选择政策管理器检查

如果您为美国政府机构或与政府有业务来往的供应商工作，或者您为严守配置安全政策的公司工作，则您可能需要运行扫描以验证您的资产是否符合美国政府配置基准 (USGCB) 政策、互联网安全中心 (CIS) 基准或联邦桌面核心配置 (FDCC) 要求。或者，您需要测试资产是否合规基于上述标准的自定政策。内置 USGCB、CIS 和 FDCC 扫描模板含有针对这些标准的合规测试。参看  扫描模板。

这些模板不含漏洞检查，因此，如果您希望运行漏洞检查和政策检查，请您使用下列方法创建自定义版本的扫描模板：

• 向 USGCB、CIS、DISA 或 FDCC 模板的自定义副本添加漏洞检查。
• 向含有您想要运行的漏洞检查的其他模板之一添加 USGCB、CIS、DISA STIG 或 FDCC 检查。
• 创建一个扫描模板并向其添加 USGCB、CIS、DISA STIG 或 FDCC 检查和漏洞检查。

如需使用第二或第三个方法，您需要通过下列步骤选择 USGCB、CIS、DISA STIGS 或 FDCC 检查。您必须持有能够启用政策管理器和 FDCC 扫描的许可证。

1. 在扫描模板配置面板的一般页面上选择政策。
2. 进入扫描模板配置面板的政策管理器页面。
3. 选择一个政策。
4. 查看每个政策的名称、受影响的平台以及描述。
5. 针对您想要加入扫描的任何政策选择复选框。
6. 如果您需要向美国政府提交资产报告格式 (Asset Reporting Format, ARF) 报告中的政策扫描结果，以进行 SCAP 认证，请选择存储 SCAP 数据的复选框。

注意: 存储的 SCAP 数据可能会迅速累积，这种情况会对文件存储造成极大影响。

7. 如果您想要在 Windows 系统中启用递归文件搜索，请选择适当的复选框。我们建议您不要启用此功能，除非您的内部安全实践有明确要求。请参见在 Windows 上启用递归搜索。

주의: 递归文件搜索可能会令扫描时间大幅增加。通常几分钟即可完成的资产扫描可能无法在数小时内完成该资产扫描，具体情况视各种环境条件而定。

8. 按需要配置任何其他模版设置。在完成配置扫描模版后，点击保存。

如需了解有关验证 USGCB、CIS 或 FDCC 合规的信息，请参见使用政策管理器结果工作。

选择政策管理器检查设置

在 Windows 上启用递归搜索

在默认情况下，运行 Microsoft Windows 的资产扫描会禁用递归文件搜索。在 Windows 文件系统中搜索父文件夹的各个子文件夹可能会使单项资产的扫描时间增加数小时，具体情况视文件夹和文件的数量以及其他条件而定。仅限在您的内部安全实践有相关要求，或者您需要遵守政策扫描中的某些规定的情况下，启用递归文件搜索。下列规定要求进行递归文件搜索：

DISA-6/Win2008
SV-29465r1_rule
删除证书安装文件

DISA-1/Win7
SV-25004r1_rule
删除证书安装文件

注意: 在 Linux 系统中，递归文件搜索默认被启用，且无法禁用。