米国政府機関、政府と取引関係にあるベンダー、または設定セキュリティポリシーが厳しい企業に勤務している場合、ご使用のアセットが米国政府共通設定基準(USGCB)ポリシー、インターネット・セキュリティ・センター(CIS)ベンチマーク、または米国政府デスクトップ基準(あるいは連邦政府デスクトップ基準(FDCC))ポリシーに準拠しているか検証するために、スキャンを実行することがあります。または、これらの規格に基づく各種カスタマイズポリシーにアセットが準拠しているかテストする場合もあります。内蔵のUSGCB、CIS、およびFDCCの各スキャンテンプレートには、これらの規格のコンプライアンスのチェックが含まれています。 スキャンテンプレートをご参照ください。
これらのテンプレートには脆弱性のチェックは含まれていませんので、脆弱性のチェックをポリシーチェックと共に実行したい場合は、以下のいずれかの方法を利用してカスタムバージョンのスキャンテンプレートを作成してください:
2番目または3番目の方法を利用するには、以下のステップに従いUSGCB、CIS、DISA STIGS、またはFDCCチェックを選択する必要があります。ポリシー・マネージャーおよびFDCCスキャンを有効化するライセンスを有していることが必須です。
注意: 保存されたSCAPデータは急速に蓄積され、ファイルストレージに重大な影響を与える場合があります。
주의: 再帰的ファイル検索により、スキャン時間が著しく長くなります。通常1つのアセットに数分かかるスキャンが、その単一アセットについて数時間かけても完了しない場合があり、さまざまな環境条件により異なります。
USGCB、CIS、またはFDCCコンプライアンスの検証のさらなる情報については、ポリシー・マネージャー結果に取り組むをご参照ください。
ポリシー・マネージャーのチェックの設定を選択する
デフォルトでは、再帰的ファイル検索はMicrosoft Windowsを実行するアセットのスキャンについては無効化されています。Windowsファイルシステム内の親フォルダのすべてのサブフォルダを検索すると、フォルダやファイルの数およびその他の条件により異なりますが、単一アセットのスキャン時間が何時間も長くなる場合があります。再帰的ファイル検索の有効化は、社内セキュリティ慣行により義務付けられている場合、またはポリシースキャンの特定のルールにより義務付けられている場合のみ、行ってください。以下のルールでは再帰的ファイル検索が義務付けられています:
DISA-6/Win2008
SV-29465r1_rule
「認証インストールを削除」ファイル
DISA-1/Win7
SV-25004r1_rule
「認証インストールを削除」ファイル
注意: 再帰的ファイル検索はLinuxシステムではデフォルトで有効化されており、無効化はできません。