上传自定义SCAP策略

管理配置安全性没有万能的解决方案。应用程序提供了可用于扫描环境的策略。但是,您可以创建自定义脚本来验证特定于您的公司的项目,例如优先考虑安全设置的运行状况检查脚本。您可以从头创建策略,上传自定义内容以用于策略扫描,并与其他策略和漏洞检查一起运行。

您必须以全局管理员身份登录以上载策略。

要上传策略,您必须在许可证中启用策略编辑器功能。如果您想更新您的许可证,请与您的帐户代表联系。

文件规范

SCAP 1.2数据流和数据流集合是XML格式的。

SCAP 1.0策略文件必须被压缩为没有文件夹结构的归档文件(ZIP或JAR文件格式)。归档文件只能包含XML或TXT文件。如果存档包含其他文件类型,如CSV,则应用程序不上传策略。

存档文件必须包含以下XML文件:

  • XCCDF文件-该文件包含策略的结构。它必须有唯一的名称(标题)和ID(基准ID)。这个文件是必需的。SCAP XCCDF基准文件的文件名必须以-xccdf.xml(例如,XYZ-xccdf.xml)。
  • 椭圆形的文件-这些文件包含策略检查。文件名必须以-oval.xml(例如,XYZ-oval.xml)。

如果不支持的椭圆形检查类型在策略中,则策略无法上传。策略文件必须包含支持的椭圆形检查类型,例如:

  • AccessToken_Test.
  • auditeventpolicysubcategories_test
  • auditeventpolicy_test
  • family_test
  • fileeffectiverights53_test
  • lockoutpolicy_test
  • passwordpolicy_test
  • Registry_test.
  • sid_test
  • unknown_test
  • user_test
  • variable_test

归档文件中可以包含以下XML文件,以定义特定的策略信息。成功上传不需要这些文件。

  • CPE文件-这些文件包含统一资源标识符(URI),对应于指纹平台和应用程序。该文件必须以custom-cpe:并包括指纹项的硬件facet、操作系统facet和应用环境facet的段。例如:
         
1
Custom-CPE:/ O:Microsoft:Windows_XP: - :SP3:专业
  • CCE文件-这些文件包含已知系统配置的CCE标识符,以便于跨多个信息源和工具快速和准确地关联配置数据。
  • CVE文件-这些文件包含CVE(常见漏洞和暴露)标识符,用于识别已知的漏洞和暴露。

版本和文件名约定

您可以为您的自定义政策命名,以满足您公司的需求。应用程序通过基准ID和标题标识策略。您必须在基准文件中创建惟一的名称和id,才能成功上载它们。应用程序验证基准测试版本,以确定所支持的基准测试(v1.2.1.0)。

应用程序不会上传与现有策略具有相同名称和基准ID的自定义策略。

上传SCAP政策

可以使用策略管理器编辑上传到应用程序的自定义策略。看创建自定义策略

上传策略的操作步骤如下:

  1. 点击政策图标。
  2. 点击上传的政策按钮。如果无法看到此按钮,则必须以全局管理员身份登录。

系统显示上传一个政策面板。

  1. 输入一个名称来标识策略。这是必填项。为了确定哪些策略是为您的组织定制的,您可以设计一个文件命名约定。例如,添加您的组织名称或缩写,例如XYZ Org - usgcb 1.2.1.0 - Windows 7防火墙
  2. 输入说明,说明在自定义策略中应用哪些设置。
  3. 单击Browse按钮定位归档文件。
  4. 单击上载按钮以上传策略。
    • 如果上传成功,请执行步骤7。
    • 如果收到错误消息,则策略未加载。您必须解决错误消息中指出的问题,然后重复这些步骤,直到策略成功加载。有关错误的更多信息,请参见故障排除上传错误.在上传过程中,一个“旋转”的图像出现:Alt.完成上传的时间取决于策略的复杂性和大小,这通常反映了它包含的规则数量。当上传完成时,您的自定义策略将出现在政策清单面板上政策页。您可以使用策略管理器编辑这些策略。看创建自定义策略
  5. 将自定义策略添加到扫描模板以适用于未来的扫描。看选择策略管理器检查

上传特定的基准测试或数据流

您可以按照以下方式选择datastream或底层基准的任意组合:使用中描述的步骤上传SCAP 1.2 XML策略文件上传自定义SCAP策略.在指定要上传的XML文件之后,Security Console将显示一个页面,用于从datastream集合中选择各个组件。默认情况下选择所有组件。若要防止包含任何组件,请清除该组件的复选框。然后,单击上传

故障排除上传错误

除非满足某些标准,否则政策不会上传到申请。错误消息标识尚未满足的标准。您必须解决问题并成功上传策略以应用您的自定义缩放策略扫描。

下面列出的每个错误(斜体)后面缩进了解决方案。在错误消息中,value是错误消息中特定引用的占位符。

无法解析SCAP XCCDF基准文件[value]。序言中不允许有内容。

在第一个括号(<)之前有一些字符。例如:

  • 美国广播公司<?xml version = " 1.0 " encoding = " utf - 8 " >
  • SCAP XCCDF基准文件开头有隐藏的字符。以下项目是隐藏的字符:
    • 白色空间
    • 字节顺序标记字符在UTF8编码的XML文件中,这是由文本编辑器如Microsoft®Notepad引起的。
    • 任何其他类型的不可见字符。
  • 使用十六进制编辑器删除隐藏字符。
  • 编码声明和SCAP XCCDF基准测试文件不匹配。例如,UTF16 XML文件有一个UTF8声明。
  • SCAP XCCDF基准文件包含不支持的字符编码。
  • 如果缺少XML编码声明,那么它将默认为服务器的默认编码。如果XML内容包含默认字符编码不支持的字符,那么SCAP XCCDF基准文件就不能被解析。在SCAP XCCDF基准文件中添加UTF8声明。

找不到SCAP XCCDF基准文件。验证SCAP XCCDF基准测试文件名是否以“-xccdf.xml”结尾,而不是存档中的文件夹。

应用程序无法在归档文件中找到SCAP XCCDF基准测试文件。

SCAP XCCDF基准文件名必须以-xccdf.xml结尾(例如,xyz-xccdf.xml)。归档文件(ZIP或JAR)不能有文件夹结构。

使用所需的命名约定,验证SCAP XCCDF基准测试文件是否存在于归档文件中。

无法在[VALUE]中找到SCAP XCCDF基准测试版本。

SCAP XCCDF基准文件必须包含有效的模式版本。

将模式版本(SCAP策略)添加到SCAP XCCDF基准文件中。

不支持SCAP XCCDF基准版本[value]。

SCAP XCCDF基准文件必须包含支持的格式的版本(例如,1.1.4)。该应用程序目前支持版本1.1.4或更早。

使用有效格式替换版本号。验证是否没有空格。

SCAP XCCDF基准文件必须包含要上载的基准标记的ID。

SCAP XCCDF基准文件必须包含一个基准ID。

向SCAP XCCDF基准文件添加基准ID。

事件解释SCAP XCCDF基准文件[value]包含一个无效字符[value]的基准ID。基准文件无法上传。

基准ID包含无效字符,如空格。

使用有效的格式替换基准ID。

SCAP XCCDF基准文件[value]包含对归档文件中未包含的OVAL定义文件[value]的引用。

验证存档文件是否包含SCAP XCCDF基准文件中引用的所有策略定义文件。或删除对缺少定义文件的引用。

SCAP XCCDF基准文件[value]包含一个在产品中不支持的测试[value]。要上传策略,必须删除测试。

SCAP XCCDF基准文件包含一个应用程序不支持的测试。

从SCAP XCCDF基准测试文件中删除测试。

上载的存档不是有效的zip或jar存档。

归档文件的格式无效。

归档文件(ZIP或JAR)不能有文件夹结构。

将策略文件压缩到归档(zip或jar),没有文件夹结构。

SCAP XCCDF基准测试文件包含一个规则[值],指的是不支持的检查系统。请仅使用椭圆形检查系统。

有不支持的项(如OVAL检查类型)。

从SCAP XCCDF基准文件中删除不受支持的项目。

项目[value]不是XCCDF基准或组。只有XCCDF基准测试或组可以包含其他项。

修改SCAP XCCDF基准文件。因此,只有基准测试或组包含其他基准测试项。

SCAP XCCDF Item [Value]需要一个组或规则[Value],以便在基准中不存在,无法上传。

SCAP XCCDF基准测试文件中的一个需求缺少对组或规则的引用。

检查错误消息中指定的需求,以确定要添加什么组或规则。

SCAP XCCDF项[value]要求不启用一个组或规则[value],该组或规则在基准中不存在,不能上传。

SCAP XCCDF基准文件中的冲突是引用未识别的项目或是错误的项目。

检查错误消息中指定的冲突,以确定要替换哪个项目。

SCAP XCCDF Item [Value]需要一个组或规则[Value],而不是启用,但项目引用既不是一个组或规则。基准文件无法上传。

SCAP XCCDF基准测试文件中的一个冲突是缺少对组或规则的引用。

检查错误消息中指定的冲突,以确定要添加什么组或规则。

SCAP XCCDF基准包含两个配置文件,配置文件ID[值]相同。这是非法的,基准无法上传。

SCAP XCCDF基准测试文件中有两个配置文件具有相同的ID。

修改SCAP XCCDF基准文件,使每个 具有唯一的ID。

SCAP XCCDF基准包含一个没有设置默认值的值[value]。如果没有选择器标记,值[value]必须定义一个默认值。日志含义基准上传失败。

对于元素具有多个选项的项,例如规则,必须包含默认选择。

如果项目有多个可以选择的选项,则必须指定默认选项。

SCAP XCCDF基准[value]包含对CPE平台[value]的引用,该平台在CPE字典中没有被引用。无法上传SCAP XCCDF基准。

应用程序不能识别SCAP XCCDF基准文件中的CPE平台引用。

从SCAP XCCDF基准文件中删除CPE平台引用。

SCAP XCCDF基准文件[value]包含无限循环,不合法。基准文件无法上传。

查看SCAP XCCDF基准文件以定位无限循环并修改代码以纠正此错误。

SCAP XCCDF基准文件[value]包含试图扩展不存在的项或非法扩展项的项。基准文件无法上传。

在SCAP XCCDF基准测试文件中有一个项没有包含在基准测试中。

修改SCAP XCCDF基准测试文件以删除对丢失项的引用,或将项目添加到基准。

[value]中引用的检查[value]无效或缺失。

SCAP XCCDF基准测试文件中引用了一个没有包含在基准测试中的检查。

修改SCAP XCCDF基准文件,删除对缺失检查的引用或将检查添加到基准中。

[value]在存档中发现基准文件,一次只能上传一个基准文件。

归档文件必须只包含一个基准,否则无法上传。

为每个基准创建一个单独的归档文件,并将每个归档文件上传到应用程序。

不能在策略[Value]内创建SCAP XCCDF基准值[Value]。

应用程序无法解析策略中的值。

检查基准并修改值。

无法解析SCAP XCCDF基准文件[value]。(价值)

由于错误消息末尾指出的问题,无法解析SCAP XCCDF基准文件。

SCAP XCCDF项[value]没有引用有效值[value],基准无法解析。

SCAP XCCDF基准文件中的一个需求引用了一个无法识别或错误的项。

检查错误消息中指定的需求,以确定要替换哪个项目。

SCAP XCCDF基准文件包含一个没有提供值的XCCDF值[Value]。基准无法解析。

在SCAP XCCDF基准测试文件中向XCCDF值引用添加一个值。

SCAP OVAL文件[value]无法解析。(价值)

这个解析错误识别了阻止SCAP OVAL文件加载的问题。

检查SCAP OVAL文件,定位错误消息中列出的问题,以确定适当的修订。

无法找到SCAP OVAL源文件[value]。

应用程序无法在归档文件中找到SCAP OVAL源文件。该文件必须以-oval.xml或-patches.xml结束。

检查归档文件中是否存在SCAP OVAL Source文件,文件名的格式是否正确。