Управление данными безопасности и исправлениями

В этом разделе представлена информация о загрузке, просмотре и систематизации данных безопасности, загрузке исправлений и работе с ними, а также о создании и применении пользовательских определений.

ПРИМЕЧАНИЕ: Сканирование и исправление устройств
Информацию о выполнении сканирования системы безопасности и проверки соответствия на управляемых устройствах для всех типов угроз безопасности (таких как уязвимости ОС и приложений, обновления программного обеспечения, шпионские программы, проблемы конфигурации системы и т. д.), устранении нарушений на задействованных устройствах, а также о создании предупреждений безопасности, ведении журналов и отчетах см. в разделе Сканирование и исправление устройств.

В этой главе вы изучите следующее:

Управление данными безопасности

Работа с исправлениями

Применение пользовательских определений безопасности

Управление данными безопасности

Загрузка обновлений данных безопасности

В вашей сети и устройствах всегда можно найти уязвимые места для угроз безопасности и проблем из множества опасных источников: червей, вирусов, шпионских программ и обычных проблем типа обновлений программного обеспечения и исправлений. Периодически выпускаются исправления для устранения неизбежных уязвимостей операционной системы и приложений. Утилита исправлений и проверки соответствия помогает ускорить и упростить процесс сбора новейших определений типов данных безопасности, позволяя вам загружать данные через базу данных LANDesk. Службы LANDesk Security Suite собирают известные определения из надежных источников признанных производителей/поставщиков и отправляют вам достоверную информацию.

ПРИМЕЧАНИЕ: Служба исправлений и проверки соответствия поддерживает также пользовательские определения уязвимостей
В дополнение к известным уязвимостям вы также можете создавать собственные определения уязвимостей и ассоциированные с ними правила обнаружения. Для получения дополнительной информации см. раздел Создание пользовательских определений и правил обнаружения.

В процессе создания и обслуживания актуальных данных безопасности вы можете лучше понять сущность и протяженность угроз безопасности для каждой поддерживаемой платформы и приложения, определить значимые для вашей среды уязвимости и угрозы других типов, а также настроить задачи сканирования безопасности и устранения нарушений. Первым действием в этой стратегии управления безопасностью является загрузка текущего списка последних известных данных безопасности.

Использование функции загрузки обновлений

В диалоговом окне загрузки обновлений (щелкните Сервис > Безопасность > Исправления и проверка соответствия > Загрузить обновления (Tools > Security > Patch and Compliance > Download Updates)) можно настроить и выполнить обновление данных немедленно или создать запланированную задачу обновления, которая выполняется в заданное время или автоматически запускается через указанные периоды времени (см. раздел Планирование автоматических обновлений данных безопасности).

ВНИМАНИЕ: Только один пользователь LANDesk на определенном главном сервере (включая дополнительные консоли) может обновлять данные безопасности единовременно. Если пользователь пытается обновить данные в то время, когда процесс уже выполняется, появляется сообщение о наличии конфликта.

Для загрузки данных безопасности (и исправлений) выполните следующие действия:
  1. Щелкните Сервис > Безопасность > Исправления и проверка соответствия (Tools > Security > Patch and Compliance).
  2. На панели инструментов нажмите кнопку Загрузить обновления (Download updates).
  3. В списке доступных серверов данных выберите сайт-источник обновления.
  4. Выберите типы определений, для которых хотите обновить данные безопасности. В зависимости от подписки на данные LANDesk Security Suite вы можете выбрать один или несколько типов. Чем больше типов выбрано, тем дольше выполняется обновление.
  5. Выберите языки, данные которых хотите обновить для указанных типов.

    Некоторые уязвимости и другие типы определений, а также все ассоциированные с ними исправления, не имеют языковых настроек, а это означает, что они совместимы с любой языковой версией ОС или приложения, связанного с этим определением. Другим словами, нет необходимости в исправлении, предназначенном для обновления определений уязвимых мест для конкретного языка, поскольку исправление подходит для всех поддерживаемых языков. Например, для платформ Linux и UNIX используются только определения и исправления без языковых настроек. Однако определения уязвимостей и исправления для платформ Microsoft Windows и Apple Macintosh почти всегда имеют языковую специфику.

    При загрузке данных для какой-либо платформы (с соответствующей подпиской) все выбранные определения уязвимостей без языковых настроек обновляются автоматически по умолчанию. Если выбран тип данных Windows или Mac, необходимо также выбрать конкретные языки, для которых нужно обновить определения. Если выбрана платформа Sun Solaris или Linux, выбирать язык нет необходимости, поскольку данные для этих платформ не зависят от языка и обновляются автоматически.

  6. Если вы хотите, чтобы новые данные (данные, которых еще нет ни в одной из групп) автоматически помещались в группу "Не назначено" (Unassigned), а не в расположение по умолчанию, которым является группа "Сканировать" (Scan), установите флажок Поместить новые определения в группу "Не назначено" (Put new definitions in the Unassigned group).
  7. Если вы хотите, чтобы автоматически загружались связанные исполняемые файлы исправлений, установите флажок Загрузить исправления (Download patches), затем щелкните один из параметров загрузки. (ПРИМЕЧАНИЕ. Исправления загружаются в расположение, указанное на странице Расположение исправлений (Patch Location) диалогового окна загрузки обновлений.)

  1. Если в вашей сети используется прокси-сервер для передачи внешней информации в Интернет (что требуется для обновления данных безопасности и загрузки исправлений), щелкните Настройки прокси (Proxy Settings) и укажите адрес сервера, номер порта и учетные данные для аутентификации, если для доступа к прокси-серверу необходимо выполнить вход в систему.
  2. В любое время можно нажать кнопку Применить (Apply) для сохранения настроек.
  3. Щелкните Обновить сейчас (Update Now), чтобы выполнить обновление данных безопасности. Текущая операция и состояние отображаются в диалоговом окне Обновление определений (Updating Definitions) (см. ниже). (Чтобы создать запланированную задачу, щелкните Запланировать обновление (Schedule Update).)
  4. Когда обновление завершится, нажмите кнопку Закрыть (Close). Имейте в виду, что если нажать кнопку Отмена (Cancel) до завершения обновления, в базу данных загрузятся только те данные безопасности, которые были обработаны до этого момента. Чтобы получить все остальные данные безопасности, вам снова придется выполнить обновление.

ВНИМАНИЕ: Не закрывайте консоль, когда выполняется процесс обновления данных безопасности, иначе процесс будет прерван. Однако это правило не распространяется на запланированную задачу загрузки данных безопасности, которая завершит обработку даже в том случае, если закрыть консоль во время ее выполнения.

Конфигурация местоположения загрузки исправления
  1. В диалоговом окне Загрузить обновления (Download updates) перейдите на вкладку Расположение исправлений (Patch Location).
  2. Введите путь UNC, в который нужно скопировать файлы исправления. Расположение по умолчанию — каталог \LDLogon\Patch на главном сервере.
  3. Если введенный ранее путь UNC указывает на сервер, отличный от главного, введите верное имя пользователя и пароль для аутентификации в этом сервере.
  4. Введите web-адрес, по которому устройства могут обращаться к загруженным исправлениям для развертывания. Этот web-адрес должен соответствовать указанному выше пути UNC.
  5. Вы можете выбрать Настройки тестирования для проверки возможности подключения к указанному выше Web-адресу.
  6. Чтобы восстановить значения по умолчанию для пути UNC и web-адреса, щелкните Восстановить значения по умолчанию (Restore to Default). Расположение по умолчанию — каталог \LDLogon\Patch на главном сервере.

Планирование автоматических обновлений данных безопасности

Обновления данных безопасности можно также настроить в виде запланированной задачи, которая будет выполняться в заданное время или автоматически через указанные периоды времени. Для этого на панели инструментов нажмите кнопку Запланировать загрузку (Schedule download). В диалоговом окне Информация о запланированном обновлении (Scheduled update information) отображаются настройки для конкретной задачи. Нажмите кнопку ОК, чтобы создать задачу загрузки данных безопасности в окне запланированных задач, где вы можете задать параметры планирования.

ВАЖНО: Настройки для конкретной задачи и общие настройки
Имейте в виду, что при создании задачи сохраняются и ассоциируются с ней только типы определений, языки и настройки загрузки определений и исправлений. Эти три настройки считаются настройками для конкретной задачи. Все настройки на других страницах диалогового окна Загрузить обновления (Download updates) являются глобальными, то есть применяются ко всем последующим задачам загрузки данных безопасности. К глобальным настройкам относятся расположение загрузки исправлений, прокси-сервер, автоисправление для шпионских программ, предупреждения безопасности и антивирусные программы. Изменение глобальных настроек влияет на все задачи загрузки данных безопасности, начиная с момента изменения.

Просмотр и систематизация данных безопасности

После обновления данных безопасности с помощью службы LANDesk Security вы можете просматривать определения и правила обнаружения (для уязвимостей и пользовательских определений) только в соответствующих группах в окне утилиты исправлений и проверки соответствия.

С помощью раскрывающегося списка Тип (Type) можно просмотреть данные для конкретного типа определения или всех типов определений. Можно также использовать элемент управления Фильтр (Filter) для более точной настройки данных, которые нужно отобразить.

После загрузки данных безопасности вы можете перемещать элементы в группы различных состояний или копировать их в собственные группы. Для получения информации о работе с различными группами см. раздел Описание и использование окна утилиты исправлений и проверки соответствия.

Чтобы просмотреть также подробные свойства для каждого определения и правила обнаружения, щелкните правой кнопкой мыши элемент и выберите Свойства (Properties). С помощью этой информации вы можете решить, какие определения являются значимыми для поддерживаемых сетью платформ и приложений, как правила обнаружения проверяют наличие определений, какие исправления доступны, как настроить и выполнить исправление для задействованных устройств.

ПРИМЕЧАНИЕ: Пользовательские определения можно изменять
Если выбрать загруженное определение, полученное от поставщика, диалоговое окно его свойств первоначально открывается только для просмотра информации. Но если выбирается пользовательское определение или создается новое пользовательское определение, значения на странице и в полях диалогового окна свойств можно изменять, благодаря чему вы можете изменить определение и правила обнаружения.

Поиск уязвимостей по CVE-именам

LANDesk поддерживает стандарт именования CVE (Common Vulnerabilities and Exposures). С помощью утилиты исправлений и проверки соответствия вы можете искать уязвимости по их CVE-именам и просматривать информацию CVE для загруженных определений уязвимости.

Для получения дополнительной информации об именовании CVE, совместимости LANDesk со стандартом CVE и использовании идентификации CVE для поиска отдельных определений уязвимостей системы безопасности см. раздел Использование имен CVE.

Использование фильтров для настройки списков элементов

Список Фильтр (Filter) позволяет создавать и применять пользовательские фильтры отображения, которые определяют элементы, появляющиеся в правой части окна утилиты. Фильтры помогают регулировать большой объем данных безопасности. Данные можно фильтровать по операционной системе и важности.

Используя элемент управления Фильтр (Filter) в сочетании с элементом управления Тип (Type), можно отображать в точности те данные безопасности, которые вы хотите просмотреть.

Для создания нового фильтра отображения выполните следующие действия:
  1. В утилите исправлений и проверки соответствия щелкните раскрывающийся список Фильтр (Filter) и выберите Управление фильтрами (Manage filters).
  2. Щелкните Создать (New).
  3. Введите имя для нового фильтра.
  4. Чтобы отфильтровать данные по операционной системе, установите флажок Операционная система (Operating System), затем выберите нужные операционные системы.
  5. Чтобы задать фильтр по важности определения, установите флажок Важность (Severity), затем выберите нужные уровни важности. Щелкните OK.
Для применения фильтра к отображению группы данных выполните следующие действия:
  1. Щелкните группу данных в левой области окна.
  2. Щелкните раскрывающийся список Фильтр (Filter) и выберите фильтр в списке.

Очистка неиспользуемых определений данных безопасности

Неиспользуемые определения можно удалить из окна утилиты исправлений и проверки соответствия и главной базы данных, если вы считаете, что они не являются значимыми для вашей среды или информация утратила актуальность в результате успешного устранения нарушений.

При очистке определений удаляется также информация об ассоциированных правилах обнаружения из групп правил обнаружения в дереве. Однако сами файлы ассоциированных исправлений этот процесс не удаляет. Файлы исправлений должны быть удалены вручную из локального хранилища, которое обычно располагается в главном сервере.

Для очистки неиспользуемых определений выполните следующие действия:
  1. Щелкните Сервис > Безопасность > Исправления и проверка соответствия (Tools > Security > Patch and Compliance).
  2. На панели инструментов нажмите кнопку Очистить неиспользуемые определения (Purge unused definitions).
  3. Выберите платформы, для которых хотите удалить определения. Вы можете выбрать из списка одну или несколько платформ. Если определение связано с несколькими платформами, необходимо выбрать все ассоциированные платформы, чтобы удалить определение.
  4. Выберите языки, для которых хотите удалить определение (в зависимости от выбранной ранее платформы). Если выбрана платформа Windows или Macintosh, следует указать языки, определения для которых нужно удалить. Если выбрана платформа UNIX или Linux, необходимо выбрать параметр Независимо от языка (Language neutral), чтобы удалить соответствующие определения, не связанные с языковыми настройками.
  5. Щелкните Удалить (Remove).

Просмотр информации о безопасности для сканируемых устройств

Информацию для сканируемых устройств можно также просмотреть непосредственно в режиме просмотра сети; для этого щелкните правой кнопкой мыши одно или несколько выбранных устройств и выберите Информация о безопасности и исправлениях (Security and Patch Information).

В этом диалоговом окне можно посмотреть журнал обнаружения, установки и исправления, а также выполнить задачи управления исправлениями.

Работа с исправлениями

В этом разделе описываются различные задачи, которые можно выполнять непосредственно с исполняемыми файлами исправлений.

Загрузка исправлений

Для развертывания исправлений безопасности на задействованные устройства необходимо сначала загрузить исполняемый файл исправления в локальное хранилище исправлений в сети. По умолчанию файлы исправлений загружаются в следующий каталог на главном сервере:

/LDLogon/Patches

Изменить это расположение можно на странице "Расположение исправлений" (Patch Location) в диалоговом окне загрузки обновлений.

Можно загружать исправления по одному или сразу набор исправлений.

ПРИМЕЧАНИЕ: Местоположение загрузки исправлений и настройки прокси-сервера
Во время загрузки исправлений всегда используются настройки загрузки, находящиеся на странице "Расположение исправлений" (Patch Location) в диалоговом окне загрузки обновлений. Помните также, что если для доступа в Интернет используется прокси-сервер, для загрузки файлов исправлений необходимо сначала сконфигурировать настройки прокси-сервера на странице "Настройки прокси" (Proxy Settings).

Утилита исправлений и проверки соответствия сначала пытается загрузить файл исправлений, расположенный по URL-адресу (указан в диалоговом окне "Свойства исправления" (Patch Properties)). Если не удается установить соединение или исправление недоступно по какой-либо причине, тогда исправление загружается из службы данных LANDesk Security, которая представляет собой размещенную в LANDesk базу данных, содержащую исправления из надежных источников.

Методы загрузки

Для загрузки исправлений используйте один из следующих методов:

Исправления можно загружать из диалогового окна загрузки обновлений одновременно с ассоциированными определениями данных безопасности. Эта процедура описана выше, см. раздел Использование функции загрузки обновлений.

Можно также загрузить исправления прямо из правила обнаружения или определения данных безопасности.

Для загрузки исправлений из правила обнаружения выполните следующие действия:
  1. В какой-либо группе Правила обнаружения (Detection Rules) щелкните правой кнопкой мыши правило обнаружения и выберите Загрузить исправления (Download Patch). (Исправления для пользовательских определений можно также загрузить из диалогового окна правила обнаружения во время создания или изменения пользовательского определения.)
  2. Чтобы загрузить набор исправлений, выберите любое количество правил в какой-либо группе Правила обнаружения (Detection Rules), щелкните правой кнопкой мыши выбранное и выберите Загрузить исправления (Download Patch).
  3. В диалоговом окне Загрузка исправлений (Downloading Patches) отображается операция загрузки и ее состояние. В любое время можно нажать кнопку Отмена для остановки всего процесса загрузки.
  4. После завершения процесса загрузки нажмите кнопку Закрыть.

ПРИМЕЧАНИЕ: Можно загрузить исправления из диалогового окна свойств правила обнаружения (Свойства > Информация об исправлении > Загрузить (Properties > Patch Information > Download)).

Для загрузки ассоциированных исправлений из определения данных безопасности выполните следующие действия:
  1. Щелкните правой кнопкой мыши определение данных безопасности и выберите Загрузка ассоциированных исправлений (Download associated patches).
  2. Укажите, какие исправления следует загружать: все ассоциированные исправления или только текущие.
  3. Щелкните Загрузить (Download).

Для получения дополнительной информации о состоянии загрузки файлов исправлений см. раздел Описание и использование окна утилиты исправлений и проверки соответствия.

Удаление исправлений (откат исправлений)

Вы можете удалить (то есть "откатить") исправления, развернутые на управляемые устройства. Например, можно удалить исправление, которое неожиданно привело к конфликту с существующей конфигурацией. Удаляя исправление, вы можете восстановить первоначальное состояние устройства.

Для удаления или отката исправления выполните следующие действия:
  1. В каком-либо списке правил обнаружения щелкните правой кнопкой мыши одно или несколько правил и выберите Удаление исправлений (Uninstall Patch).
  2. Введите имя для задачи удаления.
  3. Укажите, является ли удаление запланированной задачей, операцией сканирования на основе политики или и тем, и другим.
  4. Если выбрана запланированная задача, укажите устройства, с которых нужно удалить исправление.
  5. Если для удаления исправления необходим доступ к исходному исполняемому файлу (например, с использованием параметров командной строки), и вы хотите развернуть исполняемый файл с использованием технологии Targeted Multicast, установите флажок Использовать многоадресную рассылку (Use multicast). Для настройки параметров многоадресной рассылки нажмите кнопку Параметры многоадресной рассылки (Multicast Options). Для получения дополнительной информации см. раздел Диалоговое окно параметров многоадресной рассылки.
  6. Если выбрана политика, и вы хотите на основе этой задачи удаления создать новый запрос, который можно будет использовать позже, установите флажок Добавить запрос (Add a query).
  7. Чтобы определить режим работы сканера на устройствах пользователей, выберите настройки сканирования и исправления в доступном списке (или создайте собственные настройки для этого сканирования).
  8. Щелкните OK. Для запланированной задачи теперь можно добавить целевые устройства и настроить параметры планирования в утилите запланированных задач. Если выбрана политика, новая политика появляется в окне управления политиками приложений, а над ней указывается имя задачи. Теперь можно добавить статические цели (пользователей или устройства) и динамические цели (результаты запросов) и настроить тип и частоту политики.

Если установить исправление не удалось, то перед повторной попыткой установки исправления необходимо очистить информацию о состоянии установки. Чтобы очистить состояние установки (исправления) для выбранного устройства, щелкните Очистить (Clear) в диалоговом окне Информация о безопасности и исправлениях (Security and Patch Information). Можно также очистить состояние установки исправлений по уязвимостям.

Удаление исправлений из главной базы данных

Для полного удаления файлов исправлений необходимо удалить их из хранилища исправлений, которое обычно находится на главном сервере.

Применение пользовательских определений безопасности

Создание пользовательских определений и правил обнаружения

Помимо известных уязвимостей, устраняемых путем обновления через утилиту исправлений и проверки соответствия, вы можете создавать собственные (или пользовательские) определения, а также пользовательские правила обнаружения, ассоциированные файлы исправлений и специальные дополнительные команды для успешного устранения нарушений.

Определения уязвимостей содержат уникальный идентификатор, заголовок, дату публикации, язык и прочую идентификационную информацию, а также правила обнаружения, сообщающие сканеру безопасности, что нужно искать на целевых устройствах. Правила обнаружения определяют конкретную платформу, приложение, файл или условия для реестра, которые сканер безопасности проверяет в целях обнаружения уязвимости (или практически любого условия или состояния системы) на сканируемых устройствах.

Пользовательские определения уязвимостей — это полнофункциональное, гибкое средство для реализации дополнительного, собственного уровня исправлений безопасности в системе LANDesk. Помимо усовершенствования безопасности исправлений с помощью пользовательских определений уязвимостей можно также оценивать конфигурации систем, проверять специфические настройки файлов и реестра и развертывать обновления приложений, не говоря уже о прочих новшествах, позволяющих использовать все возможности сканера уязвимостей.

ПРИМЕЧАНИЕ: Создание пользовательских определений заблокированных приложений
Вы можете создавать собственные определения для типа заблокированных приложений. В раскрывающемся списке Тип (Type) выберите Заблокированные приложения (Blocked Applications), введите имя исполняемого файла и описательный заголовок для определения, затем щелкните ОК.

Пользовательские определения не обязательно должны выполнять действия по устранению нарушений (развертывание и установка файлов исправлений). Если пользовательское определение создано с использованием правила обнаружения типа "только обнаружить" или правил, которые может обнаруживать только утилита исправлений и проверки соответствия, сканер безопасности выполняет поиск на целевых устройствах и просто сообщает о тех устройствах, на которых найдены предварительно заданные в правиле условия (то есть уязвимости). Например, вы можете написать собственное правило типа "только обнаружить", согласно которому сканер безопасности будет проверять наличие на управляемых устройствах следующих элементов:

Вы можете создать столько пользовательских определений уязвимостей, сколько необходимо для установления и поддержания оптимального уровня безопасности исправлений для вашей среды.

Создание пользовательских определений

Для создания пользовательских определений выполните следующие действия:
  1. Щелкните Сервис > Безопасность > Исправления и проверка соответствия (Tools > Security > Patch and Compliance).
  2. В списке Тип (Type) выберите Все типы (All Types) или Пользовательские определения (Custom Definitions). (Кнопка Создать пользовательское определение (Create custom definition) на панели инструментов доступна только в случае выбора одного из этих двух типов или же в случае выбора типа Заблокированные приложения (Blocked Applications), если вы хотите создать пользовательское определение заблокированного приложения.)
  3. На панели инструментов нажмите кнопку Создать пользовательское определение (Create custom definition). Открывается диалоговое окно свойств с возможностью изменения, в котором можно сконфигурировать настройки уязвимостей.



  4. Введите уникальный идентификатор для уязвимости. (Генерируемый системой идентификационный код можно изменить.)
  5. Тип "Пользовательское определение" (Custom Definition) изменить нельзя.
  6. В качестве даты публикации задается сегодняшняя дата, которую изменить нельзя.
  7. Введите описательный заголовок для уязвимости. Это заголовок отображается в списках уязвимостей.
  8. Укажите уровень важности. Доступны следующие параметры: "Неизвестно" (Unknown), "Пакет обновлений" (Service Pack), "Критический" (Critical), "Высокий" (High), "Средний" (Medium), "Низкий" (Low) и "Не применяется" (Not Applicable).
  9. Укажите состояние для уязвимости. Доступны следующие параметры: "Не сканировать" (Don't Scan), "Сканировать" (Scan) и "Не назначено" (Unassigned). После указания состояния уязвимость помещается в соответствующую группу в дереве (см. раздел Вид дерева).
  10. В качестве языковой настройки для пользовательских уязвимостей автоматически задается INTL (международный или не зависящий от языка, то есть уязвимость можно применять к версиям операционных систем и приложений для любого языка).
  11. В списке правил обнаружения отображаются все правила, используемые этой уязвимостью. Если вы создаете новое пользовательское определение уязвимости, нужно настроить хотя бы одно правило обнаружения, которое сканер безопасности будет использовать для сканирования устройств на наличие уязвимости. Чтобы добавить правила обнаружения, щелкните Добавить (Add). (Инструкции см. в описанной ниже процедуре.)
  12. Чтобы предоставить дополнительную информацию об этой уязвимости, щелкните Описание (Description) и введите в текстовом поле ваши комментарии или укажите действующий web-адрес, по которому размещена дополнительная информация.
  13. Чтобы включить предварительные условия для этого пользовательского определения уязвимости (и посмотреть другие определения, зависящие от этого определения уязвимости), щелкните Зависимости (Dependencies) и настройте определения предварительных условий.
  14. Чтобы создать (или изменить) ваши собственные пользовательские переменные для этого пользовательского определения уязвимости, щелкните Пользовательские переменные (Custom Variables) и настройте пользовательские переменные.
  15. Завершив настройку атрибутов пользовательского определения уязвимости, щелкните ОК, чтобы закрыть диалоговое окно и сохранить определение уязвимости.

Как и в случае с известными определениями уязвимостей от поставщиков, пользовательские определения уязвимостей должны включать одно или несколько правил обнаружения, по которым сканер обнаружения определяет условия поиска при сканировании управляемых устройств. Чтобы создать правило обнаружения для пользовательского определения уязвимости, выполните описанные ниже действия.

Создание пользовательских правил обнаружения

Для создания пользовательских правил обнаружения выполните следующие действия
  1. Щелкните правой кнопкой мыши пользовательское определение и выберите Свойства (Properties). (Можно также дважды щелкнуть определение уязвимости.)
  2. Нажмите кнопку Добавить (Add) под списком правил обнаружения. Открывается версия диалогового окна свойств правил с возможностью внесения изменений на странице общей информации, где можно настроить правило обнаружения.



  3. На странице общей информации введите уникальное имя для правила. Состояние правила здесь изменить нельзя. Чтобы изменить состояние правила обнаружения, щелкните правой кнопкой мыши правило в списке и выберите Включить (Enable) или Отключить (Disable) в зависимости от текущего состояния. Информацию об определении правила здесь изменить нельзя. Но вы можете ввести любую информацию в поле комментариев.
  4. С помощью различных страниц диалогового окна свойств правил определите правило обнаружения в соответствии с последующим описанием процедуры.
  5. Откройте страницы "Логика обнаружения" (Detection Logic).
  6. На странице "Задействованные платформы" (Affected Platforms) выберите платформы, на которых должен запускаться сканер безопасности для проверки этого определения правила обнаружения. Список доступных платформ зависит от уязвимостей, определения которых обновлены с помощью утилиты исправлений и проверки соответствия. Чтобы добавить доступные платформы в список, щелкните Загрузить список платформ по умолчанию (Load default platform list). Необходимо выбрать хотя бы одну платформу.
  7. На странице "Задействованные продукты" (Affected Products) ассоциируйте правило с одним или несколькими конкретными программными приложениями. Сначала щелкните Правка (Edit), чтобы открыть диалоговое окно выбранных задействованных продуктов, в котором можно добавлять и удалять продукты в списке задействованных продуктов (этот список при желании можно сократить, установив флажок в нижней части диалогового окна). Список доступных продуктов определяется обновленными данными. У вас не обязательно должен быть в наличии продукт, ассоциированный с правилом обнаружения. Ассоциированные продукты действуют как фильтр во время работы сканера безопасности. Если на устройстве найден указанный ассоциированный продукт, сканирование прекращается. Но если продукт не найден, или продукты не указаны, сканер продолжает проверку файлов.
  8. На странице "Файлы" (Files) настройте условия для файлов, которые должен проверять сканер в соответствии с правилом. Щелкните Добавить (Add), чтобы поля на странице можно было изменить. При настройке условия для файлов в первую очередь следует указать метод проверки. Поля на этой странице зависят от выбранного метода проверки. Чтобы сохранить условие для файлов, щелкните Обновить (Update). Можно добавить сколько угодно условий для файлов. Подробное описание этого параметра см. в разделе Страница "Логика обнаружения: файлы", используемая для обнаружения.
  9. На странице "Настройки реестра" (Registry Settings) настройте условия для реестра, которые должен проверять сканер в соответствии с правилом. Щелкните Добавить (Add), чтобы поля можно было изменить. Чтобы сохранить условие для реестра, щелкните Обновить (Update). Можно добавить сколько угодно условий для реестра. Подробное описание этого параметра см. в разделе Страница "Логика обнаружения: настройки реестра", используемая для обнаружения.
  10. На странице "Специальный сценарий" (Custom Script) вы можете создать собственный сценарий Virtual Basic в помощь при выполнении обнаружения для этого правила. Для отчета о результатах работы специального сценария можно использовать следующие свойства выполнения сканера безопасности: "Обнаружено" (Detected), "Причина" (Reason), "Номинальная" (Expected) и "Найдено" (Found).

    ПРИМЕЧАНИЕ. Нажатием кнопки Использовать редактор (Use editor) можно открыть средство редактирования сценария по умолчанию, ассоциированное с этим типом файлов. При закрытии средства предлагается сохранить изменения на странице специального сценария. Если вы хотите использовать другое средство, необходимо изменить ассоциацию типа файлов.

  11. На странице "Информация об исправлении" (Patch Information) укажите, нужно ли уязвимость, ассоциированную с этим правилом обнаружения, исправлять или только обнаруживать на управляемых устройствах. Если выбрать вариант с исправлением, становятся доступными для изменения поля "Информация о загрузке исправления" (Patch Download Information) и "Информация об исправлении" (Repair Information).
  12. Если возможно устранить нарушение путем развертывания исправления, введите URL-адрес, ведущий к файлу исправления, и укажите, может ли он загружаться автоматически. (Можно попытаться загрузить файл ассоциированного исправления сразу, щелкнув Загрузить (Download), или загрузить его в другое время.)
  13. Помимо этого, если можно устранить нарушение путем развертывания исправления, введите уникальное имя файла исправления и укажите, требуется ли перезапуск для завершения исправления и взаимодействие с пользователем во время исправления. (Для правила обнаружения, включающего устранение нарушений, настоятельно рекомендуется создать хэш для файла исправления, щелкнув Создать хэш MD5 (Generate MD5 Hash). Прежде чем создавать хэш, необходимо загрузить сам файл исправления. Для получения дополнительной информации о хэше см. раздел Страница "Правило обнаружения: общая информация".)
  14. Для правила, позволяющего устранить ассоциированную уязвимость, можно настроить дополнительные команды, которые выполняются в процессе исправления на задействованных устройствах. Для настройки дополнительных команд исправления перейдите на страницу "Команды установки исправлений" (Patch Install Commands) и щелкните Добавить (Add), чтобы выбрать тип команды и разрешить изменение полей аргументов команды. Дополнительные команды установки исправления не являются обязательными. Если вы не настраиваете специальные команды, файл исправления выполняется сам собой обычным образом. Для получения подробного описания этого параметра см. раздел Страница "Команды установки исправлений".

Теперь, когда вы создали пользовательское определение уязвимости, с ним можно поступать точно так же, как с определениями известных уязвимостей, полученными из надежных источников. Можно задать для уязвимости состояние "Сканировать" (Scan) или поместить ее в группу "Сканировать" (Scan), чтобы включить в следующую операцию сканирования безопасности, поместить ее в группу "Не сканировать" (Don't Scan) или "Не назначено" (Unassigned), просмотреть список задействованных компьютеров, включить автоисправление, создать задание исправления или очистить состояние сканирования или исправления. Для выбора нужного параметра щелкните правой кнопкой пользовательское определение уязвимости, чтобы открыть контекстное меню.

Специфичными для пользовательских определений являются операции импорта и экспорта, а также удаления.

Импорт и экспорт пользовательских определений

С помощью утилиты исправлений и проверки соответствия можно импортировать и экспортировать пользовательские определения и правила обнаружения. Известные определения уязвимостей, полученные от надежных поставщиков, импортировать и экспортировать нельзя.

Пользовательские определения экспортируются и импортируются в виде файлов формата XML.

Благодаря импорту и экспорту можно распространять пользовательские определения на другие главные серверы. Используя функцию экспорта, вы можете сохранить резервную копию определения, которое хотите временно удалить из главной базы данных.

С помощью функции импорта и экспорта можно также экспортировать определение, вручную изменить экспортированный файл как шаблон и сохранить различные вариации определения, а затем импортировать новые определения. Если определение сложное, так будет быстрее и проще, чем создавать несколько определений в консоли.

Для экспорта пользовательских определений выполните следующие действия:
  1. В списке пользовательских определений выберите одно или несколько определений.
  2. На панели инструментов нажмите кнопку Экспорт (Export). (Можно также щелкнуть правой кнопкой мыши выбранные определения и выбрать Экспорт (Export).)
  3. Введите путь к папке, в которую хотите экспортировать определения в виде отдельного XML-файла.
  4. Если вы прежде экспортировали определения в указанную папку и хотите заменить их, щелкните Перезаписать существующие определения (Overwrite existing definitions).
  5. Щелкните Экспорт (Export) и проверьте в окне "Состояние экспорта" (Export Status), успешно ли экспортированы определения.
    ПРИМЕЧАНИЕ. Экспортированные определения остаются в главной базе данных и по-прежнему появляются в группе пользовательских определений, соответствующей их состоянию: "Не назначено" (Unassigned), "Сканировать" (Scan) или "Не сканировать" (Don't Scan).
  6. Щелкните Закрыть (Close).
Для импорта пользовательских определений выполните следующие действия:
  1. В окне исправлений и проверки соответствия на панели инструментов нажмите кнопку Импорт пользовательских определений (Import Custom Definitions).
  2. Найдите и выберите одно или несколько определений (в XML-файле, который хотите импортировать), затем щелкните Открыть (Open). Если определение уже существует в главной базе данных, появляется запрос на подтверждение перезаписи. Проверьте в окне состояния, успешно ли импортировано определение.
  3. Щелкните Закрыть (Close). Импортированные определения (новые и обновленные) помещаются в группу неназначенных пользовательских определений.

Удаление пользовательских определений

Если пользовательское определение больше не нужно, его можно удалить. При удалении пользовательского определения вся информация о нем и ассоциированные с ним правила обнаружения удаляются из главной базы данных, а также из окна утилиты исправлений и проверки соответствия. (При экспорте информация об определении не удаляется.)

Как и в случае очистки информации об известных уязвимостях, при удалении пользовательских определений не удаляются загруженные ассоциированные файлы исправлений. Файлы исправлений необходимо удалять вручную из хранилища исправлений.

Чтобы удалить пользовательские определения, выберите одно или несколько определений и нажмите кнопку Удаление выбранных пользовательских определений (Delete selected custom definitions) на панели инструментов.

ПРИМЕЧАНИЕ: Восстановление экспортированных пользовательских определений
Если вы удаляете пользовательское определение, ранее экспортированное в виде XML-файла, то для восстановления этого определения импортируйте его обратно в базу данных с помощью утилиты исправлений и проверки соответствия.