创建自定义政策

注意:  您必须拥有政策编辑器许可才能编辑政策。如果您想添加此功能,请联系您的账户代表。

您可以编辑数份内置配置政策或其他自定义政策从而创建一份自定义政策。政策由可在组或分组内组织的规则构成。通过修改合规要求的值,您可以编辑自定义政策以满足环境的要求。

您可以创建自定义政策,定期检查设置,改善扫描结果或适应变化的企业要求。

例如,您需要显示漏洞数据的不同方法,向审计者展示合规百分比。您可以创建自定义政策,追踪一个漏洞以随时间衡量风险并显示改进之处。或者您展示对某一漏洞电脑合规的百分比。

政策类型有两种

政策管理器是一项启用许可证的扫描功能,执行是否合规美国政府配置基准 (USGCB) 政策、互联网安全中心 (CIS) 基准和联邦桌面核心配置 (FDCC) 政策的检查。

您可以在政策页面上的政策列表表格中确定哪些政策是可编辑的自定义来源一栏显示了哪些政策是内置且自定义的。自定义政策独有的复制编辑删除按钮只对拥有管理政策权限的用户显示。

s_policy_editor_source_column.jpg

政策-查看政策来源栏

在扫描中编辑政策

您可以在扫描中编辑政策而不会影响结果。当您修改政策时,在进程中的手动或预定的扫描、或恢复的暂停扫描会使用在初始启动扫描时生效的政策配置设置。保存到自定义政策的修改将在下一次预定的扫描或后续手动扫描中适用。

如果在尝试保存政策时会话超时,则重建一个会话,再保存您的修改到政策中。

编辑政策

注意: 您需要管理政策权限才能编辑政策。请联系您的管理员,了解您的用户权限信息。

以下部分阐述了如何编辑一份自定义政策中的不同项目。您可以编辑以下项目

按以下步骤可创建可编辑的政策

  1. 点击内置或自定义政策旁边的复制

s_policy_editor_copy.jpg

政策-复制一份内置政策

本应用程序会创建一份政策副本。

  1. 您可以修改名称,识别哪些政策是为您的企业定制。例如,添加的企业名称或缩写,如 XYZ Org -USGCB 1.2.1.0 - Windows 7 防火墙

s_policy_editor_copy_result.jpg

政策-创建自定义政策

  1. 可选您可以修改描述,解释使用此政策哪些设置应用于自定义政策中。

s_policy_editor_edit_policy_title.jpg

政策编辑器-编辑自定义政策名称和描述

  1. 点击保存

查看政策层级

政策配置面板以项目顺序显示了选所政策的组和规则。打开组后,您可以深挖政策中的单个组或规则。

s_policy_editor_view_hierarchy.jpg

政策-查看政策层级

按以下步骤可查看密码规则的政策层级

  1. 点击政策列表表格的查看,显示政策配置。

s_policy_editor_click_view.jpg

政策-点击查看以显示政策

  1. 政策配置面板中点击扩展组或规则的图标,显示细节。

使用政策中查找栏,定位具体规则。参看 使用政策查找

s_policy_editor_view_rules.jpg

政策-查看政策层级

  1. 在政策树层级中选择一个项目规则或组,在右面板显示细节。

例如,您的企业对密码合规有具体要求。选择密码复杂程度规则,查看在扫描中验证密码合规的检查。如果您的企业政策不强制使用高强度密码,那么您可以将值改变为禁用。

使用政策查找

使用政策查找快速定位您想修改的政策项目。

S_Policy_Search.jpg

政策-输入搜索标准

例如,输入 IPv6 以定位所有符合此标准的政策项目。点击向上 (i_Up.jpg) 和向下 (i_Down.jpg) 箭头,显示政策查找发现的下一个或上一个 IPv6 实例。

按以下步骤查找政策中的项目

  1. 在政策查找栏中输入一个词或词组。

例如,输入密码

在您输入时,本应用程序搜索会突出显示政策层级中的所有匹配。

s_policy_editor_search_results.jpg

政策-浏览查找结果

  1. 点击向上 (i_Up.jpg) 和向下 (i_Down.jpg)箭头,移动到匹配查找标准的下一个或上一个项目。
  2. 可选如果接收到太多结果,可细化您的标准。例如,使用密码期限代替密码
  3. 点击清除 (i_Clear.jpg) 可清除查找结果。

编辑政策组

您可以修改组名称描述,更改自定义项目的描述。政策查找使用此文本以定位政策层级中的项目。参看 使用政策查找

s_policy_editor_edit_metadata.jpg

政策-编辑组名称或描述

您可以选择政策层级中的一个组显示细节。你可以修改此文本,识别出哪些组含有已修改自定义的规则,并添加更改类型的描述。

编辑政策规则

您可以修改政策规则以获取不同的扫描结果。您可以选择政策配置层级的一个规则,查看与此规则相关的可编辑检查和值的列表。

按以下步骤可编辑一项规则值

  1. 选择政策层级中的一项规则。

将显示规则细节。

s_policy_editor_edit_values.jpg

政策-选择一项规则

可选自定义您企业的名称描述名称中的文本为政策查找所使用。参看 使用政策查找

s_policy_editor_edit_rule_metadata.jpg

政策-修改规则值

  1. 使用显示的字段修改规则检查。

参考指南,了解获得正确结果需应用什么值。

例如,在文本框内输入“0”,即可禁用加密、散列和签署规则的使用 FIPS 合规算法。

s_policy_editor_edit_checks3.jpg

政策-禁用规则

例如,通过输入总秒数的值,可以改变管理批准模式中管理员提升提示的行为。指南列出了适用每个值的选项。

s_policy_editor_edit_checks5.jpg

政策-输入一项检查选项的值。

  1. 重复这些步骤编辑政策中的其他规则。
  2. 点击保存

删除政策

注意: 您需要管理政策权限才能删除政策。请联系您的管理员,了解您的用户权限信息。

您可以删除不再使用的自定义政策。当删除一项政策时,与此政策相关的所有扫描数据均被删除。在删除政策前,此政策必须从扫描模板和报告配置中移除。

点击您想删除的自定义政策对应的删除

如果您在运行扫描时尝试删除扫描,那么会出现一条警告消息,指示无法删除政策。

在扫描模板中添加自定义政策

注意: 若要在扫描中执行政策检查,请确保您的扫描引擎已更新到 2012 年 8 月 8 日的发行版。

您可以添加自定义政策到扫描模板中,跨站点应用您的修改。政策管理器列表包含了自定义政策。

s_policy_editor_enable_custom_policy.jpg

政策-启用扫描模板的自定义政策

点击自定义政策,显示自定义政策。选择待添加的自定义政策。