使用政策管理器结果工作

如果您为美国政府机构或与政府有业务来往的供应商工作，或者您为严守配置安全政策的公司工作，则您可能需要运行扫描以验证您的资产是否符合美国政府配置基准 (USGCB) 政策、互联网安全中心 (CIS) 基准或联邦桌面核心配置 (FDCC) 要求。 或者，您需要测试资产是否合规基于上述标准的自定政策。

在运行政策管理器扫描后，您可以查看能够回答下列问题的信息：

• 在我的环境中，资产的总体合规率为多少？
• 我的资产符合哪些政策？
• 我的资产不符合哪些政策？
• 如果我的资产未能符合既定政策，则它们不符合哪些具体的政策规则？
• 我是否可以更改特定规则合规测试的结果？

查看配置评估扫描结果可以让您迅速判断您的环境的政策合规状态。您还可以查看单个政策和规则的测试结果，以判断您需要采取哪些具体的修复措施才能实现资产合规。

区分政策管理器和标准政策

注意:  您只能查看您具有访问权限的资产的政策测试结果。此要求适用于政策管理器和标准政策。

此部分特别讨论政策管理器结果。政策管理器是一项启用许可证的功能，含有下列政策检查：

• USGCB 2.0 政策（仅限使用启用 USGCB 扫描的许可证才可用）
• USGCB 1.0 政策（仅限使用启用 USGCB 扫描的许可证才可用）
• 互联网安全中心 (CIS) 基准（仅限使用启用 CIS 扫描的许可证才可用）
• FDCC 政策（仅限使用启用 FDCC 扫描的许可证才可用）
• 基于 USGCB 或 FDCC 政策或者 CIS 基准的自定义政策（仅限使用启用自定义政策扫描的许可证才可用）

您可以在政策页面或已使用政策管理器检查进行扫描的特定资产的页面上查看政策管理器检查的结果。

标准政策使用所有许可证才可用，它们包括下列内容：

• Oracle 政策
• Lotus Domino 政策
• Windows 组政策
• AS/400 政策
• CIFS/SMB 账户政策

您可以在已使用上述任意检查进行扫描的特定资产的页面上查看标准政策检查的结果。

此部分不含标准政策的内容。

了解政策管理器结果概述

如果您想要获取您运行政策管理器检查的所有政策的简要概述，您可以点击网页界面的任何页面上的政策图标，以进入政策页面。此页面列出了针对您具有访问权限的所有资产的已测试政策。

政策表格显示了通过和未通过每个政策合规检查的资产的数目。它还包括以下栏：

• 根据其来源、目的或其他标准，每个政策在应用程序按照类别被分组。任何 USGCB 2.0 或 USGCB 1.0 政策的类别
• 被列为 USGCB。另一个类别的例子可能为自定义，含有基于内置政策管理器政策的自定义政策。类别在类别标题下列出。
• 资产合规栏显示了一侧是符合每个政策的资产的百分比。
• 此表格还包括规则合规栏。每个政策还有具体的规则，针对每个规则运行检查。规则合规栏显示了资产符合每个政策的规则的百分比。任何低于 100 的百分比均表示不符合政策
• 政策表格还包括复制、编辑和删除政策的栏。如需了解有关这些选项的更多信息，请参见 创建自定义政策 。

查看政策管理器政策结果

在政策页面上评估您的整体合规情况之后，您可能想要查看更多关于政策的具体信息。例如，一项特定政策显示低于 100% 规则合规（这表示不符合该政策）或低于 100% 资产合规。您可能想要了解为什么资产不合规或者哪些具体的规则测试的结果为不合规。

ヒント:  您还可以在特定资产页面上查看该资产的政策管理器检查结果。请参见 查看资产细节。

在政策页面上，通过点击政策名称的方式，您可以在政策表格中查看关于某个政策的详细信息。

点击政策名称，可以查看关于该政策的信息。

安全控制台将显示关于该政策的页面。

在页面的顶部，一个饼状图显示了通过政策检查的资产与那些未通过政策检查的资产的比率。两个线状图显示了五个最合规及最不合规的资产。

概述表格列出了关于如何识别政策的一般信息。基准 ID 是指详尽的规则集，其中一些规则包含在政策中。表格还列出了一般资产以及针对政策的规则合规统计信息。

已测试资产表格列出了针对政策测试的每个资产、每个测试的结果以及关于每个资产的一般信息。资产合规栏列出了每个资产符合构成政策的所有规则的百分比。相较于其他资产，具有较低合规百分比的资产可能需要更多的修复工作。

您可以点击任何已测试资产的链接，以查看关于它的更多详细信息。

政策规则合规表格列出了在政策中包含的每个规则、通过合规测试的资产的数目以及未通过合规测试的资产的数目。此表格还含有一个覆写栏。如需了解有关覆写的信息，请参见覆写规则测试结果。

理解政策和规则的结果

• 通过结果表示资产符合构成政策的所有规则。
• 失败结果表示资产不符合至少构成政策的一个规则。政策合规栏显示资产符合的政策规则的百分比。
• 不适用结果表示政策合规测试不适用于该资产。例如，Windows Vista 配置政策的合规检查不适用于 Windows XP 资产。

查看关于政策规则的信息

每个政策都由单个的配置规则构成。在执行政策管理器检查时，本应用程序会测试资产对政策中的每个规则的合规性。通过查看每个规则测试的结果，您可以隔离那些会阻止您的资产实现政策合规的配置问题。

查看所有已测试资产的规则结果。

通过查看所有资产针对规则的测试结果，您可以迅速判断哪些资产需要修复工作才能实现合规。

1. 点击政策图标。

安全控制台将显示政策页面。

2. 在政策表格中，点击您想要查看规则详情的政策的名称。

安全控制台将显示政策页面。

ヒント:  将光标悬浮在规则名称上，可以查看该规则的描述。

3. 在政策规则合规表格中，点击您想要查看详情的任何规则的链接。

安全控制台将显示规则页面。

概述表格显示了可以识别规则的一般信息，包括它的名称和类别以及包含该规则的政策的名称和基准 ID。

已测试资产表格列出了接受合规测试的每个资产以及每次测试的结果。该表格还列出了每个规则测试的最新扫描日期。如果自扫描日期以来在资产上实施了某些修复工作，则该信息可能十分有用，它可能会保证覆写失败结果或重新扫描。

政策页面上的政策规则合规表格

查看规则的 CCE 数据

每个规则都有一个通用配置枚举 (CCE) 标识符。CCE 是识别和关联配置数据的标准，允许此类数据在多个信息来源和工具之间共享。

您可能会发现分析政策规则的 CCE 数据十分有用。此信息可能有助于您更好地理解规则或者有助于您修复能够导致资产测试失败的配置问题。或者，它的用处简单地体现在使数据可用于参考。

1. 点击政策图标。

安全控制台将显示政策页面。

2. 在政策表格中，点击您想要查看规则详情的政策的名称。

安全控制台将显示政策页面。

3. 在已测试资产表格中，点击已针对政策测试的资产的 IP 地址或名称。

安全控制台将显示资产页面。

4. 在配置政策规则表格中，点击您想要查看 CCE 数据的规则的名称。

安全控制台将显示规则页面。

注意: 本应用程序会使用自动内容更新功能应用任何当前的 CCE 更新。

5. 在配置政策规则 CCE 数据表格中，查看规则的 CCE 标识符、描述、受影响的平台以及在国家漏洞数据库中修改规则的最新日期。

安全控制台将显示规则页面。

6. 点击规则的 CCE 标识符的链接。

安全控制台将显示 CCE 数据页面。

该页面会提供下列信息：

• 概述表格会显示规则通用配置枚举 (CCE) 标识符、规则适用的特定平台以及在国家漏洞数据库中更新规则的最新日期。本应用程序会使用自动内容更新功能应用任何当前的 CCE 更新。
• 参数表格列出了在每个已测试资产上实施规则所需的参数。
• 技术机制表格列出了测试规则合规性所使用的方法。
• 参考表格列出了规则参考的文档来源（以获取详细的来源信息）以及指定文档来源中的特定信息的数值。
• 配置政策规则表格列出了政策以及针对在应用程序中的每个导入政策的政策规则名称。

覆写规则测试结果

由于各种原因，您可能希望在特定资产上覆写或更改特定规则的测试结果：

• 您不同意该结果。
• 您已修复产生失败结果的配置问题。
• 规则不适用于已测试的资产。

在覆写结果时，您需要输入这么做的原因。

另一名用户也可以覆写您的覆写内容。而另一名用户还可以执行另一项覆写，以此类推。因此，您可以在安全控制台网页界面中追踪规则测试覆写至原始结果。

大家也可以识别以 XCCDF 结果 XML 报告格式表示的任何规则的最新覆写。就其本身而言，以 XCCDF 可读 CSV 报告格式表示的覆写不能被识别。CSV 格式可以显示最新覆写以来的每一个当前测试结果。 请参见使用报告格式。

所有覆写及其原因以及政策检查结果均被加入美国政府在认证流程中审查的文档中。

理解政策管理器覆写权限

您使用覆写的能力取决于您的权限。如果您不了解自己的权限有哪些，请咨询您的全局管理员。这些权限特别适用于政策管理器政策。

注意: 这些权限还包括对漏洞例外情况相关活动的访问。请参见管理员指南中的 管理用户和认证。

三种权限与政策覆写工作流相关：

• 提交漏洞例外情况和政策覆写：具有此权限的用户可以提交覆写政策测试结果的请求。
• 审查漏洞例外情况和政策覆写：具有此权限的用户可以批准或拒绝覆写政策规则结果的请求。
• 删除漏洞例外情况和政策覆写：具有此权限的用户可以删除政策测试结果覆写和覆写请求。

理解覆写范围选项

在覆写规则结果时，您在覆写范围方面有许多选项：

全局： 您可以覆写所有站点内的所有资产的规则。如果资产不符合含有与您的企业不相关的规则的政策，那么，此范围十分有用。例如，FDCC 政策含有禁用远程桌面访问的规则。如果您的 IT 部门通过远程桌面访问管理所有工作站，那么，此规则对于您的企业来说没有意义。除非您再次实施覆写，否则，此覆写会在未来的所有扫描中应用。

特定站点中的所有资产： 如果政策中含有与您的企业内的部门不相关的规则且该部门被包含在某个站点内，那么，此范围十分有用。例如，您的企业可以对除工程部门以外的其他部门禁用远程桌面管理。如果工程部门的所有资产均包含在一个站点中，您可以在该站点中覆写针对远程桌面规则的失败结果。除非您再次实施覆写，否则，此覆写会在未来的所有扫描中应用。

单项资产的所有扫描结果： 如果政策中含有与少量资产不相关的规则，那么，此范围十分有用。例如，您的企业可以对除三个工作站以外的其他工作站禁用远程桌面管理。您可以覆写针对这三个特定资产的远程桌面规则的失败结果。除非您再次实施覆写，否则，此覆写会在未来的所有扫描中应用。

单项资产上的特定扫描结果： 如果政策中含有在特定时间点不相关但在未来会相关的规则，那么，此范围十分有用。例如，您的企业可以禁用远程桌面管理。不过，异常情况需要在某个资产上临时启用此功能，这样，远程 IT 工程师才能进行故障排除。在这个时间窗口中运行政策扫描，但资产未通过远程桌面规则测试。您可以覆写针对此特定扫描的失败结果，而且，此覆写不会在未来的扫描中应用。

查看规则的覆写历史记录

审查之前用户的覆写可能有助于为您提供关于规则或已测试资产的其他上下文信息。

1. 点击政策图标。

安全控制台将显示政策页面。

2. 在已测试资产表格中，点击资产的名称或 IP 地址。

安全控制台将显示资产页面。

3. 在配置政策规则表格中，点击您想要查看覆写历史记录的规则。

安全控制台将显示规则页面。

4. 请参见规则的覆写历史记录表格，上面列出了规则的每个覆写、覆写发生的日期以及覆写后的结果。覆写状态栏列出了覆写被提交、批准、拒绝或过期的信息。

规则的覆写历史记录

针对所有站点内的所有资产提交规则的覆写

1. 点击政策图标。

安全控制台将显示政策页面。

2. 在政策表格中，点击含有您想要覆写结果的规则之政策的名称。

安全控制台将显示政策页面。

3. 在政策规则合规表格中，点击您想要覆写的规则的覆写图标。

安全控制台将显示创建政策覆写弹出窗口。

4. 从下拉列表中选择一个覆写类型：
   • 通过表示您认为资产符合规则要求。
   • 失败表示您认为资产不符合规则要求。
   • 已修理表示导致失败结果的问题已被修复。已修理覆写会导致结果在报告和报告列表中显示为通过。
   • 不适用表示规则不适用于资产。
5. 输入您请求覆写的原因。原因必须提供。

6. 如果您仅具有覆写请求权限，请点击提交，以将覆写提交审查并让您的企业内的另一名员工进行审查。覆写请求会在规则页面的覆写历史记录表格中出现。

或者

如果您具有覆写批准权限，请点击提交并批准。

针对站点内的所有资产提交规则的覆写

1. 点击政策图标。

安全控制台将显示政策页面。

2. 在政策表格中，点击含有您想要覆写结果的规则之政策的名称。

安全控制台将显示政策页面。

3. 在已测试资产表格中，点击资产的名称或 IP 地址。

安全控制台将显示资产页面。请注意，页面导航中有含有该资产的站点。

从政策页面中选择的资产的页面

4. 在配置政策规则表格中，点击您想要覆写的规则的覆写图标。

安全控制台将显示创建政策覆写弹出窗口。

5. 从范围下拉列表中选择所有资产。
6. 从下拉列表中选择一个覆写类型：
   • 通过表示您认为资产符合规则要求。
   • 失败表示您认为资产不符合规则要求。
   • 已修理表示导致失败结果的问题已被修复。已修理覆写会导致结果在报告和报告列表中显示为通过。
   • 不适用表示规则不适用于资产。
7. 输入您请求覆写的原因。原因必须提供。



提交特定站点覆写

8. 如果您仅具有覆写请求权限，请点击提交，以将覆写提交审查并让您的企业内的另一名员工进行审查。覆写请求会在规则页面的覆写历史记录表格中出现。

或者

如果您具有覆写批准权限，请点击提交并批准。

针对特定资产上的所有扫描提交规则的覆写

1. 点击政策图标。

安全控制台将显示政策页面。

2. 在政策表格中，点击含有您想要覆写结果的规则之政策的名称。

安全控制台将显示政策页面。

3. 在已测试资产表格中，点击资产的名称或 IP 地址。
4. 安全控制台将显示资产页面。请注意，页面导航中有含有该资产的站点。在配置政策规则表格中，点击您想要覆写的规则的覆写图标。

安全控制台将显示创建政策覆写弹出窗口。

5. 从范围下拉列表中选择仅限此资产。
6. 从下拉列表中选择一个覆写类型：
   • 通过表示您认为资产符合规则要求。
   • 失败表示您认为资产不符合规则要求。
   • 已修理表示导致失败结果的问题已被修复。已修理覆写会导致结果在报告和报告列表中显示为通过。
   • 不适用表示规则不适用于资产。
7. 输入您请求覆写的原因。原因必须提供。

提交特定资产覆写

8. 如果您仅具有覆写请求权限，请点击提交，以将覆写提交审查并让您的企业内的另一名员工进行审查。覆写请求会在规则页面的覆写历史记录表格中出现。

或者

如果您具有覆写批准权限，请点击提交并批准。

针对单个资产上的特定扫描提交规则的覆写

1. 点击政策图标。

安全控制台将显示政策页面。

2. 在政策表格中，点击含有您想要覆写结果的规则之政策的名称。

安全控制台将显示政策页面。

3. 在已测试资产表格中，点击资产的名称或 IP 地址。
4. 安全控制台将显示资产页面。请注意，页面导航中有含有该资产的站点。在配置政策规则表格中，点击您想要覆写的规则的覆写图标。

安全控制台将显示创建政策覆写弹出窗口。

5. 从范围下拉列表中选择仅限此资产上此规则。
6. 从下拉列表中选择一个覆写类型：
   • 通过表示您认为资产符合规则要求。
   • 失败表示您认为资产不符合规则要求。
   • 已修理表示导致失败结果的问题已被修复。已修理覆写会导致结果在报告和报告列表中显示为通过。
   • 不适用表示规则不适用于资产。
7. 输入您请求覆写的原因。原因必须提供。

 

提交特定资产覆写

8. 如果您仅具有覆写请求权限，请点击提交，以将覆写提交审查并让您的企业内的另一名员工进行审查。覆写请求会在规则页面的覆写历史记录表格中出现。

或者

如果您具有覆写批准权限，请点击提交并批准。

审查覆写请求

在审查覆写请求时，您可以批准或拒绝。

1. 点击安全控制台网页界面的管理图标。
2. 在管理页面，点击例外情况和覆写下方的查看链接。
3. 在配置政策覆写列表表格中查找请求。

如需选择多个待审查的请求，请选择每个所需行。

或者，如需选择所有待审查的请求，请选择顶行。

4. 点击审查状态栏中的审查中链接。
5. 在审查状态对话框中，读取提交请求的用户的注释并决定批准或拒绝请求。

选择要审查的覆写请求

6. 在审查者注释文本框中输入注释。这么做对提交者有帮助。
7. 如果您想要选择覆写的过期日期，请点击日历图标并选择一个日期。
8. 根据您的决定，点击批准或拒绝。

批准覆写请求

审查结果会在审查状态栏中出现。另外，如果规则之前从未被覆写且覆写请求已被批准，则它的条目将会在页面的配置政策规则表格中的活动覆写栏中变为是。覆写还会在规则页面的覆写历史记录表格中被注明。

删除覆写或覆写请求

您可以删除旧的覆写例外情况请求。

1. 点击安全控制台网页界面的管理图标。
2. 在管理页面，点击例外情况和覆写旁的管理链接。

ヒント: 您还可以点击顶行复选框，以选择所有请求，然后在一个步骤中将它们全部删除。

3. 在配置政策覆写列表表格中，选择您想要删除的规则覆写旁的复选框。

如需选择多个待删除的请求，请选择每个所需行。

或者，如需选择所有待删除的请求，请选择顶行。

4. 点击删除图标。条目再也不会出现在配置政策覆写列表表格中。