选择策略管理器检查

如果您为美国政府机构、与政府进行业务交易的供应商或具有严格配置安全政策的公司工作,您可能正在运行扫描,以验证您的资产符合美国政府配置基线(USGCB)政策、互联网安全中心(CIS)基准,联邦桌面核心配置(FDCC)。或者您可能正在测试资产是否符合基于这些标准的定制策略。USGCB、CIS、FDCC内置扫描模板包括对这些标准的检查。看到扫描模板

这些模板不包括漏洞检查,因此,如果您想使用策略检查运行漏洞检查,请使用以下方法之一创建自定义版本的扫描模板:

  • 向USGCB、CIS、DISA或FDCC模板的定制副本添加漏洞检查。
  • 将USGCB、CIS、DISA STIG或FDCC检查添加到包含要运行的漏洞检查的其他模板中。
  • 创建扫描模板,添加USGCB、CIS、DISA STIG或FDCC检查和漏洞检查。

要使用第二种或第三种方法,您需要按照以下步骤选择USGCB、CIS、DISA STIGS或FDCC检查。您必须拥有能够启用Policy Manager和FDCC扫描的许可证。

  1. 选择政策一般页面的扫描模板配置面板。
  2. 策略管理器页面的扫描模板配置面板。
  3. 选择一个政策。
  4. 查看每个策略的名称、受影响的平台和描述。
  5. 选中要包含在扫描中的任何策略的复选框。
  6. 如果要求您以资产报告格式(ARF)报告的形式向美国政府提交策略扫描结果以获得SCAP认证,请选中复选框以存储SCAP数据。

存储的SCAP数据可以快速积累,这对文件存储有很大的影响。

  1. 如果要在Windows系统上启用递归文件搜索,请选择相应的复选框。建议您不要启用此功能,除非您的内部安全实践需要它。看到在Windows上启用递归搜索

递归文件搜索可以显著增加扫描次数。根据不同的环境条件,在一个资产上通常需要几分钟完成的扫描,在单个资产上可能需要几个小时才能完成。

  1. 根据需要配置任何其他模板设置。完成扫描模板配置后,单击保存

有关USGCB、CIS或FDCC合规性验证的信息,请参见与Policy Manager结果一起工作

在Windows上启用递归搜索

默认情况下,在运行Microsoft Windows的资产上禁用递归文件搜索。在Windows文件系统中搜索父文件夹的每个子文件夹可以增加单个资产的扫描时间,以小时为单位,这取决于文件夹和文件的数量和其他条件。只有在内部安全实践需要或策略扫描中的某些规则需要递归文件搜索时才启用递归文件搜索。以下规则要求递归文件搜索:

DISA-6/Win2008 SV-29465r1_rule删除证书安装文件

DISA-1/Win7 SV-25004r1_rule删除证书安装文件

Linux系统默认启用递归文件搜索,不能禁用。