个资源的扫描时间增加数小时,具体取决于文件夹和文件的数量以及其他条件。仅当您的内部安全实践需要或策略扫描中的某些规则需要时,才启用递归文件搜索。以下规则要求递归文件搜索:

DISA-6/Win2008 SV-29465r1_rule删除证书安装文件

DISA-1/Win7 SV-25004r1_规则删除证书安装文件

Linux系统默认启用递归文件搜索,不能禁用。