上传自定义SCAP策略
管理配置安全性没有万能的解决方案。应用程序提供了可用于扫描环境的策略。但是,您可以创建自定义脚本来验证特定于您的公司的项目,例如优先考虑安全设置的运行状况检查脚本。您可以从头创建策略,上传自定义内容以用于策略扫描,并与其他策略和漏洞检查一起运行。
您必须以全局管理员身份登录以上载策略。
要上传策略,您必须在许可证中启用策略编辑器功能。如果您想更新您的许可证,请与您的帐户代表联系。
文件规范
SCAP 1.2数据流和数据流集合是XML格式的。
SCAP 1.0策略文件必须被压缩为没有文件夹结构的归档文件(ZIP或JAR文件格式)。归档文件只能包含XML或TXT文件。如果存档包含其他文件类型,如CSV,则应用程序不上传策略。
存档文件必须包含以下XML文件:
- XCCDF文件-该文件包含策略的结构。它必须有唯一的名称(标题)和ID(基准ID)。这个文件是必需的。SCAP XCCDF基准文件的文件名必须以-xccdf.xml(例如,XYZ-xccdf.xml)。
- 椭圆形的文件-这些文件包含策略检查。文件名必须以-oval.xml(例如,XYZ-oval.xml)。
如果不支持的椭圆形检查类型在策略中,则策略无法上传。策略文件必须包含支持的椭圆形检查类型,例如:
- AccessToken_Test.
- auditeventpolicysubcategories_test
- auditeventpolicy_test
- family_test
- fileeffectiverights53_test
- lockoutpolicy_test
- passwordpolicy_test
- Registry_test.
- sid_test
- unknown_test
- user_test
- variable_test
归档文件中可以包含以下XML文件,以定义特定的策略信息。成功上传不需要这些文件。
- CPE文件-这些文件包含统一资源标识符(URI),对应于指纹平台和应用程序。该文件必须以
custom-cpe:
并包括指纹项的硬件facet、操作系统facet和应用环境facet的段。例如:
1Custom-CPE:/ O:Microsoft:Windows_XP: - :SP3:专业
- CCE文件-这些文件包含已知系统配置的CCE标识符,以便于跨多个信息源和工具快速和准确地关联配置数据。
- CVE文件-这些文件包含CVE(常见漏洞和暴露)标识符,用于识别已知的漏洞和暴露。
版本和文件名约定
您可以为您的自定义政策命名,以满足您公司的需求。应用程序通过基准ID和标题标识策略。您必须在基准文件中创建惟一的名称和id,才能成功上载它们。应用程序验证基准测试版本,以确定所支持的基准测试(v1.2.1.0)。
应用程序不会上传与现有策略具有相同名称和基准ID的自定义策略。
上传SCAP政策
可以使用策略管理器编辑上传到应用程序的自定义策略。看创建自定义策略.
上传策略的操作步骤如下:
- 点击政策图标。
- 点击上传的政策按钮。如果无法看到此按钮,则必须以全局管理员身份登录。
系统显示上传一个政策面板。
- 输入一个名称来标识策略。这是必填项。为了确定哪些策略是为您的组织定制的,您可以设计一个文件命名约定。例如,添加您的组织名称或缩写,例如XYZ Org - usgcb 1.2.1.0 - Windows 7防火墙.
- 输入说明,说明在自定义策略中应用哪些设置。
- 单击Browse按钮定位归档文件。
- 单击上载按钮以上传策略。
- 将自定义策略添加到扫描模板以适用于未来的扫描。看选择策略管理器检查.
上传特定的基准测试或数据流
您可以按照以下方式选择datastream或底层基准的任意组合:使用中描述的步骤上传SCAP 1.2 XML策略文件上传自定义SCAP策略.在指定要上传的XML文件之后,Security Console将显示一个页面,用于从datastream集合中选择各个组件。默认情况下选择所有组件。若要防止包含任何组件,请清除该组件的复选框。然后,单击上传.
故障排除上传错误
除非满足某些标准,否则政策不会上传到申请。错误消息标识尚未满足的标准。您必须解决问题并成功上传策略以应用您的自定义缩放策略扫描。
下面列出的每个错误(斜体)后面缩进了解决方案。在错误消息中,value是错误消息中特定引用的占位符。
无法解析SCAP XCCDF基准文件[value]。序言中不允许有内容。
在第一个括号(<)之前有一些字符。例如:
- 美国广播公司<?xml version = " 1.0 " encoding = " utf - 8 " >
- SCAP XCCDF基准文件开头有隐藏的字符。以下项目是隐藏的字符:
- 白色空间
- 字节顺序标记字符在UTF8编码的XML文件中,这是由文本编辑器如Microsoft®Notepad引起的。
- 任何其他类型的不可见字符。
- 使用十六进制编辑器删除隐藏字符。
- 编码声明和SCAP XCCDF基准测试文件不匹配。例如,UTF16 XML文件有一个UTF8声明。
- SCAP XCCDF基准文件包含不支持的字符编码。
- 如果缺少XML编码声明,那么它将默认为服务器的默认编码。如果XML内容包含默认字符编码不支持的字符,那么SCAP XCCDF基准文件就不能被解析。在SCAP XCCDF基准文件中添加UTF8声明。
找不到SCAP XCCDF基准文件。验证SCAP XCCDF基准测试文件名是否以“-xccdf.xml”结尾,而不是存档中的文件夹。
应用程序无法在归档文件中找到SCAP XCCDF基准测试文件。
SCAP XCCDF基准文件名必须以-xccdf.xml结尾(例如,xyz-xccdf.xml)。归档文件(ZIP或JAR)不能有文件夹结构。
使用所需的命名约定,验证SCAP XCCDF基准测试文件是否存在于归档文件中。
无法在[VALUE]中找到SCAP XCCDF基准测试版本。
SCAP XCCDF基准文件必须包含有效的模式版本。
将模式版本(SCAP策略)添加到SCAP XCCDF基准文件中。
不支持SCAP XCCDF基准版本[value]。
SCAP XCCDF基准文件必须包含支持的格式的版本(例如,1.1.4)。该应用程序目前支持版本1.1.4或更早。
使用有效格式替换版本号。验证是否没有空格。
SCAP XCCDF基准文件必须包含要上载的基准标记的ID。
SCAP XCCDF基准文件必须包含一个基准ID。
向SCAP XCCDF基准文件添加基准ID。
事件解释SCAP XCCDF基准文件[value]包含一个无效字符[value]的基准ID。基准文件无法上传。
基准ID包含无效字符,如空格。
使用有效的格式替换基准ID。
SCAP XCCDF基准文件[value]包含对归档文件中未包含的OVAL定义文件[value]的引用。
验证存档文件是否包含SCAP XCCDF基准文件中引用的所有策略定义文件。或删除对缺少定义文件的引用。
SCAP XCCDF基准文件[value]包含一个在产品中不支持的测试[value]。要上传策略,必须删除测试。
SCAP XCCDF基准文件包含一个应用程序不支持的测试。
从SCAP XCCDF基准测试文件中删除测试。
上载的存档不是有效的zip或jar存档。
归档文件的格式无效。
归档文件(ZIP或JAR)不能有文件夹结构。
将策略文件压缩到归档(zip或jar),没有文件夹结构。
SCAP XCCDF基准测试文件包含一个规则[值],指的是不支持的检查系统。请仅使用椭圆形检查系统。
有不支持的项(如OVAL检查类型)。
从SCAP XCCDF基准文件中删除不受支持的项目。
项目[value]不是XCCDF基准或组。只有XCCDF基准测试或组可以包含其他项。
修改SCAP XCCDF基准文件。因此,只有基准测试或组包含其他基准测试项。
SCAP XCCDF Item [Value]需要一个组或规则[Value],以便在基准中不存在,无法上传。
SCAP XCCDF基准测试文件中的一个需求缺少对组或规则的引用。
检查错误消息中指定的需求,以确定要添加什么组或规则。
SCAP XCCDF项[value]要求不启用一个组或规则[value],该组或规则在基准中不存在,不能上传。
SCAP XCCDF基准文件中的冲突是引用未识别的项目或是错误的项目。
检查错误消息中指定的冲突,以确定要替换哪个项目。
SCAP XCCDF Item [Value]需要一个组或规则[Value],而不是启用,但项目引用既不是一个组或规则。基准文件无法上传。
SCAP XCCDF基准测试文件中的一个冲突是缺少对组或规则的引用。
检查错误消息中指定的冲突,以确定要添加什么组或规则。
SCAP XCCDF基准包含两个配置文件,配置文件ID[值]相同。这是非法的,基准无法上传。
SCAP XCCDF基准测试文件中有两个配置文件具有相同的ID。
修改SCAP XCCDF基准文件,使每个
SCAP XCCDF基准包含一个没有设置默认值的值[value]。如果没有选择器标记,值[value]必须定义一个默认值。日志含义基准上传失败。
对于元素具有多个选项的项,例如规则,必须包含默认选择。
如果项目有多个可以选择的选项,则必须指定默认选项。
SCAP XCCDF基准[value]包含对CPE平台[value]的引用,该平台在CPE字典中没有被引用。无法上传SCAP XCCDF基准。
应用程序不能识别SCAP XCCDF基准文件中的CPE平台引用。
从SCAP XCCDF基准文件中删除CPE平台引用。
SCAP XCCDF基准文件[value]包含无限循环,不合法。基准文件无法上传。
查看SCAP XCCDF基准文件以定位无限循环并修改代码以纠正此错误。
SCAP XCCDF基准文件[value]包含试图扩展不存在的项或非法扩展项的项。基准文件无法上传。
在SCAP XCCDF基准测试文件中有一个项没有包含在基准测试中。
修改SCAP XCCDF基准测试文件以删除对丢失项的引用,或将项目添加到基准。
[value]中引用的检查[value]无效或缺失。
SCAP XCCDF基准测试文件中引用了一个没有包含在基准测试中的检查。
修改SCAP XCCDF基准文件,删除对缺失检查的引用或将检查添加到基准中。
[value]在存档中发现基准文件,一次只能上传一个基准文件。
归档文件必须只包含一个基准,否则无法上传。
为每个基准创建一个单独的归档文件,并将每个归档文件上传到应用程序。
不能在策略[Value]内创建SCAP XCCDF基准值[Value]。
应用程序无法解析策略中的值。
检查基准并修改值。
无法解析SCAP XCCDF基准文件[value]。(价值)
由于错误消息末尾指出的问题,无法解析SCAP XCCDF基准文件。
SCAP XCCDF项[value]没有引用有效值[value],基准无法解析。
SCAP XCCDF基准文件中的一个需求引用了一个无法识别或错误的项。
检查错误消息中指定的需求,以确定要替换哪个项目。
SCAP XCCDF基准文件包含一个没有提供值的XCCDF值[Value]。基准无法解析。
在SCAP XCCDF基准测试文件中向XCCDF值引用添加一个值。
SCAP OVAL文件[value]无法解析。(价值)
这个解析错误识别了阻止SCAP OVAL文件加载的问题。
检查SCAP OVAL文件,定位错误消息中列出的问题,以确定适当的修订。
无法找到SCAP OVAL源文件[value]。
应用程序无法在归档文件中找到SCAP OVAL源文件。该文件必须以-oval.xml或-patches.xml结束。
检查归档文件中是否存在SCAP OVAL Source文件,文件名的格式是否正确。