CM2012_TN

 

Aplica-se a: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Depois de preparar a infraestrutura de pré-requisito, está pronto para instalar e configurar as Extensões SCAP para o Microsoft System Center Configuration Manager no computador no qual pretende executar este processo.

Instalar o Configuration Manager para Extensões SCAP

  1. Execute o ConfigMgr_Extensions_for_SCAP.msi para instalar a ferramenta.

  2. No Explorador do Windows, aceda à pasta onde transferiu o ficheiro ConfigMgr_Extensions_for_SCAP.msi e, em seguida, faça duplo clique no ficheiro ConfigMgr_Extensions_for_SCAP.msi.

    O Assistente de Instalação das Extensões SCAP para o Microsoft System Center Configuration Manager é iniciado.

  3. Conclua o Assistente de Instalação das Extensões SCAP para o Microsoft System Center Configuration Manager com as informações da seguinte tabela, aceite os valores predefinidos do assistente a não ser que necessite de os especificar.

    Nome da página do assistente

    Ação do utilizador

    Bem-vindo

    1. Clique em Seguinte.

    Contrato de Licença do Utilizador Final

    2. Reveja o contrato de licença.

    3. Clique em Aceito os termos no contrato de licença.

    4. Clique em Seguinte.

    Pasta de Destino

    5. Especifique um caminho de instalação e clique em Seguinte.

    Está Pronto a Instalar

    6. Clique em Instalar.

    Concluiu o Assistente de Instalação das Extensões SCAP para o Microsoft System Center Configuration Manager

    7. Clique em Concluir.

Por predefinição, o Assistente de Instalação das Extensões SCAP para o Microsoft System Center Configuration Manager instala as extensões na seguinte localização, consoante o sistema operativo Windows que está a executar:

  • Pasta C:\ Program Files\Extensões SCAP\ num computador a executar Windows 7 ou Windows Server 2008/R2.

Num computador x64, a pasta de instalação está localizada em C:\Program Files (x86)\ Extensões SCAP

Transferir e instalar os ficheiros de fluxo de dados SCAP

Antes de poder executar as Extensões SCAP para converter ficheiros de fluxo de dados SCAP e importá-los para a funcionalidade Definições de Compatibilidade, tem de transferir os ficheiros de fluxo de dados SCAP na página de transferências do site da National Vulnerability Database (Base de Dados de Vulnerabilidades Nacional - NVD). Em seguida, copie-os para a pasta onde instalou as Extensões SCAP.

Consoante o seu ambiente, pode não necessitar de todos os ficheiros de fluxo de dados SCAP listados na página de transferências.

Para instalar os fluxos de dados SCAP:

  1. Visite o Site da NVD para identificar os fluxos de dados SCAP de que a sua organização necessita. Os fluxos de dados SCAP publicados pela NIST estão organizados em múltiplos pacotes, também designados por listas de verificação.

  2. Transfira os fluxos de dados SCAP do Site da NVD, que estão armazenados em ficheiros comprimidos com uma extensão de nome de ficheiro .zip ou marcados como ficheiros DataStream XML.

    System_CAPS_importantImportante

    Existem vários ficheiros de fluxo de dados SCAP com a extensão .xml que pode transferir da NVD. No entanto, apenas os ficheiros .xml que incluem conteúdo XCCDF (SCAP1.0 e 1.1)/DataStream (SCAP1.2) são adequados para utilizar com a ferramenta SCAPTODCM.exe.

  3. Extraia os ficheiros .zip/ficheiro DataStream XML dos fluxos de dados SCAP que transferiu para a mesma pasta onde instalou as Extensões SCAP.

Converter e importar os ficheiros de fluxo de dados SCAP

Depois de obter os fluxos de dados SCAP, está pronto a utilizar a ferramenta SCAPTODCM.exe para converter os fluxos de dados SCAP em ficheiros .cab de Definições de Compatibilidade e, em seguida, importar os ficheiros .cab para o Configuration Manager. A ferramenta SCAPTODCM.exe converte os fluxos de dados SCAP em itens de configuração e linhas de base de configuração aos quais pode aceder ao utilizar a funcionalidade Definições de Compatibilidade no Configuration Manager. A ferramenta SCAPTODCM.exe converte os fluxos de dados SCAP em manifestos XML e, em seguida, agrupa os manifestos XML num ficheiro .cab que pode importar para o Configuration Manager.

Os fluxos de dados SCAP publicados pelo NIST são organizados em múltiplos pacotes. Siga as instruções do NIST para verificar que pacotes deve utilizar no seu ambiente. Por exemplo, existe um pacote separado para cada versão do Windows, outro pacote específico da versão para configuração da firewall e um pacote para o Internet Explorer 8.0. Utilize os seguintes procedimentos para concluir esta tarefa.

Para importar os fluxos de dados SCAP para o Configuration Manager

  1. Converta os fluxos de dados SCAP num ficheiro .cab de Definições de Compatibilidade.

  2. Importe o ficheiro .cab para o Configuration Manager.

Converter os fluxos de dados SCAP em ficheiros .cab de Definições de Compatibilidade

Antes de poder analisar e aceder à compatibilidade dos seus sistemas, necessita de converter os fluxos de dados SCAP de formato XML em manifestos XML que são compatíveis com itens de configuração e linhas de base de configuração das Definições de Compatibilidade. A ferramenta SCAPTODCM converte os fluxos de dados SCAP em manifestos XML e, em seguida, agrupa os manifestos XML num ficheiro .cab que pode importar mais tarde para o Configuration Manager.

Para converter os fluxos de dados SCAP em ficheiros .cab de Definições de Compatibilidade ao utilizar a ferramenta SCAPTODCM.exe

  1. Clique em Início, clique em Todos os Programas, clique em Extensões SCAP e, em seguida, clique em Extensões SCAP.

  2. Na linha de comandos, execute o SCAPTODCM.exe para gerar um ficheiro .cab de Definições de Compatibilidade e importe-o para o site do Configuration Manager.

Nota

A sua conta tem de ter permissões de leitura/escrita para a pasta de instalação da extensão SCAP e pasta de saída. Caso contrário, deve copiar todos os binários da pasta de instalação das Extensões SCAP para a pasta para a qual a conta tem permissões de leitura/escrita.

Para conteúdos SCAP 1.0/1.1 (ficheiro XCCDF XML, como conteúdos USGCB e DISA):

scaptodcm –xccdf <xccdf.xml> -cpe <cpe.xml> -out <outputFolder> [-select benchmark/profile]

Nota

Se não especificar o benchmark/perfil ao utilizar o parâmetro selecionado, a ferramenta irá gerar um ficheiro .cab DCM para cada benchmark no ficheiro de conteúdos.

Para conteúdos SCAP1.2 (ficheiro DataStream XML, como os conteúdos USGCB mais recentes):

scaptodcm –scap <scapdatastreamfile.xml> -out <outputFolder> [-select datastream/benchmark/profile]

Nota

Se não especificar o fluxo de dados/benchmark/perfil ao utilizar o parâmetro selecionado, a ferramenta irá gerar um ficheiro .cab DCM para cada benchmark no ficheiro de conteúdo.

Para um ficheiro OVAL único com variáveis externas:

scaptodcm –oval <singleOvalFile.xml> [-variable <externalVariableFile.xml>] -out <outputFolder>

Nota

Se existirem múltiplos valores para uma variável no ficheiro de variável externa, a ferramenta SCAPTODCM irá processar os valores como uma matriz desta variável.

Parâmetro

Utilização

Necessário

  

-scap [scap data stream file]

Especificar o ficheiros de fluxo de dados SCAP

Sim

(para fluxo de dados SCAP 1.2, mutuamente exclusivo com -xccdf e -oval/-variable)

 

-xccdf [xccdf file]

  

Especificar o ficheiro XCCDF

Sim

(para XCCDF SCAP 1.0/1.1, mutuamente exclusivo com -scap e -oval/-variable)

-cpe [cpe file]

 

Especificar o ficheiro CPE.

Sim

(para XCCDF SCAP 1.0/1.1, mutuamente exclusivo com -scap e -oval/-variable)

-oval [oval file]

Especificar o ficheiro OVAL.

Sim

(para um ficheiro OVAL autónomo, mutuamente exclusivo com -xccdf e -scap)

-variable [oval external variable file]

Especificar o ficheiro OVAL de variável externa.

Não

(Opcional para um ficheiro OVAL autónomo quando existe um ficheiro OVAL de variável externa, mutuamente exclusivo com -xccdf e -scap)

-select [xccdf benchmark/profile]

Especificar o perfil do benchmark XCCDF para o fluxo de dados SCAP ou ficheiro XCCDF.

Não

(Sugerimos que especifique este parâmetro. Se não for especificado, a ferramenta irá gerar um ficheiro .cab para todos os perfis em todos os Fluxos de Dados/benchmarks incorporados)

-out [output directory]

Especificar onde colocar o ficheiro .cab DCM.

 

Não

(se não for especificado, a ferramenta só irá listar o conteúdo sem conversão)

-batch

Quantos CIs são permitidos numa única Linha de Base DCM.

Não

O valor predefinido é 500, se não for especificado, e se não for permitido nenhum valor negativo.

-log [log file]

Especificar o ficheiro de registo.

Não

(se não for especificado, o registo é escrito no ficheiro .log SCAPTODCM)

-help / -?

Imprimir a utilização da ferramenta.

Não

Segue-se um exemplo da linha de comandos para a ferramenta SCAPTODCM.exe:

SCAP1.2 Content: SCAPToDCM –scap scap_gov.nist_USTCB-ie8.xml –out .\mytestfolder –select mySCAPDataStreamID/myBenchMarkID/myProfileID SCAP1.0/1.1 Content: SCAPToDCM –xccdf scap_gov.nist_Test-WinXP_xccdf.xml –cpe scap_gov.nist_Test-WinXP_cpe.xml –out .\mytestfolder –select XCCDFBenchmarkID/MyProfileID SCAP OVAL Content: SCAPToDCM –oval myOvalFile.xml –variable myOvalExternalVariableFile.xml –out .\mytestfolder

Segue-se uma saída de exemplo para a ferramenta SCAPTODCM.exe:

Compliance Settings compliant cab file created: Validate the schema of SCAP data stream file C:\24SCAP\BVT_Test_Data_Stream.xml Successfully validate the schema of SCAP data stream file C:\24SCAP\BVT_Test_Data_Stream.xml Process XCCDF Benchmark xccdf_tst.bvt_benchmark_Windows-F Process XCCDF Profile: xccdf_tst.bvt_profile_version_1.0.0.0-BVT Profile#1 Process OVAL: scap_tst.bvt_comp_Windows-F-oval.xml Successfully finished process OVAL: scap_tst.bvt_comp_Windows-F-oval.xml Process OVAL: scap_tst.bvt_comp_Windows-F-cpe-oval.xml Successfully finished process OVAL: scap_tst.bvt_comp_Windows-F-cpe-oval.xml Process SCAP data stream: scap_tst.bvt_datastream_Windows-F.zip SCAP Data Stream: [scap_tst.bvt_datastream_Windows-F.zip] Version:        [1.2] Timestamp:      [2/24/2012] Use-case:       [CONFIGURATION] CPE Dictionary:  [scap_tst.bvt_comp_Windows-F-cpe-dictionary.xml] OVAL:              [Windows-F-cpe-oval.xml] Product name:    [National Institute of Standards and Technology] Product version: [] Schema version:  [5.3] Timestamp:       [2/24/2012] XCCDF Benchmark: [xccdf_tst.bvt_benchmark_Windows-F] Version:       [v1.0.0.0] Update:        [http://usgcb.nist.gov] Timestamp:     [2/24/2012] Status:        [accepted] Status date:   [2/24/2012] Title:         [Ohh New BVT for SCAP 1.2] Description:   [My description] XCCDF Profile: [xccdf_tst.bvt_profile_version_1.0.0.0] OVAL:              [Windows-F-oval.xml] Product name:    [scaptool] Product version: [] Schema version:  [5.4] Timestamp:       [2/24/2012] Start SCAP to DCM conversion... Processing SCAP data stream: scap_tst.bvt_datastream_Windows-F.zip Processing CPE dictionary: scap_tst.bvt_comp_Windows-F-cpe-dictionary.xml … Generating CI baseline cab file: C:\28\bbt\xccdf_tst.bvt_benchmark_Windows-F[xccdf_tst.bvt_profile_version_1.0.0.0].cab Successfully generated CI baseline cab file: C:\28\bbt\xccdf_tst.bvt_benchmark_Windows-F[xccdf_tst.bvt_profile_version_1.0.0.0].cab Successfully converted XCCDF profile: xccdf_tst.bvt_profile_version_1.0.0.0 into DCM baseline xccdf_tst.bvt_benchmark_Windows-F[xccdf_t st.bvt_profile_version_1.0.0.0].cab

Importar os ficheiros .cab de Definições de Compatibilidade para o System Center Configuration Manager

O próximo passo no processo é utilizar a Consola do Configuration Manager para importar os ficheiros .cab de Definições de Compatibilidade para o Configuration Manager. Quando importa os ficheiros .cab que criou anteriormente neste processo, são criados um ou mais itens de configuração ou linhas de base de configuração na base dados do Configuration Manager. Posteriormente no processo pode atribuir cada uma das linhas de base de configuração a uma coleção de computadores no Configuration Manager.

Para importar os ficheiros .cab de Definições de Compatibilidade para o Configuration Manager

  1. Abra a Consola do Configuration Manager.

  2. Na Consola do Configuration Manager, no painel de navegação, aceda a Ativos e Compatibilidade | Definições de Compatibilidade | Linhas de Base de Configuração.

  3. No painel de ações, clique em Importar Dados de Configuração.

    O Assistente de Importação de Dados de Configuração é iniciado.

  4. ii. Conclua o Assistente de Importação de Dados de Configuração ao utilizar as informações na seguinte tabela e ao aceitar os valores predefinidos exceto indicação em contrário.

    Nome da página do assistente

    Ação do utilizador

    Escolher ficheiros

    1. Clique em Adicionar.

    A caixa de diálogo Abrir é apresentada.

    2. Na caixa de diálogo Abrir, aceda a

    A nova linha de base de configuração é apresentada no painel de informações da Consola do Configuration Manager.

    System_CAPS_importantImportante

    Terá de repetir este processo para cada ficheiro .cab que criou anteriormente no processo. Existe um ficheiro .cab para cada perfil selecionado no ficheiro XCCDF/Fluxo de Dados XML que transferiu do site da NVD, que pode processar ao executar a ferramenta SCAPTODCM.exe.

    A linha de base de configuração importada é apenas de leitura e tem um Estado de Ativado e um estado de Implementação inicial de Não. A propriedade Data de Modificação indica a hora em que linha de base foi importada.

    O nome da linha de base de configuração é retirado da secção nome a apresentar do XCCDF/Fluxo de Dados XML e é construído de acordo com a seguinte convenção: ABC[XYZ], onde ABC é o ID do Benchmark XCCDF e XYZ é o ID do Perfil XCCDF (se estiver selecionado um perfil).

    Atribuir linhas de base de configuração às coleções de computadores

    Depois de criar as coleções de computadores adequadas para computadores em que pretende avaliar para compatibilidade SCAP, está pronto para atribuir as linhas de base de configuração que importou para associar às coleções de computadores. Esta secção fornece-lhe as informações para atribuir uma linha de base de configuração a uma coleção de computadores que utiliza a Consola do Configuration Manager.

    Para atribuir uma linha de base de configuração a uma coleção de computadores

    1. Abra a Consola do Configuration Manager.

    2. 2. Na Consola do Configuration Manager, no painel de navegação, aceda a Ativos e Compatibilidade | Definições de Compatibilidade | Linhas de Base de Configuração.

    3. 3. No painel de configuração, clique em <linha_de_base_de_configuração>, onde <linha_de_base_de_configuração> é o nome da linha de base de configuração que pretende atribuir a uma coleção de computadores.

      A lista de itens de configuração para a linha de base de configuração é apresentada no painel de informações do Configuration Manager.

    4. No painel de ações, clique em Implementar.

    5. Conclua a Caixa de Diálogo Implementação da Linha de Base de Configuração ao utilizar as informações na seguinte tabela e ao aceitar os valores predefinidos exceto indicação em contrário.

      Nome da página do assistente

      Ação do utilizador

      Escolher Coleção

      1. Clique em Procurar.

      2. Na caixa de diálogo Selecionar Coleção, selecione "Coleções de Dispositivos" e, em seguida, clique em

      System_CAPS_importantImportante

      Repita este processo para cada coleção de computadores que pretende atribuir a cada linha de base de configuração. No mínimo, atribua cada linha de base de configuração a uma coleção de computadores.

      Verificar que os dados de compatibilidade foram recolhidos

      Antes de exportar os dados de compatibilidade novamente para o formato SCAP, necessita de verificar que os dados foram recolhidos. Depois de atribuir uma linha de base de configuração a uma coleção de computadores, o cliente do Configuration Manager em cada computador da coleção reúne automaticamente as informações de compatibilidade. Em seguida, as informações de compatibilidade são armazenadas na base de dados do Configuration Manager.

      Pode ver o estado de implementação da linha de dados de configuração no Configuration Manager para assegurar que os dados adequados foram recolhidos pelos clientes do Configuration Manager. É importante verificar que os dados de compatibilidade adequados foram recolhidos no Configuration Manager porque pode ajudá-lo a validar os ficheiros XCCDF/Fluxo de Dados resultantes que cria posteriormente no processo.

      Verificar que os dados de compatibilidade foram recolhidos

      1. Abra a Consola do Configuration Manager.

      2. Na consola do Configuration Manager, no painel de navegação, aceda a Monitorização | Implementações.

      3. Clique no Tipo de Funcionalidade para ordenar o tipo de implementação e encontrar itens cujo tipo seja "Linha de Base" na lista.

      4. Clique com o botão direito do rato na <linha_de_base_de_configuração> na lista que acabou de implementar na coleção e clique em Ver Estado.

        Em seguida, mude para o nó <linha_de_base_de_configuração> para ver o estado de compatibilidade - se existir um computador no estado desconhecido, significa que a coleção de dados de compatibilidade não está concluída para esse computador.

      Exportar resultados de compatibilidade para o SCAP

      A próxima tarefa no processo consiste em exportar os dados das Definições de Compatibilidade para o formato SCAP, que é um ficheiro de relatório ARF no formato XML/legível por humanos. A ferramenta DCMTOSCAP.exe exporta um ficheiro de resultados ARF de XCCDF/Fluxo de Dados individual para cada linha de base de configuração das Definições de Compatibilidade. Estes ficheiros correspondem a cada ficheiro de entrada XCCDF/Fluxo de Dados que a ferramenta SCAPTODCM.exe utiliza para criar cada linha de base de configuração das Definições de Compatibilidade.

      Exportar os dados Definições de Compatibilidade para um ficheiro de resultados ARF de XCCDF/Fluxo de Dados

      1. Clique em Início > Todos os Programas > Extensões SCAP > Extensões SCAP.

      2. Na linha de comandos, escreva os parâmetros de linha de comandos listados na seguinte tabela e, em seguida, prima Enter.

        Nota

        A sua conta precisa de permissões de leitura para a base de dados do site do Configuration Manager e de permissões de escrita para a pasta de saída que especificou no parâmetro de saída da linha de comandos.

      Para conteúdos SCAP 1.0/1.1 (como conteúdos USGCB e DISA):

      dcmtoscap –xccdf <xccdf.xml> -cpe <cpe.xml> -server <CMSiteServerMachineName> -database <CMSiteDatebaseName> -collection <deviceCollectionID> -select <xccdfBenchmark/profile> -out <outputResultFolder>  
      

      Nota

      Deve utilizar o parâmetro –select para especificar o benchmark/perfil que foi avaliado nos clientes, se existirem múltiplos benchmarks/perfis no conteúdo.

      Para conteúdos SCAP1.2 (como os conteúdos USGCB mais recentes):

      dcmtoscap –scap <scapdatastreamfile.xml> -server <CMSiteServerMachineName> -database <CMSiteDatebaseName> -collection <deviceCollectionID> -select <datastream/xccdfBenchmark/profile> -out <outputResultFolder>  
      
      

      Nota

      Deve utilizar o parâmetro –select para especificar o fluxo de dados/benchmark/perfil que foi avaliado nos clientes se houverem múltiplos fluxos de dados/testes de desempenho/perfis no conteúdo.

      Para um ficheiro OVAL único com variáveis externas:

      dcmtoscap –oval <singleOvalFile.xml> [-variable <externalVariableFile.xml>] -server <CMSiteServerMachineName> -database <CMSiteDatebaseName> -collection <deviceCollectionID>  -out <outputResultFolder>  
      

      Nota

      O DCMTOSCAP só irá gerar o relatório de resultados de definição OVAL para cada computador de destino, o relatório ARF não será gerado.

      Parâmetro

      Utilização

      Necessário

      -server [SQLServer\\SQLInstance]

      Especificar o nome do servidor da base de dados do site do Configuration Manager e a instância SQL.

      Sim

      -database [SQLDatabase]

      Especificar o nome da base de dados do site do Configuration Manager.

      Sim

      -collection [ID da coleção]

      Especificar o ID da coleção para gerar o relatório SCAP.

      Sim (quando -machine não está especificado)

      -machine [nome do computador]

      Especificar o nome do computador para gerar o relatório SCAP.

      Sim (quando -collection não é especificado)

      -organization [nome da organização]

      Especificar o nome da organização, que será apresentado no relatório. Pode ser separado por ";" para especificar um nome de organização com várias linhas.

      Não

      -type [dinâmico/completo/ completosemcs]

      Especificar o tipo de resultado OVAL: resultado dinâmico ou resultado completo ou resultado completo sem característica do sistema.

      Não (se não for especificado, então o valor predefinido é completo)

      -scap [ficheiro de fluxo de dados scap]

      Especificar o ficheiro de fluxo de dados SCAP.

      Sim (para fluxo de dados SCAP 1.2, mutuamente exclusivo com -xccdf e -oval / -variable)

      -xccdf [ficheiro xccdf]

      Especificar o ficheiro XCCDF.

      Sim (para XCCDF de SCAP 1.0/1.1, mutuamente exclusivo com -scap e -oval / -variable)

      -oval [ficheiro oval]

      Especificar o ficheiro OVAL.

      Sim (para o ficheiro OVAL autónomo, mutuamente exclusivo com -xccdf e -scap)

      -variable [ficheiro oval de variável externa]

      Especificar o ficheiro OVAL de variável externa.

      Não (opcional para o ficheiro OVAL único quando existe um ficheiro OVAL de variável externa, mutuamente exclusivo com -xccdf e -scap)

      -select [benchmark/perfil -xccdf]

      Selecionar o Benchmark XCCDF, o perfil do fluxo de dados SCAP ou ficheiro XCCDF.

      Sim (tem de ser efetuada uma seleção para ser gerado um relatório para que possamos corresponder a linha de base DCM correspondente na base de dados do Configuration Manager)

      -out [diretório de saída]

      Especificar onde será a saída do ficheiro .cab das Definições de Compatibilidade.

      Não (se não for especificado, a ferramenta lista apenas o conteúdo sem conversão)

      -log [ficheiro de registo]

      Especificar o ficheiro de registo.

      Não (se não for especificado, o registo é escrito no ficheiro .log SCAPTODCM)

      -help / -?

      Imprimir a utilização da ferramenta.

      Não

      System_CAPS_tipSugestão

      Pode especificar o parâmetro -?, -h ou -help para apresentar a sintaxe da ferramenta DCMTOSCAP.exe e uma lista dos parâmetros.

      Por predefinição, a ferramenta DCMTOSCAP.exe acede à base de dados do Configuration Manager com as suas credenciais. A ferramenta DCMTOSCAP.exe necessita de um mínimo de acesso de leitura à base de dados do Configuration Manager.

      Depois de verificar o relatório ARF adequado: ARF_xxxx.xml e/ou relatório legível por humanos: xxx.txt, relatório Cyberscope: LASR_xxx.xml, relatório ConsumedOval: xx-oval-<NomeDoComputador>.xml, relatório de resultados do Benchmark XCCDF: existem ficheiros xccdf_xxx.xml, na linha de comandos, escreva exit e, em seguida, prima Enter para sair da linha de comandos.