上传自定义SCAP策略

没有一个尺寸适合的所有解决方案,用于管理配置安全性。该应用程序提供了可以应用于扫描环境的策略。但是,您可以创建自定义脚本以验证特定于公司的项目,例如优先顺序安全设置的健康检查脚本。您可以从头开始创建策略,上传您的自定义内容以在策略扫描中使用,并使用其他策略和漏洞检查运行。

必须以全局管理员身份登录才能上传策略。

要上传策略,您必须在许可证中启用策略编辑器功能。如果要更新许可证,请联系您的帐户代表。

文件规范

SCAP 1.2数据流和数据流集合是XML格式的。

SCAP 1.0策略文件必须被压缩为没有文件夹结构的归档文件(ZIP或JAR文件格式)。归档文件只能包含XML或TXT文件。如果存档包含其他文件类型,如CSV,则应用程序不上传策略。

归档文件必须包含以下XML文件:

  • xccdf文件-this文件包含策略的结构。它必须具有唯一的名称(标题)和ID(基准ID)。此文件是必需的。SCAP XCCDF基准文件名必须结束-xccdf.xml.(例如,XYZ-xccdf.xml)。
  • 椭圆形文件- 这些文件包含策略检查。文件名必须结束-oval.xml(例如,XYZ-oval.xml)。

如果策略中存在不支持的OVAL检查类型,则上传策略失败。策略文件必须包含支持的OVAL检查类型,例如:

  • accesstoken_test
  • auditeventpolicysubcategories_test.
  • auditeventpolicy_test.
  • Family_test.
  • fileeffectiverights53_test
  • lockoutpolicy_test
  • passwordpolicy_test
  • registry_test
  • sid_test
  • unknown_test
  • user_test.
  • variable_test

可以将以下XML文件包含在存档文件中以定义特定的策略信息。成功上传不需要这些文件。

  • CPE文件-these文件包含与指纹平台和应用相对应的统一资源标识符(URI)。文件必须从中开始Custom-CPE:并包括指纹项的硬件facet、操作系统facet和应用环境facet的段。例如:
         

          

           
          

         

          

           

            1

           custom-cpe: / o:微软:windows_xp:——:sp3:专业
  • CCE文件- 这些文件包含用于已知系统配置的CCE标识符,以便于多个信息源和工具的快速准确地相关。
  • CVE文件- 已知漏洞和曝光的CVE(常见漏洞和曝光)标识符包含CVE(常见漏洞和风险)。

版本和文件名约定

您可以为您的自定义政策命名,以满足您公司的需求。应用程序通过基准ID和标题标识策略。您必须在基准文件中创建惟一的名称和id,才能成功上载它们。应用程序验证基准测试版本,以确定所支持的基准测试(v1.2.1.0)。

应用程序不会上传与现有策略具有相同名称和基准ID的自定义策略。

上传SCAP政策

上传到应用程序的自定义策略可以使用Policy Manager进行编辑。看到创建自定义策略

上传策略的操作步骤如下:

  1. 单击政策图标。
  2. 单击上传策略按钮。如果您无法看到此按钮,则必须以全局管理员身份登录。

系统显示上传一个政策面板。

  1. 输入一个名称来标识策略。这是必填项。为了确定哪些策略是为您的组织定制的,您可以设计一个文件命名约定。例如,添加您的组织名称或缩写,例如XYZ Org - usgcb 1.2.1.0 - Windows 7防火墙
  2. 输入说明,说明在自定义策略中应用哪些设置。
  3. 单击Browse按钮定位归档文件。
  4. 单击“上传”按钮,上传策略。
    • 如果策略成功上传,请转到步骤7。
    • 如果收到错误消息,则不会加载策略。您必须解决错误消息中未指出的问题,然后重复这些步骤,直到策略成功加载。有关错误的更多信息,请参阅疑难解答上传错误.在上传期间,出现“旋转”图像:alt..完成上传的时间取决于策略的复杂性和大小,这通常反映了它包含的规则数量。当上传完成时,您的自定义策略将出现在政策清单面板上政策页面。您可以使用策略管理器编辑这些策略。看到创建自定义策略
  5. 将您的自定义策略添加到扫描模板中,以应用于未来的扫描。看到选择策略管理器检查

上传特定的基准或数据流

您可以按照以下方式选择datastream或底层基准的任意组合:使用中描述的步骤上传SCAP 1.2 XML策略文件上传自定义SCAP策略.在指定要上传的XML文件之后,Security Console将显示一个页面,用于从datastream集合中选择各个组件。默认情况下选择所有组件。若要防止包含任何组件,请清除该组件的复选框。然后,单击上传

疑难解答上传错误

除非满足某些条件,否则不会将策略上载到应用程序。错误消息标识未满足的条件。您必须解决问题并成功上传策略,以将您的自定义SCAP策略应用到扫描。

以下每个错误(在斜体中)列出了缩进后的分辨率。在错误消息中,值是错误消息中特定引用的占位符。

无法解析SCAP XCCDF基准文件[值]。序言中不能有内容。

在第一个括号(<)之前有一些字符。例如:

  • ABC<?xml version = " 1.0 " encoding = " utf - 8 " >
  • SCAP XCCDF基准测试文件的开头有隐藏字符。以下是隐藏字符:
    • 空白
    • UTF8编码XML文件中的字节顺序标记字符,这是由Microsoft®Notepad等文本编辑器引起的。
    • 任何其他类型的不可见字符。
  • 使用十六进制编辑器删除隐藏的字符。
  • 编码声明和SCAP XCCDF基准测试文件不匹配。例如,UTF16 XML文件有一个UTF8声明。
  • SCAP XCCDF基准文件包含不受支持的字符编码。
  • 如果缺少XML编码声明,那么它将默认为服务器的默认编码。如果XML内容包含默认字符编码不支持的字符,那么SCAP XCCDF基准文件就不能被解析。在SCAP XCCDF基准文件中添加UTF8声明。

无法找到SCAP XCCDF基准文件。验证SCAP XCCDF基准文件名以“-xccdf.xml”结尾,并且不在归档文件中的文件夹下。

应用程序无法在存档中找到SCAP XCCDF基准文件。

SCAP XCCDF基准文件名必须以-xccdf.xml结尾(例如,XYZ-xccdf.xml)。存档(zip或jar)不能具有文件夹结构。

使用所需的命名约定,验证SCAP XCCDF基准测试文件是否存在于归档文件中。

在[value]中找不到SCAP XCCDF基准版本。

SCAP XCCDF基准文件必须包含有效的模式版本。

将模式版本(SCAP策略)添加到SCAP XCCDF基准文件中。

不支持SCAP XCCDF基准版本[value]。

SCAP XCCDF基准测试文件必须包含支持格式的版本(例如,1.1.4)。该应用程序目前支持1.1.4或更早版本。

使用有效的格式替换版本号。确认没有空格。

SCAP XCCDF基准文件中必须包含要上传的基准的ID。

SCAP XCCDF基准文件必须包含一个基准ID。

向SCAP XCCDF基准文件添加基准ID。

事件解释SCAP XCCDF基准文件[value]包含一个无效字符[value]的基准ID。基准无法上传。

基准ID具有无效的字符,例如空格。

使用有效格式替换基准ID。

SCAP XCCDF基准文件[VALUE]包含对存档中未包含的椭圆定义文件[值]的引用。

验证归档文件是否包含SCAP XCCDF基准测试文件中引用的所有策略定义文件。或者删除对缺失定义文件的引用。

SCAP XCCDF基准文件[value]包含一个在产品中不支持的测试[value]。要上传策略,必须删除测试。

SCAP XCCDF基准文件包含一个应用程序不支持的测试。

从SCAP XCCDF基准文件中删除测试。

上传的归档文件不是有效的zip或jar归档文件。

归档文件的格式无效。

存档(zip或jar)不能具有文件夹结构。

将策略文件压缩到没有文件夹结构的归档文件(ZIP或JAR)。

SCAP XCCDF基准文件中包含一个规则[value],它指的是一个不受支持的检查系统。请只使用OVAL检查系统。

有不支持的项(如OVAL检查类型)。

从SCAP XCCDF基准测试文件中删除不支持的项。

项目[value]不是XCCDF基准或组。只有XCCDF基准测试或组可以包含其他项。

修改SCAP XCCDF基准文件。所以只有基准或组只包含其他基准项目。

SCAP XCCDF项[value]要求启用一个组或规则[value],该组或规则在基准中不存在,不能上传。

SCAP XCCDF基准文件中的要求缺少对组或规则的引用。

查看错误消息中指定的要求以确定要添加的组或规则。

SCAP XCCDF Item [Value]需要一个组或规则[value],不将启用不存在于基准中,无法上传。

SCAP XCCDF基准文件中的一个冲突是引用一个无法识别或错误的项。

检查错误消息中指定的冲突,以确定要替换哪个项目。

SCAP XCCDF项[value]要求不启用组或规则[value],但该项引用既不是组也不是规则。基准无法上传。

SCAP XCCDF基准文件中的冲突缺少对组或规则的引用。

查看错误消息中指定的冲突以确定要添加的组或规则。

SCAP XCCDF基准测试包含两个具有相同概要ID [值]的配置文件。这是非法的,无法上传基准。

SCAP XCCDF基准文件中有两个配置文件,具有相同的ID。

修改SCAP XCCDF基准文件,以便每个 有一个唯一的身份证。

SCAP XCCDF基准测试包含一个没有默认值设置的值[值]。如果没有选择器标记,则值[value]必须具有默认值。基准测试无法上传。

对于元素具有多个选项的项,例如规则,必须包含默认选择。

如果项目有多个可选择的选项,则必须指定默认选项。

SCAP XCCDF基准[value]包含对CPE平台[value]的引用,该平台在CPE字典中没有被引用。无法上传SCAP XCCDF基准。

应用程序不能识别SCAP XCCDF基准文件中的CPE平台引用。

从SCAP XCCDF基准文件中删除CPE平台引用。

SCAP XCCDF基准文件[VALUE]包含无限循环,是非法的。基准无法上传。

检查SCAP XCCDF基准文件以定位无限循环并修改代码以纠正此错误。

SCAP XCCDF基准文件[value]包含试图扩展不存在的项或非法扩展项的项。基准无法上传。

在SCAP XCCDF基准测试文件中有一个项没有包含在基准测试中。

修改SCAP XCCDF基准文件,删除对缺失项目的引用或将项目添加到基准中。

[value]中的引用检查[值]无效或丢失。

SCAP XCCDF基准测试文件中引用了一个没有包含在基准测试中的检查。

修改SCAP XCCDF基准文件,删除对缺失检查的引用或将检查添加到基准中。

[value]在存档中找到基准文件,您只能一次上传一个基准。

归档文件必须只包含一个基准,否则无法上传。

为每个基准创建一个单独的存档,并将每个存档上传到应用程序。

无法在策略中创建SCAP XCCDF基准值[Value]。

应用程序无法解析策略中的值。

检查基准并修改值。

无法解析SCAP XCCDF基准文件[值]。[价值]

由于错误消息末尾指出的问题,无法解析SCAP XCCDF基准文件。

SCAP XCCDF Item [Value]不引用有效值[值],无法解析基准。

SCAP XCCDF基准文件中的要求是引用未识别的项目或是错误的项目。

检查错误消息中指定的需求,以确定要替换哪个项目。

SCAP XCCDF基准文件包含一个没有提供值的XCCDF值[Value]。基准无法解析。

在SCAP XCCDF基准测试文件中向XCCDF值引用添加一个值。

无法解析SCAP椭圆形文件[值]。[价值]

此解析错误标识防止加载SCAP椭圆文件的问题。

查看SCAP椭圆形文件并找到错误消息中列出的问题以确定适当的修订。

无法找到SCAP OVAL源文件[value]。

应用程序无法在归档文件中找到SCAP OVAL源文件。该文件必须以-oval.xml或-patches.xml结束。

检查归档文件中是否存在SCAP OVAL Source文件,文件名的格式是否正确。