选择策略管理器检查

If you work for a U.S. government agency, a vendor that transacts business with the government or for a company with strict configuration security policies, you may be running scans to verify that your assets comply with United States Government Configuration Baseline (USGCB) policies, Center for Internet Security (CIS) benchmarks, or Federal Desktop Core Configuration (FDCC). Or you may be testing assets for compliance with customized policies based on these standards. The built-in USGCB, CIS, and FDCC scan templates include checks for compliance with these standards. See扫描模板

这些模板不包括漏洞检查,因此,如果您想使用策略检查运行漏洞检查,请使用以下方法之一创建自定义版本的扫描模板:

  • 向USGCB、CIS、DISA或FDCC模板的定制副本添加漏洞检查。
  • 将USGCB、CIS、DISA STIG或FDCC检查添加到包含要运行的漏洞检查的其他模板中。
  • 创建扫描模板并向其添加USGCB,CIS,DISA STIG或FDCC检查和漏洞检查。

要使用第二种或第三种方法,您需要按照以下步骤选择USGCB、CIS、DISA STIGS或FDCC检查。您必须拥有能够启用Policy Manager和FDCC扫描的许可证。

  1. 选择政策一般的页面的页面扫描模板配置控制板。
  2. 政策经理页面的页面扫描模板配置控制板。
  3. 选择一个政策。
  4. 查看每个策略的名称,受影响的平台和描述。
  5. 选中要包含在扫描中的任何策略的复选框。
  6. 如果您需要在资产报告格式(ARF)向U.S.Neuge进行SCAP认证的情况下向策略扫描结果提交策略扫描结果,请选中“存储SCAP数据”复选框。

存储的SCAP数据可以快速累积,这可能对文件存储产生重大影响。

  1. 如果要在Windows系统上启用递归文件搜索,请选择相应的复选框。建议您未启用此功能,除非您的内部安全实践需要它。看在Windows上启用递归搜索

递归文件搜索可以显著增加扫描次数。根据不同的环境条件,在一个资产上通常需要几分钟完成的扫描,在单个资产上可能需要几个小时才能完成。

  1. 根据需要配置任何其他模板设置。完成配置扫描模板后,单击保存

有关验证USGCB,CIS或FDCC合规性的信息,请参阅使用政策经理结果

在Windows上启用递归搜索

默认情况下,禁用递归文件搜索对于运行Microsoft Windows的资产上的扫描。在Windows文件系统中搜索父文件夹的每个子文件夹可以按小时增加单个资产的扫描时间,具体取决于文件夹和文件和其他条件。只有启用递归文件搜索如果您的内部安全实践需要它,或者如果您需要在策略扫描中需要某些规则。以下规则需要递归文件搜索:

disa-6 / win2008 sv-29465r1_rule删除证书安装文件

DISA-1 / Win7 SV-25004R1_RULE删除证书安装文件

默认情况下,在Linux系统上启用递归文件搜索,无法禁用。