Реализация соответствия стандартам FDCC

LANDesk Security Suite теперь обеспечивает расширенную поддержку сканирования безопасности и устранения нарушений для инициативы Federal Desktop Core Configuration (FDCC). В итоге продукты, входящие в программное обеспечение LANDesk, были официально сертифицированы Национальным институтом стандартов и технологий США (National Institute of Standards and Technology, NIST) как соответствующие стандартам автоматизации управления данными безопасности (Security Content Automation Protocol, SCAP) и внесены в список утвержденных продуктов на web-сайте Национальной базы данных уязвимостей США (National Vulnerability Database, NVD).

Чтобы реализовать соответствие стандартам FDCC в сетевой среде вашей организации, применяйте утилиты и возможности службы исправлений и проверки соответствия для выполнения базовых задач сканирования безопасности и устранения нарушений с использованием сертифицированных FDCC данных безопасности (то есть определений уязвимостей). Благодаря подписке на данные безопасности, в которую входят эти публикуемые LANDesk и сертифицированные FDCC данные безопасности, вы можете: обнаружить и установить приложение сканера безопасности FDCC; проверять соответствие требованиям FDCC к безопасности; выполнять сканирование уязвимостей и устранение нарушений в соответствии со стандартами FDCC. Тем самым вы обеспечиваете соответствие управляемых устройств (клиентов) стандартам и требованиям FDCC.

В этой главе вы изучите следующее:

Утвержденные возможности SCAP

Для продукта LANDesk Security Suite были утверждены следующие возможности сканирования уязвимостей, управления исправлениями и устранения нарушений (в соответствии с определениями NIST):

Поддерживаемые платформы устройств

Сертифицированное FDCC сканирование и устранение уязвимостей поддерживается следующими платформами управляемых устройств (клиентами):

Загрузка сертифицированных FDCC данных безопасности

В этом разделе содержатся пошаговые инструкции для загрузки данных безопасности, сертифицированных FDCC.

ВАЖНО: Помните, что для загрузки каких-либо данных безопасности вам необходима подписка на данные. В данном случае необходима подписка на данные безопасности LANDesk, которые включают данные FDCC.

Для загрузки данных безопасности FDCC выполните следующие действия:
  1. На консоли щелкните Сервис > Безопасность > Исправления и проверка соответствия (Tools > Security > Patch and Compliance).
  2. На панели инструментов нажмите кнопку Загрузить обновления (Download updates).
  3. Выберите сайт-источник обновления из списка доступных серверов данных.
  4. Выберите типы определений, данные безопасности которых хотите обновить. В данном случае выберите Federal Desktop Core Configuration в списке типов определений. В зависимости от подписки на данные LANDesk Security Suite вы можете выбрать один или несколько типов. Чем больше типов выбрано, тем дольше выполняется обновление.
  5. Выберите языки, данные которых хотите обновить для указанных типов. В данном случае выберите Английский (English).
  6. Если вы хотите, чтобы новые данные (данные, которых еще нет ни в одной из групп) автоматически помещались в группу "Не назначено" (Unassigned), а не в расположение по умолчанию, которым является группа "Сканировать" (Scan), установите флажок Поместить новые определения в группу "Не назначено" (Put new definitions in the Unassigned group).
  7. Если вы хотите, чтобы автоматически загружались связанные исполняемые файлы исправлений, установите флажок Загрузить исправления (Download patches), затем щелкните один из параметров загрузки. (ПРИМЕЧАНИЕ. Исправления загружаются в расположение, указанное на странице "Расположение исправлений" (Patch Location) в диалоговом окне загрузки обновлений.)
  8. Если в вашей сети используется прокси-сервер для передачи внешней информации в Интернет (что требуется для обновления данных безопасности и загрузки исправлений), щелкните Настройки прокси (Proxy Settings) и укажите адрес сервера, номер порта и учетные данные для аутентификации, если для доступа к прокси-серверу необходимо выполнить вход в систему.
  9. В любое время можно нажать кнопку Применить (Apply) для сохранения настроек.
  10. Щелкните Обновить сейчас (Update Now), чтобы выполнить обновление данных безопасности. В диалоговом окне обновления определений отображается текущая операция и ее состояние.
  11. Когда обновление завершится, нажмите кнопку Закрыть (Close). Имейте в виду, что если нажать кнопку Отмена (Cancel) до завершения обновления, в базу данных загрузятся только те данные безопасности, которые были обработаны до этого момента. Чтобы получить все остальные данные безопасности, вам снова придется выполнить обновление.

После загрузки данных FDCC вы можете просматривать данные и управлять ими, выполняя сканирование с проверкой соответствия и устранение нарушений.

Просмотр загруженных данных безопасности FDCC

Данные FDCC загружаются на главный сервер, и в родительском объекте стандартных групп создается новая группа "Federal Desktop Core Configuration", содержащая подгруппы для поддерживаемых платформ ОС (Windows Vista и Windows XP) и проверок конкретных компонентов. Подгруппы проверок компонентов включают:

Загруженные определения уязвимостей FDCC классифицируются как угрозы безопасности. Для просмотра определений необходимо выбрать Угрозы безопасности (Security Threats) или Все типы (All Types) в раскрывающемся списке типов.

Установка сканера безопасности FDCC

В этом разделе процесс выполнения проверки управляемых устройств (клиентов) для агента или приложения сканера безопасности FDCC и процесс установки сканера (при необходимости).

Теперь, после загрузки сертифицированных FDCC данных безопасности, необходимо установить приложение сканера FDCC на управляемых устройствах, прежде чем настраивать и выполнять сканирование для оценки уязвимостей FDCC.

Чтобы установить сканер FDCC на клиентах, создайте запланированную задачу для сканирования и исправления определения уязвимости FDCC-SCANNER-INSTALL. Это определение можно найти в подгруппе "(Действие 1) Установка сканера" ((Step 1) Install Scanner) в группе "Federal Desktop Core Configuration". Это определение угрозы безопасности проверяет, требуется ли установка сканера FDCC на целевых клиентах. Если приложение сканера FDCC не найдено на клиенте, в качестве исправления выполняется установка необходимых каталогов и файлов. (ПРИМЕЧАНИЕ. Приложение сканера FDCC устанавливается в следующее расположение: \Program Files\LANDesk\LDClient\S-CAT.)

ВАЖНО: Для выполнения этих задач требуется разрешение группы LANDesk Script Writers. Для создания запланированных задач и политик в утилите исправлений и проверки соответствия и утилите конфигурации безопасности (для задач сканирования безопасности и проверки соответствия, задач исправления и задач изменения настроек) пользователю необходимо разрешение группы LANDesk Script Writers. Другими словами, он должен входить в группу, которой назначено разрешение LANDesk Script Writers. Для получения дополнительной информации о ролевом администрировании см. раздел, посвященный ролевому администрированию, в руководстве пользователя

Для создания запланированной задачи сканирования безопасности, которая устанавливает сканер FDCC, выполните следующие действия:
  1. На консоли щелкните Сервис > Безопасность > Исправления и проверка соответствия (Tools > Security > Patch and Compliance).
  2. Убедитесь, что данные безопасности FDCC изменены недавно.
  3. На панели инструментов нажмите кнопку Создать задачу (Create a task), затем щелкните Сканирование защиты (Security scan). Отображается диалоговое окно создания задачи сканирования безопасности.
  4. Введите название операции сканирования.
  5. Установите флажок Создать запланированную задачу (Create a scheduled task).
  6. Чтобы создать настройки сканирования и исправления, в которых используется предварительно заданное определение угрозы безопасности FDCC-SCANNER-INSTALL, входящее в подгруппу установки сканера в качестве данных для сканирования безопасности, щелкните Настроить (Configure), затем перейдите на страницу Параметры сканирования (Scan options).
  7. Чтобы указать, что нужно сканировать, щелкните Группа (Group). Нажмите кнопку обзора и выберите подгруппу (Действие 1) Установка сканера ((Step 1) Install Scanner) в группе "Federal Desktop Core Configuration".
  8. На других страницах настроек сканирования и исправления укажите остальные параметры сканирования по желанию.
  9. Щелкните Сохранить (Save), чтобы сохранить настройки сканирования и исправления, применяемые к этой задаче сканирования.
  10. В диалоговом окне задачи сканирования безопасности нажмите кнопку ОК. Теперь для запланированной задачи сканирования можно добавить целевые устройства и настроить параметры планирования в утилите запланированных задач.

При выполнении сканирования с использованием определения этой угрозы безопасности все целевые устройства, на которых еще не установлен сканер FDCC, получат ненужные файлы приложения, как сказано ранее. Теперь вы готовы к выполнению проверки на соответствие FDCC и выполнению фактических сканирований данных FDCC и исправлений.

Проверка соответствия FDCC

В этом разделе содержится информация о выполнении сканирования безопасности на целевых устройствах, создающих отчет о соответствии FDCC.

После установки приложения сканера FDCC на управляемых устройствах вы можете создать и выполнить еще одну запланированную задачу сканирования, в которой используется определение угрозы безопасности ComplianceResultsFile. Это определение находится в подгруппе "(Действие 2) Файл результатов сканирования" ((Step 2) Results File Scan) в группе "Federal Desktop Core Configuration" и создает данные отчета FDCC. Если данные отчета не найдены на клиенте или они старше, чем число дней, указанных в пользовательской переменной, обнаруживается определение угрозы безопасности, означающее, что устройство не соответствует требованиям.

Чтобы создать задачу сканирования безопасности, которая проверяет наличие данных отчета FDCC и создает эти данные, выполните те же действия, что указаны в описанной выше процедуре Для создания запланированной задачи сканирования безопасности, но в настройках сканирования и исправления выберите подгруппу "(Действие 2) Файл результатов сканирования" ((Step 2) Results File Scan) в качестве группы для сканирования.

Выполнение сканирования безопасности по стандартам FDCC

В этом разделе рассказывается, как использовать сертифицированные FDCC данные безопасности (определения уязвимостей) для сканирования и устранения угроз безопасности на управляемых устройствах.

В каждой подгруппе FDCC содержатся угрозы безопасности (уязвимости) для каждого из следующих компонентов:

Используя эти определения уязвимостей, вы можете создавать запланированные задачи сканирования, которые проверяют состояние прохождения сканирования для каждой из областей безопасности FDCC. Эти угрозы безопасности (уязвимости) LANDesk покажут, какие данные обнаружены (то есть не прошли сканирование) на целевых устройствах.

Чтобы создать задачи сканирования безопасности, проверяющие данные безопасности FDCC для конкретных компонентов, выполните те же действия, что указаны в описанной выше процедуре Для создания запланированной задачи сканирования безопасности, но в настройках сканирования и исправления выберите подгруппу соответствующего компонента в качестве группы для сканирования.

Просмотр результатов сканирования безопасности по стандартам FDCC

Результаты сканирования безопасности по стандартам FDCC можно просматривать в утилите менеджера безопасности и исправлений или в окне информации менеджера безопасности и исправлений.

Если определение уязвимости не проходит сканирование, оно отображается как обнаруженное и помечается цифрой (1) в столбце "Обнаружено" (Detected). Если определение уязвимости проходит сканирование, оно помечается цифрой (0) в столбце "Обнаружено" (Detected).

ПРИМЕЧАНИЕ: Предоставляется также определение безопасности, которое сообщает обо всех компьютерах, не прошедших общую оценку, необходимую для соответствия стандартам конфигурации FDCC.