策略规则覆盖

如果您认为有必要,可以重写策略规则的结果。具体要求如下:

  • 您只能配置每个规则的覆盖。策略规则组不能被覆盖。
  • 您必须提供覆盖存在的理由。
  • 您必须具有适当的权限。

提示

以下报告模板包含关于最近的“每个策略规则覆盖”检查的信息:

  • XCCDF人类可读的CSV导出
  • XCCDF结果XML导出

看到使用报表格式为更多的信息。

权限

用户必须被授予特殊权限才能提交、审查和删除策略规则重写请求。从任何用户的“用户配置”屏幕查看和配置这些权限:

  1. 在安全控制台菜单上,单击政府选项卡。
  2. 在“用户”窗口,单击管理在“用户帐户”旁边。
  3. 为您想要的用户点击“编辑”下的图标,或点击新用户按钮。
  4. 在“用户配置”界面,单击角色选项卡。
  5. 浏览到“漏洞例外和策略覆盖权限”部分。

权限将根据所选的用户角色启用或禁用。定义自定义角色,根据需要手动添加或删除权限。

创建一个覆盖

从“Policies”和“scanning Assets”视图开始创建策略规则覆盖:

覆盖范围

策略规则覆盖配置的起点将决定覆盖的范围是否可调。

  • 从“Policies”视图开始将覆盖范围限制为“All assets”。
  • 从“扫描资产”视图开始提供以下范围选项:
  • 所有资产
  • 这只资产
  • 这个资产直到下一次扫描

提示

在开始配置之前,考虑是否需要覆盖范围选项。

选择策略规则

将所需的策略或扫描资产打开到其详细信息页后,展开单个策略组,直到选择了规则。的创建策略覆盖按钮将激活。

单击创建策略覆盖按钮。

  1. 如果有必要,请选择覆盖的范围。
  2. 指定覆盖将如何更改规则检查的结果。
  3. 提供覆盖存在的详细原因。

提示

美国政府在认证过程中审查的文件中包含了所有的重写及其原因,以及政策检查结果。

这尤其适用于为相关认证过程生成和提供的XCCDF报告。有关XCCDF报告的更多信息,请参见使用XML格式上节使用报表格式页面。

  1. 完成后提交表单。如果您已经拥有必要的权限,则可以单击提交和批准按钮以启用覆盖,而无需经过审查过程。

管理覆盖请求

您可以从“配置策略覆盖”窗口查看挂起的覆盖请求。

  1. 在安全控制台菜单上,单击政府选项卡。
  2. 在“例外和覆盖”窗口中,单击审查
  3. 浏览到“配置策略覆盖”窗口。
  4. 选择任何挂起的策略覆盖以进行审查或删除。
  • “审查策略覆盖”窗口包含批准和拒绝提交的覆盖的选项。如果需要,还可以指定过期日期。

查看重写历史

您可以通过检查已完成的资产扫描来查看策略覆盖历史记录。

  1. 在安全控制台的“站点”窗口中首页选项卡,打开负责扫描您想要查看的资产的站点。
  2. 在“站点扫描摘要”窗口中,单击扫描历史观按钮。
  3. 在“过去扫描”窗口中,打开您想要的扫描。
  4. 在“Completed Assets”窗口中,浏览并打开要检查的资产。
  5. 在“Policies”窗口中,打开一个策略。
  6. 打开任何需要的策略规则。策略规则详细信息页面将显示覆盖的历史记录(如果存在的话)。