上载自定义SCAP策略

对于管理配置安全性,没有一刀切的解决方案。应用程序提供了可以应用于扫描环境的策略。但是,您可以创建自定义脚本来验证特定于您公司的项目,例如对安全设置进行优先级排序的健康检查脚本。您可以从头开始创建策略,上载自定义内容以用于策略扫描,并将其与其他策略和漏洞检查一起运行。

必须以全局管理员身份登录才能上传策略。

要上载策略,必须在许可证中启用策略编辑器功能。如果要更新许可证,请与您的客户代表联系。

文件规格

SCAP 1.2数据流和数据流集合是XML格式的。

SCAP 1.0策略文件必须压缩为无文件夹结构的归档文件(ZIP或JAR文件格式)。存档文件只能包含XML或TXT文件。如果存档包含其他文件类型,如CSV,则应用程序不会上载策略。

归档文件必须包含以下XML文件:

  • xcdf文件-此文件包含策略的结构。它必须具有唯一的名称(标题)和ID(基准ID)。此文件是必需的。SCAP XCCDF基准文件名必须以结尾-xccdf.xml(例如,XYZ xccdf.xml)。
  • 椭圆形锉刀-这些文件包含策略检查。文件名必须以结尾-oval.xml(例如,XYZ oval.xml)。

如果策略中存在不支持的OVAL检查类型,则上传策略失败。策略文件必须包含支持的OVAL检查类型,例如:

  • accesstoken_test
  • AuditEventPolicy子类别\u测试
  • auditeventpolicy\u测试
  • 家系检验
  • fileeffectiverights53_test
  • lockoutpolicy_test
  • 密码策略测试
  • registry_test
  • 锡杜试验
  • unknown_test
  • 用户测试
  • 变量检验

归档文件中可以包含以下XML文件,以定义特定的策略信息。成功上载不需要这些文件。

  • CPE文件-这些文件包含与指纹平台和应用程序相对应的统一资源标识符(URI)。文件必须以开头定制cpe:并且包括用于指纹项的硬件方面、操作系统方面和应用程序环境方面的段。例如:
         

          

           
          

         

          

           

            1.

           custom-cpe: / o:微软:windows_xp:——:sp3:专业
  • CCE文件-这些文件包含已知系统配置的CCE标识符,以便于跨多个信息源和工具快速准确地关联配置数据。
  • CVE文件-这些文件包含已知漏洞和暴露的CVE(常见漏洞和暴露)标识符。

版本和文件名约定

您可以为您的自定义政策命名,以满足您公司的需求。应用程序通过基准ID和标题标识策略。您必须在基准文件中创建惟一的名称和id,才能成功上载它们。应用程序验证基准测试版本,以确定所支持的基准测试(v1.2.1.0)。

应用程序不会上载与现有策略具有相同名称和基准ID的自定义策略。

上载SCAP策略

上传到应用程序的自定义策略可以使用Policy Manager进行编辑。看到创建自定义策略

上传策略的操作步骤如下:

  1. 单击政策图标。
  2. 单击上载策略按钮如果看不到此按钮,则必须以全局管理员身份登录。

系统显示上传一个政策面板。

  1. 输入用于标识策略的名称。这是必填字段。要确定为您的组织自定义的策略,您可以设计文件命名约定。例如,添加您的组织名称或缩写,例如XYZ组织-USGCB 1.2.1.0-Windows 7防火墙
  2. 输入说明,说明在自定义策略中应用的设置。
  3. 单击Browse按钮定位归档文件。
  4. 单击“上传”按钮,上传策略。
    • 如果策略上载成功,请转至步骤7。
    • 如果收到错误消息,则不会加载策略。您必须解决错误消息中指出的问题,然后重复这些步骤,直到成功加载策略。有关错误的详细信息,请参阅上载错误的疑难解答. 在上载过程中,会出现一个“旋转”图像:中高音.完成上传的时间取决于策略的复杂性和大小,这通常反映了它包含的规则数量。当上传完成时,您的自定义策略将出现在政策清单面板上政策页面。您可以使用策略管理器编辑这些策略。看到创建自定义策略
  5. 将您的自定义策略添加到扫描模板中,以应用于未来的扫描。看到选择策略管理器检查

上载特定基准或数据流

您可以通过以下方式选择datastream或底层基准的任意组合:使用中描述的步骤上载SCAP 1.2 XML策略文件上载自定义SCAP策略.在指定要上传的XML文件之后,Security Console将显示一个页面,用于从datastream集合中选择各个组件。默认情况下选择所有组件。若要防止包含任何组件,请清除该组件的复选框。然后,单击上载

上载错误的疑难解答

除非满足某些条件,否则不会将策略上载到应用程序。错误消息标识未满足的条件。您必须解决问题并成功上传策略,以将您的自定义SCAP策略应用到扫描。

下面列出的每个错误(斜体)后面都缩进了分辨率。在错误消息中,value是错误消息中特定引用的占位符。

无法分析SCAP XCCDF基准文件[value]。prolog中不允许包含内容。

在第一个括号(<)前面有一些字符。例如:

  • abc<?xml version = " 1.0 " encoding = " utf - 8 " >
  • SCAP XCCDF基准测试文件的开头有隐藏字符。以下是隐藏字符:
    • 空白
    • UTF8编码的XML文件中的字节顺序标记字符,由文本编辑器(如Microsoft®记事本)引起。
    • 任何其他类型的不可见字符。
  • 使用十六进制编辑器删除隐藏字符。
  • 编码声明和SCAP XCCDF基准测试文件不匹配。例如,UTF16 XML文件有一个UTF8声明。
  • SCAP XCCDF基准文件包含不支持的字符编码。
  • 如果缺少XML编码声明,则默认为服务器的默认编码。如果XML内容包含默认字符编码不支持的字符,则无法解析SCAP XCCDF基准文件。将UTF8声明添加到SCAP XCCDF基准文件中。

无法找到SCAP XCCDF基准文件。验证SCAP XCCDF基准文件名以“-xccdf.xml”结尾,并且不在归档文件中的文件夹下。

应用程序在存档中找不到SCAP XCCDF基准文件。

SCAP XCCDF基准文件名必须以-xccdf.xml结尾(例如,XYZ-xccdf.xml)。存档(ZIP或JAR)不能有文件夹结构。

使用所需的命名约定验证存档中是否存在SCAP XCCDF基准文件。

在[value]中找不到SCAP XCCDF基准版本。

SCAP XCCDF基准文件必须包含有效的模式版本。

将模式版本(SCAP策略)添加到SCAP XCCDF基准文件中。

不支持SCAP XCCDF基准版本[value]。

SCAP XCCDF基准文件必须包含支持格式的版本(例如,1.1.4)。该应用程序当前支持1.1.4或更低版本。

使用有效的格式替换版本号。确认没有空格。

SCAP XCCDF基准文件中必须包含要上传的基准的ID。

SCAP XCCDF基准文件必须包含一个基准ID。

将基准ID添加到SCAP XCCDF基准文件中。

SCAP XCDF基准文件[value]包含的基准ID包含无效字符:[value]。无法上载基准。

基准ID包含无效字符,例如空格。

使用有效格式替换基准ID。

SCAP XCCDF基准文件[value]包含对档案中未包含的椭圆形定义文件[value]的引用。

验证归档文件是否包含SCAP XCCDF基准测试文件中引用的所有策略定义文件。或者删除对缺失定义文件的引用。

SCAP XCCDF基准文件[value]包含产品不支持的测试[value]。必须删除测试才能上载策略。

SCAP XCCDF基准文件包含应用程序不支持的测试。

从SCAP XCCDF基准文件中删除测试。

上传的归档文件不是有效的zip或jar归档文件。

归档文件的格式无效。

存档(ZIP或JAR)不能有文件夹结构。

将策略文件压缩到没有文件夹结构的归档文件(ZIP或JAR)。

SCAP XCCDF基准文件中包含一个规则[value],它指的是一个不受支持的检查系统。请只使用OVAL检查系统。

有不支持的项(如OVAL检查类型)。

从SCAP XCCDF基准测试文件中删除不支持的项。

项[值]不是XCCDF基准或组。只有XCDF基准或组可以包含其他项。

修改SCAP XCDF基准文件。因此,只有基准或组包含其他基准项。

SCAP XCCDF项[value]要求启用一个组或规则[value],该组或规则在基准中不存在,不能上传。

SCAP XCCDF基准文件中的要求缺少对组或规则的引用。

查看错误消息中指定的要求,以确定要添加的组或规则。

SCAP XCCDF项[value]要求不启用基准中不存在且无法上载的组或规则[value]。

SCAP XCCDF基准文件中的一个冲突是引用一个无法识别或错误的项。

查看错误消息中指定的冲突,以确定要替换的项。

SCAP XCCDF项[value]要求不启用组或规则[value],但该项引用既不是组也不是规则。基准文件无法上传。

SCAP XCCDF基准文件中的冲突缺少对组或规则的引用。

查看错误消息中指定的冲突,以确定要添加的组或规则。

SCAP XCCDF基准包含两个具有相同配置文件ID[值]的配置文件。这是非法的,无法上载基准。

SCAP XCCDF基准文件中有两个配置文件具有相同的ID。

修改SCAP XCCDF基准文件,以便 具有唯一的ID。

SCAP XCCDF基准包含一个未设置默认值的值[value]。如果没有选择器标记,则值[value]必须定义默认值。基准未能上载。

对于元素具有多个选项的项,例如规则,必须包含默认选择。

如果项目有多个可选择的选项,则必须指定默认选项。

SCAP XCCDF基准[value]包含对CPE平台[value]的引用,该平台在CPE字典中没有被引用。无法上传SCAP XCCDF基准。

应用程序不能识别SCAP XCCDF基准文件中的CPE平台引用。

从SCAP XCCDF基准文件中删除CPE平台参考。

SCAP XCCDF基准文件[value]包含无限循环,是非法的。无法上载基准。

检查SCAP XCCDF基准文件以定位无限循环并修改代码以纠正此错误。

SCAP XCCDF基准文件[value]包含试图扩展不存在的项或非法扩展项的项。基准文件无法上传。

SCAP XCCDF基准文件中引用了一个未包含在基准中的项。

修改SCAP XCCDF基准文件,删除对缺失项目的引用或将项目添加到基准中。

[value]中引用的检查[value]无效或缺失。

SCAP XCCDF基准测试文件中引用了一个没有包含在基准测试中的检查。

修改SCAP XCCDF基准文件,删除对缺失检查的引用或将检查添加到基准中。

[value]在存档中找到了基准文件,您一次只能上载一个基准。

存档必须仅包含一个基准,否则无法上载。

为每个基准创建单独的存档,并将每个存档上载到应用程序。

无法在策略[Value]中创建SCAP XCCDF基准值[Value]。

应用程序无法解析策略中的值。

检查基准并修改值。

无法分析SCAP XCCDF基准文件[value]。[价值]

由于错误消息末尾指示的问题,无法解析SCAP XCCDF基准文件。

SCAP XCCDF项[value]未引用有效值[value],无法分析基准。

SCAP XCCDF基准文件中的一个需求引用了一个无法识别或是错误的项目。

查看错误消息中指定的要求,以确定要更换的项目。

SCAP XCCDF基准文件包含未提供值的XCCDF值[Value]。无法分析基准。

在SCAP XCCDF基准测试文件中向XCCDF值引用添加一个值。

无法分析SCAP OVAL文件[value]。[价值]

此解析错误确定了阻止加载SCAP OVAL文件的问题。

查看SCAP OVAL文件并找到错误消息中列出的问题,以确定适当的修订。

找不到SCAP OVAL源文件[值]。

应用程序在存档中找不到SCAP OVAL源文件。此文件必须以-oval.xml或-patches.xml结尾。

检查归档文件中是否存在SCAP OVAL Source文件,文件名的格式是否正确。