Labels für betroffene Geräte übernehmen
OVAL-Definitionen enthalten die für die Durchführung von OVAL-Tests benötigten Informationen. Hierzu zählen beispielsweise Prüfungen für Registrierungseinträge, Dateiversionen und WMI(Windows Management Instrumentation)-Daten.
Die OVAL-Testdefinitionen durchlaufen verschiedene Phasen, bevor sie herausgegeben werden. Je nachdem, wo sich eine Definition in diesem Prozess befindet, erhält sie einen der folgenden Statuswerte:
Weitere mögliche Werte sind:
Weitere Informationen zu den Phasen von OVAL-Definitionen finden Sie unter http://cve.mitre.org.
Wenn OVAL-Tests aktiviert sind, werden alle verfügbaren OVAL-Tests auf den Zielgeräten ausgeführt.
Die Details zu OVAL-Tests enthalten keine Informationen zum Schweregrad der Sicherheitslücke. Beurteilen Sie selbst, ob Ihr Netzwerk auf ein bestimmtes Sicherheitsrisiko überprüft werden muss.
OVAL-Tests und -Definitionen können Sie in der Administratorkonsole anzeigen.
a. |
Melden Sie sich bei der Administratorkonsole der K1000 an: http://K1000_hostname/admin. Oder wählen Sie, wenn in den allgemeinen Einstellungen der Appliance die Option Organisationsmenü in Verwaltungskopfzeile anzeigen aktiviert ist, in der Dropdown-Liste oben rechts auf der Seite neben den Anmeldeinformationen eine Organisation aus. |
2. |
Optional: Schränken Sie mithilfe der Dropdown-Liste Anzeigen nach ein, welche Tests angezeigt werden. Sie können auch das Feld Suchen verwenden, um OVAL-Tests nach OVAL-ID, CVE-Nummer, Betriebssystem oder Text zu durchsuchen. |
Die OVAL-Definitionsdetailseite wird mit folgenden Informationen angezeigt:
Die Tabelle am unteren Rand der Seite OVAL-Tests: Definition enthält die Liste mit den Geräten in Ihrem Netzwerk, die die Sicherheitslücke aufweisen. Eine druckerfreundliche Version dieser Daten ist ebenfalls verfügbar.
Die K1000 Appliance führt auf der Grundlage des in den OVAL-Einstellungen definierten Zeitplans automatisch OVAL-Tests aus.
Die Ausführung der OVAL-Tests dauert etwa eine Stunde. Darüber hinaus beanspruchen OVAL-Tests sehr viel Arbeitsspeicher und CPU-Leistung und beeinträchtigen unter Umständen die Leistung der Zielgeräte. Daher sollten Sie OVAL-Tests wöchentlich oder monatlich zu einem Zeitpunkt ausführen, zu dem die Benutzer möglichst wenig gestört werden.
Darüber hinaus können Sie OVAL-Tests manuell ausführen, indem Sie sich bei dem Gerät als Administrator anmelden und debug.bat ausführen. Diese Datei befindet sich üblicherweise im Verzeichnis mit den Programmdaten. Beispiel:
• |
Windows XP: C:\Dokumente und Einstellungen\All Users\Dell\KACE\kbots_cache\packages\kbots\9 |
Wenn Sie OVAL-Tests regelmäßig ausführen oder die OVAL-Testergebnisse nur für bestimmte Geräte abrufen möchten, können Sie diesen Geräten ein Label zuweisen. Dann haben Sie die Möglichkeit, OVAL-Tests mit der Funktion Jetzt ausführen nur auf diesen Geräten auszuführen.
Weitere Informationen zur Verwendung von Labels finden Sie unter Informationen zu den Labels.
Die K1000 Appliance prüft zwar jede Nacht, ob neue OVAL-Definitionen verfügbar sind, es ist jedoch nur einmal pro Monat mit neuen Definitionen zu rechnen. Sind OVAL-Tests aktiviert, lädt die Appliance unabhängig von den OVAL-Zeitplaneinstellungen neue OVAL-Definitionen bei der nächsten Skriptaktualisierung auf alle verwalteten Geräte herunter, sobald ein neues Paket verfügbar ist.
Die ZIP-Datei der OVAL-Aktualisierung kann über 30 MB groß sein und daher unter Umständen die Leistung von Geräten mit langsamer Verbindung beeinträchtigen. Die ZIP-Datei enthält 32- und 64-Bit-Versionen von OVAL Interpreter und verwendet jeweils die korrekte Version für das Gerät. OVAL Interpreter benötigt Microsoft .NET Framework und unterstützt sowohl die vollständige (erweiterte) Version als auch das Client-Profil.
Zur Ausführung von OVAL-Tests müssen Sie OVAL aktivieren, Zielgeräte und Betriebssysteme auswählen und einen Ausführungszeitplan festlegen.
OVAL-Tests benötigen umfangreiche Ressourcen und können die Leistung der Zielgeräte beeinträchtigen. Gehen Sie deshalb beim Konfigurieren von OVAL-Einstellungen mit Bedacht vor.
a. |
Melden Sie sich bei der Administratorkonsole der K1000 an: http://K1000_hostname/admin. Oder wählen Sie, wenn in den allgemeinen Einstellungen der Appliance die Option Organisationsmenü in Verwaltungskopfzeile anzeigen aktiviert ist, in der Dropdown-Liste oben rechts auf der Seite neben den Anmeldeinformationen eine Organisation aus. |
Einstellung |
Beschreibung |
Kein(e) |
Die Ausführung erfolgt im Zusammenhang mit einem Ereignis anstatt zu einem bestimmten Datum oder zu einem bestimmten Zeitpunkt. |
Alle n Minuten/Stunden |
Der Vorgang wird im angegebenen Intervall durchgeführt. |
Täglich/an einem bestimmten Tag um HH:MM |
Die Erfassung wird täglich zu einem bestimmten Zeitpunkt oder an einem bestimmten Wochentag um eine bestimmte Uhrzeit ausgeführt. |
Ausführen am n-ten jedes Monats/eines bestimmten Monats um HH:MM |
Die Erfassung wird jeden Monat oder in einem bestimmten Monat an einem festgelegten Datum zu einer festgelegten Uhrzeit ausgeführt. |
Benutzerdefiniert |
Ausführung nach einem benutzerdefinierten Zeitplan.
Verwenden Sie das Standard-5-Feld-Cron-Format (das erweiterte Cron-Format wird nicht unterstützt):
Verwenden Sie bei der Angabe von Werten die folgenden Zeichen:
• |
Sternchen (*): Ein Sternchen repräsentiert den gesamten Wertebereich in einem Feld. Zum Beispiel repräsentiert ein Sternchen im Stundenfeld eine beliebige Stunde. |
• |
Kommas (,): Mehrere Werte in einem Feld werden mit einem Komma getrennt. Zum Beispiel werden mit 0,6 im Feld "Wochentag" Sonntag und Samstag angegeben. |
• |
Bindestriche (-): Mit einem Bindestrich wird ein Wertebereich in einem Feld angegeben. Zum Beispiel entspricht 1-5 im Feld "Wochentag" 1,2,3,4,5, d. h. Montag bis Freitag. |
• |
Schrägstriche (/): Die Angabe der Zeitabstände, mit denen eine Aktion wiederholt werden soll, erfolgt mit einem Schrägstrich. Zum Beispiel entspricht */3 im Feld Stunde 0,3,6,9,12,15,18,21. Das Sternchen ( *) gibt jede Stunde an, mit /3 erfolgt aber eine Einschränkung auf durch drei teilbare Stunden. |
Beispiele: |
Wenn offline, bei nächster Verbindung ausführen |
Wenn ein der OVAL-Scan ausgeführt wird, berechnet er die Anzahl der Computer, die es ausführen soll, basierend auf deren Labels oder deren Betriebssystemen, oder durch manuelle Identifikation ausgewählter Computer. Anhand des Computersatzes legt der OVAL-Scan fest, welche dieser Computer online sind und richtet in der Warteschlange eine Aufgabe für die Online-Computer im Konductor ein.
Wenn Sie diese Option auswählen, überspringt OVAL-Scan den Schritt, der Online-Computer identifiziert, und wird auf den Online-Computern ausgeführt. Für die Offline-Computer wird die Aufgabe in der Warteschlange des Konductors hinzugefügt, und ausgeführt, wenn die Computer online geschaltet werden.
Alle nachfolgenden Aufgaben für die Ausführung des OVAL-Scan (zum Beispiel für einen bereits in der Konductor-Warteschlange vorhandenen Offline-Computer) überschreiben die vorhandenen Aufgaben, so dass es nie mehr als eine Aufgabe in der Konductor-Warteschlange für den gleichen Computer gibt.
Standardmäßig ist diese Option deaktiviert. |
Die Seite OVAL-Bericht zeigt die OVAL-Tests, die seit der letzten Aktualisierung der OVAL-Definitionen ausgeführt wurden.
Die OVAL-Ergebnisse auf dieser Seite werden gelöscht, wenn die OVAL-Definitionen aktualisiert werden. Falls Sie die Ergebnisse speichern möchten, erstellen Sie einen Zeitplan für die regelmäßige Ausführung eines OVAL-Geräteberichts. Siehe Zeitpläne für Berichte hinzufügen.
a. |
Melden Sie sich bei der Administratorkonsole der K1000 an: http://K1000_hostname/admin. Oder wählen Sie, wenn in den allgemeinen Einstellungen der Appliance die Option Organisationsmenü in Verwaltungskopfzeile anzeigen aktiviert ist, in der Dropdown-Liste oben rechts auf der Seite neben den Anmeldeinformationen eine Organisation aus. |
In der Testdetailansicht werden alle Geräte angezeigt, die den OVAL-Test nicht bestanden haben. Sie können diesen Geräten ein Label zuweisen, um den Patch-Vorgang zu einem späteren Zeitpunkt durchzuführen.
3. |
Klicken Sie auf Aktion auswählen und wählen Sie anschließend unter Label für betroffene Geräte übernehmen das entsprechende Label aus. |
Auf der Seite OVAL-Geräte-Compliance finden Sie eine Liste mit Geräten mit OVAL-Testergebnissen. Hier können Sie sich eine Zusammenfassung der Tests ansehen, die für bestimmte Geräte ausgeführt wurden.
Das Label in der Spalte Gerät auf der Seite OVAL-Gerätebericht ist die von der K1000 Inventarkomponente zugewiesene Inventar-ID.
Wenn Sie weitere Informationen zu den Geräten im Bericht anzeigen möchten, klicken Sie auf den verknüpften Gerätenamen, um zur Gerätedetailseite zu gelangen.
a. |
Melden Sie sich bei der Administratorkonsole der K1000 an: http://K1000_hostname/admin. Oder wählen Sie, wenn in den allgemeinen Einstellungen der Appliance die Option Organisationsmenü in Verwaltungskopfzeile anzeigen aktiviert ist, in der Dropdown-Liste oben rechts auf der Seite neben den Anmeldeinformationen eine Organisation aus. |
Die Seite OVAL-Geräte-Compliance wird mit einer OVAL-Berichtsliste angezeigt.
OVAL-Bericht anzeigen
OVAL-Definitionen enthalten die für die Durchführung von OVAL-Tests benötigten Informationen. Hierzu zählen beispielsweise Prüfungen für Registrierungseinträge, Dateiversionen und WMI(Windows Management Instrumentation)-Daten.
Die OVAL-Testdefinitionen durchlaufen verschiedene Phasen, bevor sie herausgegeben werden. Je nachdem, wo sich eine Definition in diesem Prozess befindet, erhält sie einen der folgenden Statuswerte:
Weitere mögliche Werte sind:
Weitere Informationen zu den Phasen von OVAL-Definitionen finden Sie unter http://cve.mitre.org.
Wenn OVAL-Tests aktiviert sind, werden alle verfügbaren OVAL-Tests auf den Zielgeräten ausgeführt.
Die Details zu OVAL-Tests enthalten keine Informationen zum Schweregrad der Sicherheitslücke. Beurteilen Sie selbst, ob Ihr Netzwerk auf ein bestimmtes Sicherheitsrisiko überprüft werden muss.
OVAL-Tests und -Definitionen können Sie in der Administratorkonsole anzeigen.
a. |
Melden Sie sich bei der Administratorkonsole der K1000 an: http://K1000_hostname/admin. Oder wählen Sie, wenn in den allgemeinen Einstellungen der Appliance die Option Organisationsmenü in Verwaltungskopfzeile anzeigen aktiviert ist, in der Dropdown-Liste oben rechts auf der Seite neben den Anmeldeinformationen eine Organisation aus. |
2. |
Optional: Schränken Sie mithilfe der Dropdown-Liste Anzeigen nach ein, welche Tests angezeigt werden. Sie können auch das Feld Suchen verwenden, um OVAL-Tests nach OVAL-ID, CVE-Nummer, Betriebssystem oder Text zu durchsuchen. |
Die OVAL-Definitionsdetailseite wird mit folgenden Informationen angezeigt:
Die Tabelle am unteren Rand der Seite OVAL-Tests: Definition enthält die Liste mit den Geräten in Ihrem Netzwerk, die die Sicherheitslücke aufweisen. Eine druckerfreundliche Version dieser Daten ist ebenfalls verfügbar.
Die K1000 Appliance führt auf der Grundlage des in den OVAL-Einstellungen definierten Zeitplans automatisch OVAL-Tests aus.
Die Ausführung der OVAL-Tests dauert etwa eine Stunde. Darüber hinaus beanspruchen OVAL-Tests sehr viel Arbeitsspeicher und CPU-Leistung und beeinträchtigen unter Umständen die Leistung der Zielgeräte. Daher sollten Sie OVAL-Tests wöchentlich oder monatlich zu einem Zeitpunkt ausführen, zu dem die Benutzer möglichst wenig gestört werden.
Darüber hinaus können Sie OVAL-Tests manuell ausführen, indem Sie sich bei dem Gerät als Administrator anmelden und debug.bat ausführen. Diese Datei befindet sich üblicherweise im Verzeichnis mit den Programmdaten. Beispiel:
• |
Windows XP: C:\Dokumente und Einstellungen\All Users\Dell\KACE\kbots_cache\packages\kbots\9 |
Wenn Sie OVAL-Tests regelmäßig ausführen oder die OVAL-Testergebnisse nur für bestimmte Geräte abrufen möchten, können Sie diesen Geräten ein Label zuweisen. Dann haben Sie die Möglichkeit, OVAL-Tests mit der Funktion Jetzt ausführen nur auf diesen Geräten auszuführen.
Weitere Informationen zur Verwendung von Labels finden Sie unter Informationen zu den Labels.
Die K1000 Appliance prüft zwar jede Nacht, ob neue OVAL-Definitionen verfügbar sind, es ist jedoch nur einmal pro Monat mit neuen Definitionen zu rechnen. Sind OVAL-Tests aktiviert, lädt die Appliance unabhängig von den OVAL-Zeitplaneinstellungen neue OVAL-Definitionen bei der nächsten Skriptaktualisierung auf alle verwalteten Geräte herunter, sobald ein neues Paket verfügbar ist.
Die ZIP-Datei der OVAL-Aktualisierung kann über 30 MB groß sein und daher unter Umständen die Leistung von Geräten mit langsamer Verbindung beeinträchtigen. Die ZIP-Datei enthält 32- und 64-Bit-Versionen von OVAL Interpreter und verwendet jeweils die korrekte Version für das Gerät. OVAL Interpreter benötigt Microsoft .NET Framework und unterstützt sowohl die vollständige (erweiterte) Version als auch das Client-Profil.
Zur Ausführung von OVAL-Tests müssen Sie OVAL aktivieren, Zielgeräte und Betriebssysteme auswählen und einen Ausführungszeitplan festlegen.
OVAL-Tests benötigen umfangreiche Ressourcen und können die Leistung der Zielgeräte beeinträchtigen. Gehen Sie deshalb beim Konfigurieren von OVAL-Einstellungen mit Bedacht vor.
a. |
Melden Sie sich bei der Administratorkonsole der K1000 an: http://K1000_hostname/admin. Oder wählen Sie, wenn in den allgemeinen Einstellungen der Appliance die Option Organisationsmenü in Verwaltungskopfzeile anzeigen aktiviert ist, in der Dropdown-Liste oben rechts auf der Seite neben den Anmeldeinformationen eine Organisation aus. |
Einstellung |
Beschreibung |
Kein(e) |
Die Ausführung erfolgt im Zusammenhang mit einem Ereignis anstatt zu einem bestimmten Datum oder zu einem bestimmten Zeitpunkt. |
Alle n Minuten/Stunden |
Der Vorgang wird im angegebenen Intervall durchgeführt. |
Täglich/an einem bestimmten Tag um HH:MM |
Die Erfassung wird täglich zu einem bestimmten Zeitpunkt oder an einem bestimmten Wochentag um eine bestimmte Uhrzeit ausgeführt. |
Ausführen am n-ten jedes Monats/eines bestimmten Monats um HH:MM |
Die Erfassung wird jeden Monat oder in einem bestimmten Monat an einem festgelegten Datum zu einer festgelegten Uhrzeit ausgeführt. |
Benutzerdefiniert |
Ausführung nach einem benutzerdefinierten Zeitplan.
Verwenden Sie das Standard-5-Feld-Cron-Format (das erweiterte Cron-Format wird nicht unterstützt):
Verwenden Sie bei der Angabe von Werten die folgenden Zeichen:
• |
Sternchen (*): Ein Sternchen repräsentiert den gesamten Wertebereich in einem Feld. Zum Beispiel repräsentiert ein Sternchen im Stundenfeld eine beliebige Stunde. |
• |
Kommas (,): Mehrere Werte in einem Feld werden mit einem Komma getrennt. Zum Beispiel werden mit 0,6 im Feld "Wochentag" Sonntag und Samstag angegeben. |
• |
Bindestriche (-): Mit einem Bindestrich wird ein Wertebereich in einem Feld angegeben. Zum Beispiel entspricht 1-5 im Feld "Wochentag" 1,2,3,4,5, d. h. Montag bis Freitag. |
• |
Schrägstriche (/): Die Angabe der Zeitabstände, mit denen eine Aktion wiederholt werden soll, erfolgt mit einem Schrägstrich. Zum Beispiel entspricht */3 im Feld Stunde 0,3,6,9,12,15,18,21. Das Sternchen ( *) gibt jede Stunde an, mit /3 erfolgt aber eine Einschränkung auf durch drei teilbare Stunden. |
Beispiele: |
Wenn offline, bei nächster Verbindung ausführen |
Wenn ein der OVAL-Scan ausgeführt wird, berechnet er die Anzahl der Computer, die es ausführen soll, basierend auf deren Labels oder deren Betriebssystemen, oder durch manuelle Identifikation ausgewählter Computer. Anhand des Computersatzes legt der OVAL-Scan fest, welche dieser Computer online sind und richtet in der Warteschlange eine Aufgabe für die Online-Computer im Konductor ein.
Wenn Sie diese Option auswählen, überspringt OVAL-Scan den Schritt, der Online-Computer identifiziert, und wird auf den Online-Computern ausgeführt. Für die Offline-Computer wird die Aufgabe in der Warteschlange des Konductors hinzugefügt, und ausgeführt, wenn die Computer online geschaltet werden.
Alle nachfolgenden Aufgaben für die Ausführung des OVAL-Scan (zum Beispiel für einen bereits in der Konductor-Warteschlange vorhandenen Offline-Computer) überschreiben die vorhandenen Aufgaben, so dass es nie mehr als eine Aufgabe in der Konductor-Warteschlange für den gleichen Computer gibt.
Standardmäßig ist diese Option deaktiviert. |
Die Seite OVAL-Bericht zeigt die OVAL-Tests, die seit der letzten Aktualisierung der OVAL-Definitionen ausgeführt wurden.
Die OVAL-Ergebnisse auf dieser Seite werden gelöscht, wenn die OVAL-Definitionen aktualisiert werden. Falls Sie die Ergebnisse speichern möchten, erstellen Sie einen Zeitplan für die regelmäßige Ausführung eines OVAL-Geräteberichts. Siehe Zeitpläne für Berichte hinzufügen.
a. |
Melden Sie sich bei der Administratorkonsole der K1000 an: http://K1000_hostname/admin. Oder wählen Sie, wenn in den allgemeinen Einstellungen der Appliance die Option Organisationsmenü in Verwaltungskopfzeile anzeigen aktiviert ist, in der Dropdown-Liste oben rechts auf der Seite neben den Anmeldeinformationen eine Organisation aus. |
In der Testdetailansicht werden alle Geräte angezeigt, die den OVAL-Test nicht bestanden haben. Sie können diesen Geräten ein Label zuweisen, um den Patch-Vorgang zu einem späteren Zeitpunkt durchzuführen.
3. |
Klicken Sie auf Aktion auswählen und wählen Sie anschließend unter Label für betroffene Geräte übernehmen das entsprechende Label aus. |
Auf der Seite OVAL-Geräte-Compliance finden Sie eine Liste mit Geräten mit OVAL-Testergebnissen. Hier können Sie sich eine Zusammenfassung der Tests ansehen, die für bestimmte Geräte ausgeführt wurden.
Das Label in der Spalte Gerät auf der Seite OVAL-Gerätebericht ist die von der K1000 Inventarkomponente zugewiesene Inventar-ID.
Wenn Sie weitere Informationen zu den Geräten im Bericht anzeigen möchten, klicken Sie auf den verknüpften Gerätenamen, um zur Gerätedetailseite zu gelangen.
a. |
Melden Sie sich bei der Administratorkonsole der K1000 an: http://K1000_hostname/admin. Oder wählen Sie, wenn in den allgemeinen Einstellungen der Appliance die Option Organisationsmenü in Verwaltungskopfzeile anzeigen aktiviert ist, in der Dropdown-Liste oben rechts auf der Seite neben den Anmeldeinformationen eine Organisation aus. |
Die Seite OVAL-Geräte-Compliance wird mit einer OVAL-Berichtsliste angezeigt.
Informationen zu SCAP
SCAP (Secure Content Automation Protocol) ist ein offener Standard zur Angabe von Softwareschwachstellen, Überwachung sicherheitsbezogener Konfigurationen und Produktnamen sowie zur Untersuchung von Systemen im Hinblick auf Sicherheitslücken und zur Bewertung (Zahlenwert) der Auswirkungen der ermittelten Sicherheitsprobleme auf Windows-Geräten.
SCAP wird vom National Institute of Standards and Technology (NIST) verwaltet und von US-Regierungsbehörden wie dem Office of Management and Budget (US OMB) verbindlich vorgeschrieben.
SCAP verwendet die National Vulnerability Database der US-Regierung NVD, ein auf Standards basierendes Datenrepository der US-amerikanischen Regierung zur Verwaltung von Sicherheitslücken. NVD beinhaltet Datenbanken mit Sicherheitsprüflisten, sicherheitsbezogenen Softwareschwachstellen, fehlerhaften Konfigurationen, Produktnamen und Metriken für die Auswirkungen. Weitere Informationen zu SCAP sowie zur NVD finden Sie auf den Websites des NIST unter http://scap.nist.gov/index.html und http://nvd.nist.gov/.
Die K1000 Appliance unterstützt SCAP 1.0, 1.1 und 1.2. SCAP ist für Windows 7- (32 Bit und 64 Bit), Windows Vista- und Windows XP-Plattformen zertifiziert.
Die K1000 Appliance führt SCAP-Scans mithilfe der auf verwalteten Geräten installierten K1000 Agentensoftware durch. Für Geräte, auf denen die K1000 Agentensoftware nicht installiert ist, ist SCAP nicht verfügbar.
Im Rahmen von SCAP-Scans führt die K1000 Appliance Skripte auf ausgewählten Geräten mit Agentenverwaltung aus. Dabei verwendet sie Prüflisten für Sicherheitskonfigurationen aus dem National Checklist Repository.
Bei den SCAP-Versionen 1.0 und 1.1 überprüft das Skript den in XML-Formaten vorliegenden SCAP-Datenstrom anhand folgender SCAP-Standards: CCE, CPE, CVE, CVSS, OVAL und XCCDF. Siehe Definitionen von SCAP-Standards.
SCAP 1.2 wurde um das Konzept des Datenstroms erweitert. Hierzu werden die einzelnen Ergebnisdateien zu einer einzelnen XML-Datei zusammengefasst. Darüber hinaus kommt bei SCAP 1.2 das neue Ausgabeformat "ARF" (Asset Report Format 1.1) hinzu. Weitere Informationen hierzu finden Sie unter http://scap.nist.gov/specifications/arf/.
Die K1000 Appliance führt mithilfe der Agentensoftware SCAP-Scan-Compliance-Prüfungen durch. Die Ergebnisdateien werden an die Appliance oder an die Organisationsdatenbank hochgeladen und zu einer einzelnen Datei zusammengefasst, um sie (bei Bedarf) einer Regierungsbehörde zu melden. Außerdem werden die Ergebnisse für die einzelnen Geräte auf der Seite SCAP-Scanergebnisse der Appliance angezeigt.
Ist auf der Appliance die Organisationskomponente aktiviert, können Sie die SCAP-Scanergebnisse für jede Organisation separat anzeigen.
SCAP verwendet die Version 5.10.1 von OVAL Interpreter und bietet Folgendes:
Diese Funktionen verbessern die Softwaresicherheit, die Bedrohungsbewertung und die Beseitigung von Sicherheitslücken.
SCAP-Scans überwachen die Gerätesicherheit auf der Grundlage bestimmter Protokolle und Standards.
Standard |
Definition |
CCE |
CCE (Common Configuration Enumeration) stellt eindeutige Bezeichner für Systemkonfigurationsprobleme bereit, um eine schnelle, präzise Korrelation von Konfigurationsdaten in mehreren Informationsquellen und Tools zu erleichtern.
Die Ergebnisse der Compliance-Prüfung, die durch den SCAP-Scan der K1000 Verwaltungs-Appliance erzeugt wurden, umfassen die relevanten CCE ID-Referenzen zu XCCDF- und OVAL-Definitionen für jede überprüfte Regel, wie durch die Prüflistendefinition festgelegt.
CCE-Informationen stehen sowohl in der XCCDF-Ergebnisdatei als auch auf der Seite SCAP-Scanergebnisse der Appliance zur Verfügung. |
CPE |
Bei CPE (Common Platform Enumeration) handelt es sich um ein strukturiertes Benennungsschema für IT-Systeme, -Plattformen und -Pakete. CPE basiert auf der generischen Syntax für Uniform Resource Identifiers (URI) und umfasst ein formales Namensformat, eine Sprache. zur Beschreibung komplexer Plattformen, eine Methode zur Prüfung von Namen anhand eines Systems sowie ein Beschreibungsformat zur Erstellung von Bindungen zwischen Text und Tests mit einem Namen. Im Wesentlichen sorgt CPE dafür, dass die Sicherheitsprüfliste auf die richtige Plattform angewendet wird.
Diese Informationen stehen sowohl in der XCCDF-Ergebnisdatei als auch auf der Seite SCAP-Scanergebnisse der Appliance zur Verfügung. |
CVE |
"Common Vulnerability and Exposures" ist eine Liste (oder ein Verzeichnis) mit Standardbezeichnern (allgemeinen Namen) für öffentlich bekannte Sicherheitslücken und Softwareschwachstellen.
Die Ergebnisse der Compliance-Prüfung durch den SCAP-Scan der K1000 Verwaltungs-Appliance umfassen die relevanten CCE ID-Referenzen und OVAL-Definitionen für jede überprüfte Regel aus der Prüflistendefinition.
Auf der Seite SCAP-Scanergebnisse der Appliance stehen für jeden Patch und jede Sicherheitslücke CVE ID-Referenzen zur Verfügung.
Die CVE-Informationen werden in einer durch den Scan generierten XML-Datei mit Patch-Ergebnissen gespeichert. Die Datei kann im Arbeitsverzeichnis des Agenten oder auf der Seite SCAP-Scanergebnisse des Servers überprüft werden. |
CVSS |
Das Common Vulnerability Scoring System ist ein offenes Framework für die Vermittlung von Merkmalen und Auswirkungen von IT-Sicherheitslücken. Das quantitative Modell gewährleistet wiederholbare, exakte Bewertungen und die Benutzer haben Einblick in die Merkmale der Sicherheitslücke, die den generierten Werten zugrunde liegen. CVSS eignet sich für Branchen, Organisationen und Behörden, die auf eine exakte und einheitliche Bewertung der Auswirkungen von Sicherheitslücken angewiesen sind. Das CVSS ist unter anderem hilfreich bei der Priorisierung von Aktivitäten zur Beseitigung von Sicherheitslücken sowie bei der Ermittlung des Schweregrads. Die National Vulnerability Database (NVD) stellt CVSS-Werte für nahezu alle bekannten Sicherheitslücken zur Verfügung. |
OVAL |
Bei OVAL (Open Vulnerability and Assessment Language) handelt es sich um einen internationalen Community-Informationssicherheitsstandard zur Verbreitung offener und öffentlich zugänglicher Sicherheitsinhalte. Er standardisiert die Übertragung dieser Informationen über das gesamte Spektrum an Sicherheitstools und -services hinweg.
Die Ergebnisse jedes OVAL-Tests werden in mehrere Dateien auf dem Zielgerät geschrieben und dann in einer einzigen Ergebnisdatei auf der Appliance zusammengefasst und auf der Seite SCAP-Scanergebnisse angezeigt. |
SCAP |
Secure Content Automation Protocol (SCAP) ist ein offener Standard zur Angabe von Softwareschwachstellen, Überwachung sicherheitsbezogener Konfigurationen und Produktnamen sowie zur Untersuchung von Geräten im Hinblick auf Sicherheitslücken und zur Bewertung (Zahlenwert) der Auswirkungen der ermittelten Sicherheitsprobleme. Siehe Informationen zu SCAP. |
XCCDF |
Beim Format XCCDF (eXtensible Configuration Checklist Description) handelt es sich um eine Spezifikationssprache zum Schreiben von Sicherheitsprüflisten, Benchmarks und zugehörigen Dokumenten. Eine XCCDF-Datei enthält eine strukturierte Sammlung von Sicherheitskonfigurationsregeln für verschiedene Zielgeräte. Die Spezifikation dient zur Unterstützung von Informationsaustausch, Dokumenterstellung, organisations- und situationsbezogener Anpassung, automatisierten Compliance-Tests sowie Compliance-Bewertungen. Siehe Funktionsweise eines SCAP-Scans. |
Unterstützte SCAP-Versionen und Plattformen
SCAP (Secure Content Automation Protocol) ist ein offener Standard zur Angabe von Softwareschwachstellen, Überwachung sicherheitsbezogener Konfigurationen und Produktnamen sowie zur Untersuchung von Systemen im Hinblick auf Sicherheitslücken und zur Bewertung (Zahlenwert) der Auswirkungen der ermittelten Sicherheitsprobleme auf Windows-Geräten.
SCAP wird vom National Institute of Standards and Technology (NIST) verwaltet und von US-Regierungsbehörden wie dem Office of Management and Budget (US OMB) verbindlich vorgeschrieben.
SCAP verwendet die National Vulnerability Database der US-Regierung NVD, ein auf Standards basierendes Datenrepository der US-amerikanischen Regierung zur Verwaltung von Sicherheitslücken. NVD beinhaltet Datenbanken mit Sicherheitsprüflisten, sicherheitsbezogenen Softwareschwachstellen, fehlerhaften Konfigurationen, Produktnamen und Metriken für die Auswirkungen. Weitere Informationen zu SCAP sowie zur NVD finden Sie auf den Websites des NIST unter http://scap.nist.gov/index.html und http://nvd.nist.gov/.
Die K1000 Appliance unterstützt SCAP 1.0, 1.1 und 1.2. SCAP ist für Windows 7- (32 Bit und 64 Bit), Windows Vista- und Windows XP-Plattformen zertifiziert.
Die K1000 Appliance führt SCAP-Scans mithilfe der auf verwalteten Geräten installierten K1000 Agentensoftware durch. Für Geräte, auf denen die K1000 Agentensoftware nicht installiert ist, ist SCAP nicht verfügbar.
Im Rahmen von SCAP-Scans führt die K1000 Appliance Skripte auf ausgewählten Geräten mit Agentenverwaltung aus. Dabei verwendet sie Prüflisten für Sicherheitskonfigurationen aus dem National Checklist Repository.
Bei den SCAP-Versionen 1.0 und 1.1 überprüft das Skript den in XML-Formaten vorliegenden SCAP-Datenstrom anhand folgender SCAP-Standards: CCE, CPE, CVE, CVSS, OVAL und XCCDF. Siehe Definitionen von SCAP-Standards.
SCAP 1.2 wurde um das Konzept des Datenstroms erweitert. Hierzu werden die einzelnen Ergebnisdateien zu einer einzelnen XML-Datei zusammengefasst. Darüber hinaus kommt bei SCAP 1.2 das neue Ausgabeformat "ARF" (Asset Report Format 1.1) hinzu. Weitere Informationen hierzu finden Sie unter http://scap.nist.gov/specifications/arf/.
Die K1000 Appliance führt mithilfe der Agentensoftware SCAP-Scan-Compliance-Prüfungen durch. Die Ergebnisdateien werden an die Appliance oder an die Organisationsdatenbank hochgeladen und zu einer einzelnen Datei zusammengefasst, um sie (bei Bedarf) einer Regierungsbehörde zu melden. Außerdem werden die Ergebnisse für die einzelnen Geräte auf der Seite SCAP-Scanergebnisse der Appliance angezeigt.
Ist auf der Appliance die Organisationskomponente aktiviert, können Sie die SCAP-Scanergebnisse für jede Organisation separat anzeigen.
SCAP verwendet die Version 5.10.1 von OVAL Interpreter und bietet Folgendes:
Diese Funktionen verbessern die Softwaresicherheit, die Bedrohungsbewertung und die Beseitigung von Sicherheitslücken.
SCAP-Scans überwachen die Gerätesicherheit auf der Grundlage bestimmter Protokolle und Standards.
Standard |
Definition |
CCE |
CCE (Common Configuration Enumeration) stellt eindeutige Bezeichner für Systemkonfigurationsprobleme bereit, um eine schnelle, präzise Korrelation von Konfigurationsdaten in mehreren Informationsquellen und Tools zu erleichtern.
Die Ergebnisse der Compliance-Prüfung, die durch den SCAP-Scan der K1000 Verwaltungs-Appliance erzeugt wurden, umfassen die relevanten CCE ID-Referenzen zu XCCDF- und OVAL-Definitionen für jede überprüfte Regel, wie durch die Prüflistendefinition festgelegt.
CCE-Informationen stehen sowohl in der XCCDF-Ergebnisdatei als auch auf der Seite SCAP-Scanergebnisse der Appliance zur Verfügung. |
CPE |
Bei CPE (Common Platform Enumeration) handelt es sich um ein strukturiertes Benennungsschema für IT-Systeme, -Plattformen und -Pakete. CPE basiert auf der generischen Syntax für Uniform Resource Identifiers (URI) und umfasst ein formales Namensformat, eine Sprache. zur Beschreibung komplexer Plattformen, eine Methode zur Prüfung von Namen anhand eines Systems sowie ein Beschreibungsformat zur Erstellung von Bindungen zwischen Text und Tests mit einem Namen. Im Wesentlichen sorgt CPE dafür, dass die Sicherheitsprüfliste auf die richtige Plattform angewendet wird.
Diese Informationen stehen sowohl in der XCCDF-Ergebnisdatei als auch auf der Seite SCAP-Scanergebnisse der Appliance zur Verfügung. |
CVE |
"Common Vulnerability and Exposures" ist eine Liste (oder ein Verzeichnis) mit Standardbezeichnern (allgemeinen Namen) für öffentlich bekannte Sicherheitslücken und Softwareschwachstellen.
Die Ergebnisse der Compliance-Prüfung durch den SCAP-Scan der K1000 Verwaltungs-Appliance umfassen die relevanten CCE ID-Referenzen und OVAL-Definitionen für jede überprüfte Regel aus der Prüflistendefinition.
Auf der Seite SCAP-Scanergebnisse der Appliance stehen für jeden Patch und jede Sicherheitslücke CVE ID-Referenzen zur Verfügung.
Die CVE-Informationen werden in einer durch den Scan generierten XML-Datei mit Patch-Ergebnissen gespeichert. Die Datei kann im Arbeitsverzeichnis des Agenten oder auf der Seite SCAP-Scanergebnisse des Servers überprüft werden. |
CVSS |
Das Common Vulnerability Scoring System ist ein offenes Framework für die Vermittlung von Merkmalen und Auswirkungen von IT-Sicherheitslücken. Das quantitative Modell gewährleistet wiederholbare, exakte Bewertungen und die Benutzer haben Einblick in die Merkmale der Sicherheitslücke, die den generierten Werten zugrunde liegen. CVSS eignet sich für Branchen, Organisationen und Behörden, die auf eine exakte und einheitliche Bewertung der Auswirkungen von Sicherheitslücken angewiesen sind. Das CVSS ist unter anderem hilfreich bei der Priorisierung von Aktivitäten zur Beseitigung von Sicherheitslücken sowie bei der Ermittlung des Schweregrads. Die National Vulnerability Database (NVD) stellt CVSS-Werte für nahezu alle bekannten Sicherheitslücken zur Verfügung. |
OVAL |
Bei OVAL (Open Vulnerability and Assessment Language) handelt es sich um einen internationalen Community-Informationssicherheitsstandard zur Verbreitung offener und öffentlich zugänglicher Sicherheitsinhalte. Er standardisiert die Übertragung dieser Informationen über das gesamte Spektrum an Sicherheitstools und -services hinweg.
Die Ergebnisse jedes OVAL-Tests werden in mehrere Dateien auf dem Zielgerät geschrieben und dann in einer einzigen Ergebnisdatei auf der Appliance zusammengefasst und auf der Seite SCAP-Scanergebnisse angezeigt. |
SCAP |
Secure Content Automation Protocol (SCAP) ist ein offener Standard zur Angabe von Softwareschwachstellen, Überwachung sicherheitsbezogener Konfigurationen und Produktnamen sowie zur Untersuchung von Geräten im Hinblick auf Sicherheitslücken und zur Bewertung (Zahlenwert) der Auswirkungen der ermittelten Sicherheitsprobleme. Siehe Informationen zu SCAP. |
XCCDF |
Beim Format XCCDF (eXtensible Configuration Checklist Description) handelt es sich um eine Spezifikationssprache zum Schreiben von Sicherheitsprüflisten, Benchmarks und zugehörigen Dokumenten. Eine XCCDF-Datei enthält eine strukturierte Sammlung von Sicherheitskonfigurationsregeln für verschiedene Zielgeräte. Die Spezifikation dient zur Unterstützung von Informationsaustausch, Dokumenterstellung, organisations- und situationsbezogener Anpassung, automatisierten Compliance-Tests sowie Compliance-Bewertungen. Siehe Funktionsweise eines SCAP-Scans. |