Chat now with support
Chat with Support

KACE Systems Management Appliance 10.0 Common Documents - Guide d'administration

À propos de l'Appliance de gestion des systèmes (SMA) KACE
À propos des composants de l'appliance KACE SMA À propos de la Console d'administration
Mise en route
Configuration de l'appliance
Configuration requise et caractéristiques Mettre l'appliance sous tension et se connecter à la Console d'administration Accès à la console de ligne de commande Suivi des modifications de configuration Configuration des paramètres généraux au niveau du système et au niveau admin Configuration des paramètres de date et d'heure de l'appliance Activation de l'authentification à deux facteurs pour tous les utilisateurs Vérification des paramètres de port, du service NTP et de l'accès à des sites Web Configuration des paramètres de réseau et de sécurité Configuration des paramètres de l'agent Configuration du délai d'expiration de la session et des paramètres d'actualisation automatique Configuration des paramètres régionaux Configuration du thème par défaut Configuration des préférences de partage de données À propos des exigences en matière d'application du DIACAP Configuration de l'accès à l'appareil mobile Activation de la commutation rapide pour les appliances liées et les organisations Liaison d'appliances Quest KACE Configuration des paramètres de l'historique
Définition et utilisation d'étiquettes pour gérer des groupes d'éléments
À propos des étiquettes Suivi des modifications apportées aux paramètres d'étiquettes Gestion des étiquettes manuelles Gestion des étiquettes dynamiques Gestion des groupes d'étiquettes Gestion des étiquettes LDAP
Configuration des comptes d'utilisateurs, de l'authentification LDAP et de l'authentification unique (SSO)
À propos des comptes d'utilisateur et de l'authentification utilisateur À propos des paramètres régionaux Gestion des comptes d'utilisateurs au niveau du système Gestion des comptes d'utilisateurs d'organisation Afficher ou modifier des profils d'utilisateurs Utilisation d'un serveur LDAP pour l'authentification utilisateur Importation d'utilisateurs à partir d'un serveur LDAP À propos de l'authentification unique (SSO) Activation ou désactivation de l'authentification unique Utilisation d'Active Directory ou LDAP pour l'authentification unique Configuration du protocole SAML pour l'authentification unique
Utilisation des partages de réplication Gestion des informations d'identification Configuration des actifs
À propos du composant Gestion des actifs Utilisation du tableau de bord de gestion des actifs À propos de la gestion des actifs Ajout et personnalisation des types d'actifs, et gestion des informations sur les actifs Gestion des actifs logiciels Gestion des actifs physiques et logiques Mise à jour et utilisation des informations sur les actifs Gestion des emplacements Gestion des contrats Gestion des licences Gestion des enregistrements d'achat
Configuration de la conformité des licences Gestion de la conformité des licences Configuration du Service Desk Configurer la durée de vie du cache pour les widgets Service Desk Création et gestion des organisations Importation et exportation de ressources de l'appliance
Gestion de l'inventaire
Utilisation du tableau de bord des inventaires Utilisation de la découverte des périphériques Gestion de l'inventaire des périphériques
À propos de la gestion des périphériques Fonctionnalités disponibles pour chaque méthode de gestion des périphériques À propos des données d'inventaire Suivi des modifications apportées aux paramètres d'inventaire Gestion des données d'inventaire Recherche et gestion des périphériques Provisioning de l'agent KACE SMA Déploiement manuel de l'agent KACE SMA
Obtention des fichiers d'installation d'agent Déploiement manuel de l'agent KACE SMA sur les périphériques Windows Déploiement ou mise à niveau manuelle de l'agent KACE SMA sur les périphériques Linux Exécution d'opérations de l'agent sur les périphériques Linux Déploiement ou mise à niveau manuelle de l'agent KACE SMA sur les périphériques Mac Exécution d'autres tâches de l'agent sur les périphériques Mac Affichage des informations collectées par l'agent
Utilisation de la gestion sans agent Ajout manuel de périphériques dans la Console d'administration ou à l'aide de l'API Application forcée des mises à jour de l'inventaire Gestion des périphériques introuvables Obtention d'informations de garantie Dell
Gestion des applications dans la page Logiciels Gestion de l'inventaire du catalogue de logiciels
À propos du catalogue de logiciels Affichage des informations du catalogue de logiciels Ajout d'applications au catalogue de logiciels Gestion des actifs de licence pour les applications du catalogue de logiciels Association d'installations gérées à un logiciel catalogué Application de la mesure de l'utilisation des logiciels Utilisation de la fonction de contrôle des applications Mettre à jour ou réinstaller le catalogue de logiciels
Gestion de l'inventaire de processus, de programmes de démarrage et de services Rédaction des règles d'inventaire personnalisé
Déploiement de packages sur des périphériques infogérés
Distribution de logiciels et utilisation de la fonction Wake-on-LAN
À propos de la distribution des logiciels Suivi des modifications apportées aux paramètres de distribution Types de packages de distribution Distribution de packages à partir de l'appliance Distribution des packages à partir d'autres emplacements de téléchargement et des partages de réplication Distribution d'applications sur des périphériques Mac OS X Utilisation des installations infogérées Créer et utiliser des synchronisations de fichiers Utilisation de la fonction Wake-on-LAN Exportation d'installations infogérées
Envoi d'alertes à des périphériques infogérés Exécution de scripts sur des périphériques infogérés
À propos des scripts Suivi des modifications apportées aux paramètres de script À propos des scripts par défaut Ajout et modification de scripts Utilisation des commandes Exécuter et Exécuter maintenant À propos des modèles de stratégie de configuration Utilisation des stratégies de configuration Windows Utilisation de stratégies de configuration Mac OS X Modifier les stratégies et les scripts Effectuer une recherche dans les journaux de script Exportation de scripts
Gestion des profils Mac Utilisation des chaînes de tâches
Application de correctifs aux périphériques et gestion de la sécurité
À propos de la gestion des correctifs Abonnement à des correctifs et téléchargement de correctifs Création et gestion des calendriers d'exécution des correctifs
À propos de la programmation de correctifs de système d'exploitation critiques pour les ordinateurs de bureau et serveurs À propos de la programmation de correctifs critiques pour les ordinateurs portables À propos de la programmation de correctifs non critiques Configuration des calendriers d'exécution de correctifs Affichage des calendriers d'exécution des correctifs, de l'état des correctifs et des rapports d'application des correctifs Gestion de la restauration des correctifs
Gestion de l'inventaire des correctifs Gestion des périphériques et des mises à jour Dell Maintien de la sécurité des périphériques et de l'appliance
Vérification de la sécurité des périphériques
À propos des contrôles de sécurité OVAL Tests et définitions OVAL : de quoi s'agit-il? À propos de SCAP À propos des bancs d'essai Mode de fonctionnement d'une analyse SCAP Modification de la planification des analyses SCAP À propos des modèles de stratégie de sécurité Utilisation des modèles de stratégie de sécurité Windows Utilisation des modèles de stratégie de sécurité Mac Résolution des problèmes de sécurité Windows qui entravent le provisioning d'agent
Maintien de la sécurité de l'appliance
Utilisation des rapports et planifications des notifications Surveillance des serveurs
Prise en main des fonctions de surveillance des serveurs Utilisation des profils de surveillance Gestion de la surveillance des périphériques Utilisation des alertes
Utilisation du Service Desk
Configuration du Service Desk
Configuration requise À propos du Service Desk Vue d'ensemble des tâches de configuration Configuration des heures d'ouverture et des jours de fermeture du Service Desk Configuration des contrats de niveau de service Configuration des files d'attente des tickets du Service Desk Configuration des paramètres de tickets Personnalisation de la page d'accueil de l'Console utilisateur Utilisation de l'enquête de satisfaction Activer ou désactiver la sécurité pour les pièces jointes du Service Desk
Utilisation du tableau de bord du Service Desk Gestion des tickets, processus et rapports du Service Desk
Présentation du cycle de vie d'un ticket du Service Desk Création de tickets à partir de la Console d'administration et de la Console utilisateur Création et gestion des tickets par e-mail Consultation de tickets et gestion des commentaires, du traitement et des pièces jointes Fusion de tickets Utilisation du processus de remontée de tickets Utilisation des processus du Service Desk Application des Règles d'utilisation des tickets Exécuter des rapports portant sur le Service Desk Archivage, restauration et suppression des tickets Gestion de la suppression des tickets
Gestion des files d'attente de tickets du Service Desk À propos des téléchargements de l'utilisateur et des articles de la Base de connaissances Personnalisation des paramètres des tickets du Service Desk Configuration des serveurs de messagerie SMTP
Maintenance et résolution des problèmes
Maintenance de l'appliance Résolution des problèmes liés à l'appliance KACE SMA
Annexes Glossaire Qui nous sommes Mentions légales

Analyses SCAP via l'appliance KACE SMA

À propos de SCAP

Le protocole SCAP est un ensemble de standards ouverts qui répertorient les failles logicielles, analysent les noms des produits et les configurations en termes de sécurité, examinent les systèmes pour y déceler d'éventuelles vulnérabilités et classent les problèmes de sécurité détectés selon leur impact sur les périphériques Windows (en leur attribuant un score).

Le protocole SCAP est géré par le National Institute of Standards and Technology (NIST) et son utilisation est mandatée par des agences gouvernementales telles que le Bureau américain de la gestion et du budget (OMB).

Le protocole SCAP a recours à la National Vulnerability Database (NVD), le référentiel standard des données de gestion des vulnérabilités mis au point par le gouvernement des États-Unis. Il repose sur des bases de données des listes de contrôle de sécurité, des failles de sécurité logicielles, des problèmes de configuration, des noms de produits et des mesures d'impact. Pour plus d'informations sur le protocole SCAP et la base de données NVD, consultez les sites Web du NIST aux adresses suivantes : http://scap.nist.gov/index.html et http://nvd.nist.gov/.

Versions de SCAP prises en charge et plates-formes compatibles

L'appliance KACE SMA prend en charge les versions 1.0, 1.1 et 1.2 de SCAP, et le fonctionnement de SCAP est certifié pour Windows 7 (32 bits et 64 bits) et plates-formes supérieures.

L'appliance KACE SMA procède à des analyses SCAP à l'aide de l'agent KACE SMA installé sur les périphériques gérés. Il est impossible d'utiliser SCAP sur les périphériques où l'agent KACE SMA n'est pas installé, tels que les périphériques sans agent.

Analyses SCAP via l'appliance KACE SMA

L'appliance KACE SMA procède à des analyses SCAP en exécutant des scripts sur les périphériques gérés par l'agent sélectionnés à l'aide de listes de contrôle de configuration de la sécurité à partir de la logithèque National Checklist Program Repository.

Pour SCAP versions 1.0 et 1.1, le script vérifie le flux de données SCAP écrit au format XML à l'aide des standards SCAP suivants : CCE, CPE, CVE, CVSS, OVAL et XCCDF. Voir Définitions des standards SCAP.

SCAP 1.2 ajoute le concept de « flux de données » selon lequel tous les résultats individuels sont regroupés dans un fichier XML unique. Par ailleurs, SCAP 1.2 ajoute un nouveau format de sortie nommé ARF (Asset Report Format 1.1). Pour plus d'informations, rendez-vous sur http://scap.nist.gov/specifications/arf/.

L'appliance KACE SMA utilise le logiciel de l'agent pour vérifier la conformité au moyen d'analyses SCAP. Les fichiers de résultats sont ensuite chargés dans la base de données de l'appliance ou de l'organisation et fusionnés dans un seul fichier, qui peut être fourni aux organismes publics en guise de rapport (le cas échéant). Les résultats s'affichent également pour chaque périphérique sur la page Résultats de l'analyse SCAP de l'appliance.

Si le composant Organisation est activé sur votre appliance, vous pouvez afficher les résultats de l'analyse SCAP pour chacune des organisations séparément.

SCAP utilise l'interpréteur OVAL version 5.10.1 et fournit :

Ces fonctionnalités ont non seulement pour fonction de renforcer la sécurité logicielle, mais aussi de répondre aux menaces et de remédier aux vulnérabilités des systèmes.

Définitions des standards SCAP

Les analyses SCAP surveillent la sécurité des périphériques à l'aide de protocoles et de standards spécifiés.

Standard

Définition

CCE

CCE est l'acronyme de « Common Configuration Enumeration ». Cette liste attribue des identificateurs uniques aux problèmes de configuration système afin de simplifier la corrélation rapide et précise entre les données de configuration à travers les multiples outils et sources d'informations.

Les résultats des contrôles de conformité produits par l'analyse SCAP de l'appliance KACE SMA comprennent les références des identificateurs CCE correspondant aux définitions XCCDF et OVAL de chaque règle vérifiée selon les indications de la définition de la liste de contrôle.

Les informations CCE sont accessibles dans le fichier de résultats XCCDF et dans la page Résultats de l'analyse SCAP de l'appliance.

CPE

Acronyme de « Common Platform Enumeration », CPE est un schéma d'appellation structuré pour les systèmes, les plates-formes et les packages de technologie de l'information. Basé sur la syntaxe générique des identificateurs URI (Uniform Resource Identifier), CPE inclut un format de nom formel, un langage de description des plates-formes complexes, une méthode de vérification des noms par rapport à un système et un format de description des liaisons entre du texte et des tests et un nom. En substance, CPE garantit que la liste de contrôle de sécurité est appliquée à la plate-forme appropriée.

Ces informations sont accessibles dans le fichier de résultats XCCDF et dans la page Résultats de l'analyse SCAP de l'appliance.

CVE

La liste CVE (Common Vulnerability and Exposures) est une liste comparable à un dictionnaire qui répertorie les identificateurs standard (noms courants) des vulnérabilités et des failles logicielles connues.

Les résultats des contrôles de conformité produits par l'analyse SCAP de l'appliance KACE SMA comportent les références des identificateurs CVE et les définitions OVAL de chaque règle vérifiée dans la définition de la liste de contrôle.

Pour chaque correctif ou vulnérabilité, les références aux identificateurs CVE sont indiquées sur la page Résultats de l'analyse SCAP de l'appliance.

Les informations relatives à CVE sont enregistrées dans un fichier XML de résultats des correctifs généré par l'analyse. Ce fichier est conservé dans le répertoire de travail de l'agent et sur la page Résultats de l'analyse SCAP à des fins de consultation et de vérification.

CVSS

La structure CVSS (Common Vulnerability Scoring System) est une structure ouverte qui permet de communiquer les caractéristiques et l'impact des vulnérabilités informatiques. Son modèle quantitatif garantit la précision de chaque mesure tout en permettant aux utilisateurs de connaître les caractéristiques des vulnérabilités sous-jacentes utilisées pour générer les scores. CVSS convient particulièrement aux entreprises commerciales et non commerciales, ainsi qu'aux administrations qui souhaitent obtenir des scores précis et cohérents de l'impact des vulnérabilités. CVSS permet entre autres d'établir des priorités entre les activités de correction des vulnérabilités et de calculer la gravité des vulnérabilités. La base de données NVD (National Vulnerability Database) fournit les scores CVSS de la plupart des vulnérabilités connues.

OVAL

Acronyme de « Open Vulnerability and Assessment Language », OVAL est un standard communautaire international de sécurité des informations pour la promotion du contenu de sécurité ouvert et accessible publiquement. Il normalise le transfert de ces informations à travers l'ensemble des services et outils de sécurité.

Les résultats de chaque test OVAL sont consignés dans plusieurs fichiers sur le périphérique cible, puis compilés dans un seul fichier de résultats sur l'appliance et affichés sur la page Résultats de l'analyse SCAP.

SCAP

Le protocole SCAP (Secure Content Automation Protocol) est un ensemble de standards ouverts qui répertorient les failles logicielles, analysent les noms des produits et les configurations en lien avec la sécurité, examinent les périphériques pour y déceler d'éventuelles vulnérabilités et classent les problèmes de sécurité détectés selon leur impact (en leur attribuant un score). Voir À propos de SCAP.

XCCDF

Le format XCCDF (eXtensible Configuration Checklist Description Format) est un langage de spécification régissant l'écriture des listes de contrôle de sécurité, des bancs d'essai et des documents associés. Tout fichier XCCDF contient un ensemble structuré de règles de configuration de sécurité applicables à un groupe de périphériques cibles. La spécification est conçue pour prendre en charge les échanges d'informations, la génération de documents, la personnalisation selon l'organisation ou la situation, les tests de conformité automatisés et les scores de conformité. Voir Mode de fonctionnement d'une analyse SCAP.

Définitions des standards SCAP

À propos de SCAP

Le protocole SCAP est un ensemble de standards ouverts qui répertorient les failles logicielles, analysent les noms des produits et les configurations en termes de sécurité, examinent les systèmes pour y déceler d'éventuelles vulnérabilités et classent les problèmes de sécurité détectés selon leur impact sur les périphériques Windows (en leur attribuant un score).

Le protocole SCAP est géré par le National Institute of Standards and Technology (NIST) et son utilisation est mandatée par des agences gouvernementales telles que le Bureau américain de la gestion et du budget (OMB).

Le protocole SCAP a recours à la National Vulnerability Database (NVD), le référentiel standard des données de gestion des vulnérabilités mis au point par le gouvernement des États-Unis. Il repose sur des bases de données des listes de contrôle de sécurité, des failles de sécurité logicielles, des problèmes de configuration, des noms de produits et des mesures d'impact. Pour plus d'informations sur le protocole SCAP et la base de données NVD, consultez les sites Web du NIST aux adresses suivantes : http://scap.nist.gov/index.html et http://nvd.nist.gov/.

Versions de SCAP prises en charge et plates-formes compatibles

L'appliance KACE SMA prend en charge les versions 1.0, 1.1 et 1.2 de SCAP, et le fonctionnement de SCAP est certifié pour Windows 7 (32 bits et 64 bits) et plates-formes supérieures.

L'appliance KACE SMA procède à des analyses SCAP à l'aide de l'agent KACE SMA installé sur les périphériques gérés. Il est impossible d'utiliser SCAP sur les périphériques où l'agent KACE SMA n'est pas installé, tels que les périphériques sans agent.

Analyses SCAP via l'appliance KACE SMA

L'appliance KACE SMA procède à des analyses SCAP en exécutant des scripts sur les périphériques gérés par l'agent sélectionnés à l'aide de listes de contrôle de configuration de la sécurité à partir de la logithèque National Checklist Program Repository.

Pour SCAP versions 1.0 et 1.1, le script vérifie le flux de données SCAP écrit au format XML à l'aide des standards SCAP suivants : CCE, CPE, CVE, CVSS, OVAL et XCCDF. Voir Définitions des standards SCAP.

SCAP 1.2 ajoute le concept de « flux de données » selon lequel tous les résultats individuels sont regroupés dans un fichier XML unique. Par ailleurs, SCAP 1.2 ajoute un nouveau format de sortie nommé ARF (Asset Report Format 1.1). Pour plus d'informations, rendez-vous sur http://scap.nist.gov/specifications/arf/.

L'appliance KACE SMA utilise le logiciel de l'agent pour vérifier la conformité au moyen d'analyses SCAP. Les fichiers de résultats sont ensuite chargés dans la base de données de l'appliance ou de l'organisation et fusionnés dans un seul fichier, qui peut être fourni aux organismes publics en guise de rapport (le cas échéant). Les résultats s'affichent également pour chaque périphérique sur la page Résultats de l'analyse SCAP de l'appliance.

Si le composant Organisation est activé sur votre appliance, vous pouvez afficher les résultats de l'analyse SCAP pour chacune des organisations séparément.

SCAP utilise l'interpréteur OVAL version 5.10.1 et fournit :

Ces fonctionnalités ont non seulement pour fonction de renforcer la sécurité logicielle, mais aussi de répondre aux menaces et de remédier aux vulnérabilités des systèmes.

Définitions des standards SCAP

Les analyses SCAP surveillent la sécurité des périphériques à l'aide de protocoles et de standards spécifiés.

Standard

Définition

CCE

CCE est l'acronyme de « Common Configuration Enumeration ». Cette liste attribue des identificateurs uniques aux problèmes de configuration système afin de simplifier la corrélation rapide et précise entre les données de configuration à travers les multiples outils et sources d'informations.

Les résultats des contrôles de conformité produits par l'analyse SCAP de l'appliance KACE SMA comprennent les références des identificateurs CCE correspondant aux définitions XCCDF et OVAL de chaque règle vérifiée selon les indications de la définition de la liste de contrôle.

Les informations CCE sont accessibles dans le fichier de résultats XCCDF et dans la page Résultats de l'analyse SCAP de l'appliance.

CPE

Acronyme de « Common Platform Enumeration », CPE est un schéma d'appellation structuré pour les systèmes, les plates-formes et les packages de technologie de l'information. Basé sur la syntaxe générique des identificateurs URI (Uniform Resource Identifier), CPE inclut un format de nom formel, un langage de description des plates-formes complexes, une méthode de vérification des noms par rapport à un système et un format de description des liaisons entre du texte et des tests et un nom. En substance, CPE garantit que la liste de contrôle de sécurité est appliquée à la plate-forme appropriée.

Ces informations sont accessibles dans le fichier de résultats XCCDF et dans la page Résultats de l'analyse SCAP de l'appliance.

CVE

La liste CVE (Common Vulnerability and Exposures) est une liste comparable à un dictionnaire qui répertorie les identificateurs standard (noms courants) des vulnérabilités et des failles logicielles connues.

Les résultats des contrôles de conformité produits par l'analyse SCAP de l'appliance KACE SMA comportent les références des identificateurs CVE et les définitions OVAL de chaque règle vérifiée dans la définition de la liste de contrôle.

Pour chaque correctif ou vulnérabilité, les références aux identificateurs CVE sont indiquées sur la page Résultats de l'analyse SCAP de l'appliance.

Les informations relatives à CVE sont enregistrées dans un fichier XML de résultats des correctifs généré par l'analyse. Ce fichier est conservé dans le répertoire de travail de l'agent et sur la page Résultats de l'analyse SCAP à des fins de consultation et de vérification.

CVSS

La structure CVSS (Common Vulnerability Scoring System) est une structure ouverte qui permet de communiquer les caractéristiques et l'impact des vulnérabilités informatiques. Son modèle quantitatif garantit la précision de chaque mesure tout en permettant aux utilisateurs de connaître les caractéristiques des vulnérabilités sous-jacentes utilisées pour générer les scores. CVSS convient particulièrement aux entreprises commerciales et non commerciales, ainsi qu'aux administrations qui souhaitent obtenir des scores précis et cohérents de l'impact des vulnérabilités. CVSS permet entre autres d'établir des priorités entre les activités de correction des vulnérabilités et de calculer la gravité des vulnérabilités. La base de données NVD (National Vulnerability Database) fournit les scores CVSS de la plupart des vulnérabilités connues.

OVAL

Acronyme de « Open Vulnerability and Assessment Language », OVAL est un standard communautaire international de sécurité des informations pour la promotion du contenu de sécurité ouvert et accessible publiquement. Il normalise le transfert de ces informations à travers l'ensemble des services et outils de sécurité.

Les résultats de chaque test OVAL sont consignés dans plusieurs fichiers sur le périphérique cible, puis compilés dans un seul fichier de résultats sur l'appliance et affichés sur la page Résultats de l'analyse SCAP.

SCAP

Le protocole SCAP (Secure Content Automation Protocol) est un ensemble de standards ouverts qui répertorient les failles logicielles, analysent les noms des produits et les configurations en lien avec la sécurité, examinent les périphériques pour y déceler d'éventuelles vulnérabilités et classent les problèmes de sécurité détectés selon leur impact (en leur attribuant un score). Voir À propos de SCAP.

XCCDF

Le format XCCDF (eXtensible Configuration Checklist Description Format) est un langage de spécification régissant l'écriture des listes de contrôle de sécurité, des bancs d'essai et des documents associés. Tout fichier XCCDF contient un ensemble structuré de règles de configuration de sécurité applicables à un groupe de périphériques cibles. La spécification est conçue pour prendre en charge les échanges d'informations, la génération de documents, la personnalisation selon l'organisation ou la situation, les tests de conformité automatisés et les scores de conformité. Voir Mode de fonctionnement d'une analyse SCAP.

À propos des bancs d'essai

À propos des bancs d'essai

Un banc d'essai SCAP est une liste de contrôle de configuration de la sécurité qui contient un ensemble de règles permettant d'évaluer les vulnérabilités d'un périphérique dans un environnement opérationnel spécifique.

Le National Institute of Standards and Technology (NIST) gère le référentiel National Checklist Repository qui renferme diverses listes de contrôle de configuration de la sécurité relatives à des produits informatiques et à des catégories de produits informatiques spécifiques.

La norme de référence USGCB (United States Government Configuration Baseline) est issue de la norme FDCC (Federal Desktop Core Configuration), et porte actuellement sur Windows 7 (et les versions antérieures de Windows telles que Windows XP ou Windows Vista), et Internet Explorer versions 7 et 8.

Une liste de contrôle est un fichier ZIP regroupant plusieurs fichiers XML désignés sous le nom de flux de données SCAP. Le fichier principal du flux de données est le fichier XCCDF. Le fichier XCCDF est un ensemble structuré de règles de configuration de sécurité applicables à un groupe de périphériques cibles. Il s'agit essentiellement d'une liste de tests OVAL à exécuter. Les autres fichiers XML contiennent les tests OVAL spécifiés dans le fichier XCCDF. Pour obtenir des informations détaillées sur la spécification XCCDF, voir http://scap.nist.gov/specifications/xccdf/.

Un banc d'essai peut être composé d'un ou de plusieurs profils. Un profil définit les règles exécutées sur des types de périphériques spécifiques. Un banc d'essai peut contenir, par exemple, un jeu de règles destiné aux ordinateurs de bureau et un autre jeu de règles destiné aux serveurs.

Mode de fonctionnement d'une analyse SCAP

Mode de fonctionnement d'une analyse SCAP

Avant de procéder à des analyses SCAP, l'appliance KACE SMA importe et vérifie un banc d'essai. À l'issue de l'importation et de la vérification, le banc d'essai est chargé sur le serveur et le fichier XCCDF passe par un processus appelé résolution.

C'est au cours de ce processus que le fichier oval-command.zip est généré. Ce fichier ZIP contient les fichiers d'entrée nécessaires à l'exécution d'un profil particulier. Vous pouvez consulter les fichiers sur la page Détails sur le script. Voir Configurer des planifications SCAP.

L'analyse SCAP est supervisée par un KScript. Lors de l'exécution de l'analyse, les fichiers suivants sont téléchargés sur le périphérique cible en tant que dépendances de script :

benchmark.zip : contient les fichiers du banc d'essai, à savoir le flux de données SCAP transféré sur l'appliance. (Le fichier XCCDF n'est, en fait, pas utilisé par le périphérique.)
oval-command.zip : contient les fichiers d'entrée générés par le XCCDF.
ovalref.zip : contient le moteur d'analyse OVAL (ovaldi.exe).

Le KScript lance les analyses OVAL sur le périphérique cible et génère plusieurs fichiers de résultats. Le moteur d'analyse OVAL s'exécute à deux ou trois reprises :

Chaque exécution génère un fichier de résultats. Ces fichiers sont nommés en fonction de l'exécution. Par exemple, le fichier issu de la première exécution est nommé scap-profile-10-result-1.xml et le second scap-profile-10-result-2.xml. Ces fichiers se trouvent dans le répertoire suivant : C:\Documents and Settings\All Users\Quest\KACE\kbots_cache\packages\kbots\<répertoire de travail>.

Pour trouver le répertoire de travail de l'agent KACE SMA, accédez à Inventaire > Périphériques > Détails sur le périphérique > Journaux.

Ces fichiers sont ensuite transférés sur l'appliance KACE SMA et fusionnés dans un seul fichier de résultats (xccdf-results.xml). Vous pouvez fournir ce fichier, en guise de rapport, à un organisme public tel que le Ministère du Budget. L'appliance KACE SMA et le périphérique géré conservent uniquement les derniers fichiers de résultats.

Au cours de l'étape finale d'une exécution, un sous-ensemble de fichiers de résultats est extrait et stocké dans la base de données de l'organisation, puis affiché sur la page Résultats de l'analyse SCAP pour chaque périphérique.

Les tables de la base de données réservées à ces informations sont SCAP_RESULT, SCAP_RESULT_RULE et SCAP_RESULT_SCORE. Voir Affichage des résultats de l'analyse SCAP.

Accès aux données d'analyse SCAP

Vous pouvez accéder aux données d'analyse SCAP dans la section Sécurité.

1.
Accédez à la page Analyse SCAP :
a.
Connectez-vous à la Console d’administration de l’appliance KACE SMA : https://KACE_SMA_hostname/admin. Ou bien, si l'option Afficher le menu de l'organisation dans l'en-tête d'administrateur est activée dans les Paramètres généraux de l'appliance, sélectionnez une organisation dans la liste déroulante située en haut à droite de la page, à côté des informations de connexion.
b.
Dans la barre de navigation de gauche, cliquez sur Sécurité, puis sur Analyse SCAP.
Catalogue : affiche l'état des bancs d'essai SCAP. Cette page permet également d'importer ou de supprimer des listes de contrôle ou de les exporter au format CSV.
Planifications : affiche le nom des bancs d'essai et leur calendrier d'exécution. Cette page permet également d'ajouter ou de supprimer des bancs d'essai, de les activer ou de les désactiver ou bien encore d'exporter un banc d'essai au format CSV.
Rapports : présente les résultats généraux des analyses SCAP.

Cette page propose également un tableau de bord qui récapitule les résultats par banc d'essai. Pour qu'un périphérique passe un banc d'essai avec réussite, il doit obtenir un score de 100 %.

Afficher et gérer les bancs d'essai

Vous pouvez afficher et gérer des bancs d'essai, qui incluent des profils et des listes de contrôle importés dans l'appliance.

Vous pouvez également importer ou supprimer des bancs d'essai ou encore exporter des bancs d'essai au format CSV en sélectionnant Choisir une action sur la page Catalogue SCAP.

1.
Accédez à la liste Catalogue SCAP :
a.
Connectez-vous à la Console d’administration de l’appliance KACE SMA : https://KACE_SMA_hostname/admin. Ou bien, si l'option Afficher le menu de l'organisation dans l'en-tête d'administrateur est activée dans les Paramètres généraux de l'appliance, sélectionnez une organisation dans la liste déroulante située en haut à droite de la page, à côté des informations de connexion.
b.
Dans la barre de navigation de gauche, cliquez sur Sécurité, puis sur Analyse SCAP.
c.
Dans le panneau Analyse SCAP, cliquez sur Catalogue.
2.
Facultatif : choisissez les bancs d'essai qui vous intéressent à l'aide de la liste déroulante Afficher par ou du champ Rechercher.
3.
Facultatif : pour trier les bancs d'essai, cliquez sur un en-tête de colonne.

Le Catalogue SCAP contient des informations générales sur le banc d'essai sélectionné et sur l'heure et la date auxquelles les données SCAP ont été téléchargées sur l'appliance. Voir Télécharger des bancs d'essai à partir de l'archive.

Importer et modifier les bancs d'essai

Vous pouvez importer et modifier des bancs d'essai à partir du référentiel National Checklist Repository selon vos besoins.

1.
Accédez à la liste Catalogue SCAP :
a.
Connectez-vous à la Console d’administration de l’appliance KACE SMA : https://KACE_SMA_hostname/admin. Ou bien, si l'option Afficher le menu de l'organisation dans l'en-tête d'administrateur est activée dans les Paramètres généraux de l'appliance, sélectionnez une organisation dans la liste déroulante située en haut à droite de la page, à côté des informations de connexion.
b.
Dans la barre de navigation de gauche, cliquez sur Sécurité, puis sur Analyse SCAP.
c.
Dans le panneau Analyse SCAP, cliquez sur Catalogue.
2.
Sélectionnez Choisir une action > Importer de nouvelles listes de contrôle.
La page Paramètres d'analyse de la configuration SCAP qui s'affiche correspond à l'Étape 1 de l'assistant d'importation.
3.
4.
Cliquez sur Suivant.
5.
Sélectionnez un banc d'essai dans la liste déroulante Choisir un profil à analyser, puis cliquez sur Suivant.
REMARQUE: le moteur par défaut est l'interpréteur OVAL de MITRE (ovaldi.exe). L'appliance KACE SMA télécharge automatiquement les mises à jour vers ce moteur lorsque Quest certifie et publie des nouvelles versions du moteur et des définitions OVAL.
7.
Facultatif : cliquez sur Parcourir ou Sélectionner un fichier pour rechercher et télécharger un moteur personnalisé et ses fichiers de configuration.
La boîte de dialogue qui s'ouvre signale que le téléchargement du fichier a commencé et un message apparaît dans la page Paramètres d'analyse de la configuration SCAP pour confirmer l'importation du moteur.
CONSEIL: utilisez un moteur personnalisé pour garder le contrôle du moteur OVAL ou éviter qu'il soit modifié par des mises à jour automatiques. Il doit s'agir d'un fichier ZIP d'un dossier contenant l'interpréteur ovaldi.exe personnalisé et les fichiers de configuration nécessaires pour exécuter le moteur. Ce fichier ZIP remplace le fichier de dépendance ovalref.zip dans le script d'analyse SCAP. Voir Affichage des fichiers XCCDF résolus.
8.
Cliquez sur Suivant.

La boîte de dialogue qui s'ouvre indique que le fichier du banc d'essai est en cours de chargement ; apparaît ensuite la page Détails sur le script. Voir Modification de la planification des analyses SCAP.

Configurer des planifications SCAP

Vous pouvez importer des bancs d'essai ou des définitions, et modifier les paramètres des analyses SCAP, en configurant des planifications SCAP.

1.
Accédez à la page Planifications des analyses SCAP :
a.
Connectez-vous à la Console d’administration de l’appliance KACE SMA : https://KACE_SMA_hostname/admin. Ou bien, si l'option Afficher le menu de l'organisation dans l'en-tête d'administrateur est activée dans les Paramètres généraux de l'appliance, sélectionnez une organisation dans la liste déroulante située en haut à droite de la page, à côté des informations de connexion.
b.
Dans la barre de navigation de gauche, cliquez sur Sécurité, puis sur Analyse SCAP.
c.
Dans le panneau Analyse SCAP, cliquez sur Planifications.
2.
Sélectionnez Choisir une action et sélectionnez une option pour ajouter, supprimer, activer ou désactiver des bancs d'essai ou bien encore exporter un banc d'essai au format CSV.
4.
Faites défiler la page vers le bas jusqu'à la section Planification et apportez les modifications nécessaires.
Related Documents