CM2012_TN

 

適用於: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

當您準備好先決條件基礎結構之後,即可在要執行這個程序的電腦上安裝及設定 Microsoft System Center Configuration Manager 的 SCAP 擴充功能。

  1. 執行 ConfigMgr_Extenstions_for_SCAP.msi 安裝工具。

  2. 在 Windows 檔案總管中,移至您下載 ConfigMgr_Extensions_for_SCAP.msi 檔案所在的資料夾,然後按兩下 ConfigMgr_Extensions_for_SCAP.msi 檔案。

    Microsoft System Center Configuration Manager 的 SCAP 擴充功能安裝精靈隨即啟動。

  3. 除非需要另外指定,否則請使用下表中的資訊完成 Microsoft System Center Configuration Manager 的 SCAP 擴充功能安裝精靈,並接受精靈的預設值。

    精靈頁面名稱

    使用者動作

    歡迎使用

    1.按一下 [下一步]。

    使用者授權合約

    2.檢閱授權合約。

    3.按一下 [我接受授權合約中的條款]。

    4.按一下 [下一步]。

    目的地資料夾

    5.指定安裝路徑,然後按 [下一步]。

    準備安裝

    6.按一下 [安裝]。

    完成 Microsoft System Center Configuration Manager 的 SCAP 擴充功能安裝精靈

    7.按一下 [完成]。

Microsoft System Center Configuration Manager 的 SCAP 擴充功能安裝精靈預設會根據您執行的 Windows 作業系統,在下列位置安裝這些擴充功能:

  • 在執行 Windows 7 或 Windows Server 2008/R2 的電腦上,則為 C:\Program Files\SCAP Extensions\ 資料夾。

在 x64 電腦上,安裝資料夾會在 C:\Program Files (x86)\SCAP Extensions 之下

若要能夠執行 SCAP 擴充功能以轉換 SCAP 資料流檔案,再匯入 [相容性設定] 功能中,您必須先從 National Vulnerability Database (NVD) 下載頁面網站下載 SCAP 資料流檔案, 然後將其複製到 SCAP 擴充功能安裝所在的資料夾中。

根據您的環境,您可能不需要下載頁面上列出的所有 SCAP 資料流檔案。

若要安裝 SCAP 資料流:

  1. 瀏覽 NVD 網站 以找出您的組織所需的 SCAP 資料流。 NIST 所發佈的 SCAP 資料流已分類為多種組合,又稱為檢查清單。

  2. NVD 網站下載 SCAP 資料流,並儲存在副檔名為 .zip 或標示為 DataStream XML 檔案的壓縮檔中。

    System_CAPS_important重要事項

    您可以從 NVD 下載多個副檔名為 .xml 的 SCAP 資料流檔案。 不過,只有包含 XCCDF (SCAP1.0 和 1.1)/DataStream (SCAP1.2) 內容的 .xml 檔案適用於 SCAPTODCM.exe 工具。

  3. 將您下載的 SCAP 資料流 .zip 檔/DataStream XML 檔案,解壓縮到 SCAP 擴充功能安裝所在的相同資料夾中。

當您取得 SCAP 資料流之後,即可使用 SCAPTODCM.exe 工具,將 SCAP 資料流轉換成符合 [相容性設定] 的 .cab 檔,再將 .cab 檔匯入 Configuration Manager 中。 SCAPTODCM.exe 工具可將 SCAP 資料流轉換成組態項目和組態基準,以供您透過 Configuration Manager 的 [相容性設定] 功能加以存取。 SCAPTODCM.exe 工具可將 SCAP 資料流轉換成 XML 資訊清單,然後再將 XML 資訊清單封裝成 .cab 檔,以便匯入 Configuration Manager 中。

NIST 所發佈的 SCAP 資料流已分類為多種組合。 請遵循 NIST 的指示,確認要在您的環境中使用的組合。 例如,每個 Windows 版本會有個別組合,防火牆組態會有另一個版本特定組合,而 Internet Explorer 8.0 會有一個組合。 請使用下列程序來完成這項工作。

將 SCAP 資料流匯入 Configuration Manager 中

  1. 將 SCAP 資料流轉換成符合 [相容性設定] 的 .cab 檔。

  2. 將 .cab 檔匯入 Configuration Manager 中。

您需要將 XML 格式的 SCAP 資料流轉換成符合 [相容性設定] 組態項目和組態基準的 XML 資訊清單,才能分析和評估系統的相容性。 SCAPTODCM 工具可將 SCAP 資料流轉換成 XML 資訊清單,然後再將 XML 資訊清單封裝成 .cab 檔,以便稍後匯入 Configuration Manager 中。

使用 SCAPTODCM.exe 工具將 SCAP 資料流轉換成符合 [相容性設定] 的 .cab 檔

  1. 依序按一下 [開始]、[所有程式]、[SCAP 擴充功能] 及 [SCAP 擴充功能]。

  2. 在命令提示字元中,執行 SCAPToDCM.exe 以產生符合 [相容性設定] 的封包,然後將其匯入 Configuration Manager 站台中。

System_CAPS_note注意事項

您的帳戶必須具有 SCAP 擴充功能安裝資料夾和輸出資料夾的讀取/寫入權限。 否則您應該從 SCAP 擴充功能安裝資料夾,將所有二進位檔案複製到具有讀取/寫入權限之帳戶的資料夾。

SCAP 1.0/1.1 內容 (XCCDF XML 檔案,例如 USGCB 和 DISA 內容):

scaptodcm –xccdf <xccdf.xml> -cpe <cpe.xml> -out <outputFolder> [-select benchmark/profile]
System_CAPS_note注意事項

如果您未使用 -select 參數指定基準/設定檔,則這項工具會為內容檔案中的每個基準產生一個 DCM 封包。

SCAP1.2 內容 (DataStream XML 檔案,例如最新的 USGCB 內容):

scaptodcm –scap <scapdatastreamfile.xml> -out <outputFolder> [-select datastream/benchmark/profile]
System_CAPS_note注意事項

如果您未使用 -select 參數指定資料流/基準/設定檔,則這項工具會為內容檔案中的每個基準產生一個 DCM 封包。

具有外部變數的單一 OVAL 檔案:

scaptodcm –oval <singleOvalFile.xml> [-variable <externalVariableFile.xml>] -out <outputFolder>
System_CAPS_note注意事項

如果外部變數檔案中的一個變數有多個值,則 SCAPToDCM 工具會將這些值視為這個變數的陣列。

參數

使用方式

必要

  

-scap [scap data stream file]

指定 SCAP 資料流檔案

(適用於 SCAP 1.2 資料流,與 -xccdf-oval/-variable 互斥)

 

-xccdf [xccdf file]

  

指定 XCCDF 檔案

(適用於 SCAP 1.0/1.1 XCCDF,與 -scap-oval/-variable 互斥)

-cpe [cpe file]

 

指定 CPE 檔案。

(適用於 SCAP 1.0/1.1 XCCDF,與 -scap-oval/-variable 互斥)

-oval [oval file]

指定 OVAL 檔案。

(適用於獨立 OVAL 檔案,與 -xccdf 和 -scap 互斥)

-variable [oval external variable file]

指定 OVAL 外部變數檔案。

(如果有外部 OVAL 變數檔案,則可選擇性地用於獨立 OVAL 檔案,與 -xccdf 和 -scap 互斥)

-select [xccdf benchmark/profile]

從 SCAP 資料流或 XCCDF 檔案指定 XCCDF 基準設定檔。

(建議指定這個參數。 如果未指定,則這項工具會為所有內嵌資料流/基準中的的所有設定檔產生一個封包)

-out [output directory]

指定要放置 DCM 封包檔的位置。

 

(如果未指定,則這項工具只會列出內容,而不會進行轉換)

-batch

單一 DCM 基準所允許的 CI 數目。

如果未指定,預設值為 500;不允許使用負值。

-log [log file]

指定記錄檔。

(如果未指定,則會將記錄檔寫入 SCAPToDCM.log 檔案)

-help / -?

列印工具使用方式。

以下是 SCAPTODCM.exe 工具的範例命令列:

SCAP1.2 Content:
SCAPToDCM –scap scap_gov.nist_USTCB-ie8.xml –out .\mytestfolder –select mySCAPDataStreamID/myBenchMarkID/myProfileID 

SCAP1.0/1.1 Content:
SCAPToDCM –xccdf scap_gov.nist_Test-WinXP_xccdf.xml –cpe scap_gov.nist_Test-WinXP_cpe.xml –out .\mytestfolder –select XCCDFBenchmarkID/MyProfileID

SCAP OVAL Content:
SCAPToDCM –oval myOvalFile.xml –variable myOvalExternalVariableFile.xml –out .\mytestfolder

以下是 SCAPTODCM.exe 工具的範例輸出:

Compliance Settings compliant cab file created:

Validate the schema of SCAP data stream file C:\24SCAP\BVT_Test_Data_Stream.xml
Successfully validate the schema of SCAP data stream file C:\24SCAP\BVT_Test_Data_Stream.xml
Process XCCDF Benchmark xccdf_tst.bvt_benchmark_Windows-F
Process XCCDF Profile: xccdf_tst.bvt_profile_version_1.0.0.0-BVT Profile#1
Process OVAL: scap_tst.bvt_comp_Windows-F-oval.xml
Successfully finished process OVAL: scap_tst.bvt_comp_Windows-F-oval.xml
Process OVAL: scap_tst.bvt_comp_Windows-F-cpe-oval.xml
Successfully finished process OVAL: scap_tst.bvt_comp_Windows-F-cpe-oval.xml
Process SCAP data stream: scap_tst.bvt_datastream_Windows-F.zip

SCAP Data Stream: [scap_tst.bvt_datastream_Windows-F.zip]
  Version:        [1.2]
  Timestamp:      [2/24/2012]
  Use-case:       [CONFIGURATION]
  CPE Dictionary:  [scap_tst.bvt_comp_Windows-F-cpe-dictionary.xml]
    OVAL:              [Windows-F-cpe-oval.xml]
      Product name:    [National Institute of Standards and Technology]
      Product version: []
      Schema version:  [5.3]
      Timestamp:       [2/24/2012]
  XCCDF Benchmark: [xccdf_tst.bvt_benchmark_Windows-F]
    Version:       [v1.0.0.0]
    Update:        [http://usgcb.nist.gov]
    Timestamp:     [2/24/2012]
    Status:        [accepted]
    Status date:   [2/24/2012]
    Title:         [Ohh New BVT for SCAP 1.2]
    Description:   [My description]
    XCCDF Profile: [xccdf_tst.bvt_profile_version_1.0.0.0]
    OVAL:              [Windows-F-oval.xml]
      Product name:    [scaptool]
      Product version: []
      Schema version:  [5.4]
      Timestamp:       [2/24/2012]

Start SCAP to DCM conversion...
Processing SCAP data stream: scap_tst.bvt_datastream_Windows-F.zip
Processing CPE dictionary: scap_tst.bvt_comp_Windows-F-cpe-dictionary.xml
…
Generating CI baseline cab file: C:\28\bbt\xccdf_tst.bvt_benchmark_Windows-F[xccdf_tst.bvt_profile_version_1.0.0.0].cab
Successfully generated CI baseline cab file: C:\28\bbt\xccdf_tst.bvt_benchmark_Windows-F[xccdf_tst.bvt_profile_version_1.0.0.0].cab
Successfully converted XCCDF profile: xccdf_tst.bvt_profile_version_1.0.0.0 into DCM baseline xccdf_tst.bvt_benchmark_Windows-F[xccdf_t
st.bvt_profile_version_1.0.0.0].cab

程序的下一個步驟是使用 Configuration Manager 主控台,將符合 [相容性設定] 的 .cab 檔匯入 Configuration Manager 中。 當您匯入稍早在程序中建立的 .cab 檔時,會在 Configuration Manager 資料庫中建立一或多個組態項目和組態基準。 您可以稍後在程序中,將每個組態基準指派給 Configuration Manager 中的一個電腦集合。

將符合 [相容性設定] 的 .cab 檔匯入 Configuration Manager 中

  1. 開啟 Configuration Manager 主控台。

  2. 在 Configuration Manager 主控台的瀏覽窗格中,移至 [資產與相容性] | [相容性設定] | [組態基準]。

  3. 在執行窗格中,按一下 [匯入設定資料]。

    [匯入設定資料精靈] 隨即啟動。

  4. ii. 除非另有指定,否則請使用下表中的資訊完成 [匯入設定資料精靈],並接受預設值。

    精靈頁面名稱

    使用者動作

    選擇檔案

    1.按一下 [加入]。

    [開啟] 對話方塊隨即出現。

    2.在 [開啟] 對話方塊中,移至 <相容的封包輸出資料夾>,按一下 <相容的封包檔>.cab 檔案,其中 <相容的封包輸出資料夾> 是執行 scaptodcm 工具時指定下列 -output 參數的資料夾,而 <相容的封包檔> 是稍早在程序中建立的 .cab 檔名稱,然後按一下 [開啟]。

    [Configuration Manager 主控台 - 安全性警告] 對話方塊隨即出現。

    3.在 [Configuration Manager 主控台 - 安全性警告] 對話方塊中,按一下 [執行]。

    在 [選擇檔案] 頁面上,組態資料會出現在要匯入的基準清單中。

    4.按一下 [下一步]。

    摘要

    5.按一下 [下一步]。

    完成 [匯入組態資料精靈]

    6.按一下 [關閉]。

新的組態基準會出現在 Configuration Manager 主控台的資訊窗格中。

System_CAPS_important重要事項

您需要針對稍早在程序中建立的每個 .cab 檔,重複這個程序。 您從 NVD 網站下載之 XCCDF/資料流 XML 檔案中每個選取的設定檔會有一個 .cab 檔,您可以執行 SCAPTODCM.exe 工具進行處理。

匯入的組態基準為唯讀、狀態為 [啟用] 且初始部署狀態為 [否]。 [修改日期] 屬性表示基準匯入的時間。

組態基準的名稱取自 XCCDF/資料流 XML 的顯示名稱區段,並使用下列慣例來建構: ABC[XYZ],其中 ABC 是 XCCDF 基準識別碼,而 XYZ 是 XCCDF 設定檔識別碼 (如果已選取設定檔)。

當您針對要評估 SCAP 相容性的電腦建立適當的電腦集合之後,即可將您匯入的組態基準與電腦集合建立關聯。 本節提供您相關資訊,以便使用 Configuration Manager 主控台將組態基準指派給電腦集合。

將組態基準指派給電腦集合

  1. 開啟 Configuration Manager 主控台。

  2. 2. 在 Configuration Manager 主控台的瀏覽窗格中,移至 [資產與相容性] | [相容性設定] | [組態基準]。

  3. 3. 在瀏覽窗格中,按一下 <組態基準>,其中 <組態基準> 是您要指派給電腦集合的組態基準名稱。

    組態基準的組態項目清單會顯示在 Configuration Manager 的資訊窗格中。

  4. 在執行窗格中,按一下 [部署]。

  5. 除非另有指定,否則請使用下表中的資訊完成 [部署組態基準] 對話方塊,並接受預設值。

    精靈頁面名稱

    使用者動作

    選擇集合

    1.按一下 [瀏覽]。

    2.在 [選取集合] 對話方塊中選取 [裝置集合],然後按一下 [<電腦集合>],其中 <電腦集合> 是您稍早在程序中建立的電腦集合名稱,然後按一下 [確定]。

    設定排程

    3.選取適合您組織的排程。

    System_CAPS_important重要事項

    針對每個您要指派給各個組態基準的電腦集合,重複這個程序。 將每個組態基準至少指派給一個電腦集合。

您必須確認相容性資料已收集完成,再將資料匯出成之前的 SCAP 格式。 將組態基準指派給電腦集合之後,集合中每部電腦上的 Configuration Manager 用戶端都會自動收集相容性資訊, 然後將相容性資訊儲存在 Configuration Manager 資料庫中。

您可以在 Configuration Manager 中檢視組態基準部署的狀態,確保 Configuration Manager 用戶端已收集適當的資料。 請務必確認已在 Configuration Manager 中收集適當的相容性資料,因為這些資料可協助您驗證稍後要在程序中建立的 XCCDF/資料流結果檔案。

  1. 開啟 Configuration Manager 主控台。

  2. 在 Configuration Manager 主控台的瀏覽窗格中,移至 [監視] | [部署]。

  3. 按一下 [功能類型] 來排序部署類型,並在清單中尋找類型為 [基準] 的項目。

  4. 以滑鼠右鍵按一下清單中您剛部署到集合的 <組態基準>,並按一下 [檢視狀態]。

    然後移至 <組態基準> 節點,以檢視相容狀態;如果有電腦處於不明狀態,則表示為該電腦收集的相容性資料仍不完整。

程序的下一個工作是將符合 [相容性設定] 的資料匯出成 SCAP 格式,也就是採用 XML/人類看得懂的格式之 ARF 報告檔案。 DCMTOSCAP.exe 工具會針對每個 [相容性設定] 的組態基準,匯出個別的 XCCDF/資料流 ARF 結果檔案。 這些檔案會對應至每個 XCCDF/資料流輸入檔案,以供 SCAPTODCM.exe 工具用來建立每個 [相容性設定] 的組態基準。

  1. 按一下 [開始] > [所有程式] > [SCAP 擴充功能] > [SCAP 擴充功能]。

  2. 在命令提示字元中,輸入下表所列的命令列參數,然後按 ENTER

    System_CAPS_note注意事項

    您的帳戶必須具有 Configuration Manager 站台資料庫的讀取權限,以及使用命令列的 -out 參數所指定之輸出資料夾的寫入權限。

SCAP 1.0/1.1 內容 (例如 USGCB 和 DISA 內容):

dcmtoscap –xccdf <xccdf.xml> -cpe <cpe.xml> -server <CMSiteServerMachineName> -database <CMSiteDatebaseName> -collection <deviceCollectionID> -select <xccdfBenchmark/profile> -out <outputResultFolder>  

System_CAPS_note注意事項

如果內容中有多個基準/設定檔,您應該使用 –select 參數來指定已在用戶端上評估的基準/設定檔。

SCAP1.2 內容 (例如最新的 USGCB 內容):

dcmtoscap –scap <scapdatastreamfile.xml> -server <CMSiteServerMachineName> -database <CMSiteDatebaseName> -collection <deviceCollectionID> -select <datastream/xccdfBenchmark/profile> -out <outputResultFolder>  



System_CAPS_note注意事項

如果內容中有多個資料流/基準/設定檔,您應該使用 –select 參數來指定已在用戶端上評估的資料流/基準/設定檔。

具有外部變數的單一 OVAL 檔案:


dcmtoscap –oval <singleOvalFile.xml> [-variable <externalVariableFile.xml>] -server <CMSiteServerMachineName> -database <CMSiteDatebaseName> -collection <deviceCollectionID>  -out <outputResultFolder>  

System_CAPS_note注意事項

DCMToSCAP 只會產生每部目標電腦的 OVAL 定義結果報告,而不會產生 ARF 報告。

參數

使用方式

必要

-server [SQL Server\\SQL 執行個體]

指定 Configuration Manager 站台資料庫伺服器和 SQL 執行個體的名稱。

-database [SQL 資料庫]

指定 Configuration Manager 站台資料庫的名稱。

-collection [集合識別碼]

指定要產生 SCAP 報告的集合識別碼。

是 (未指定 -machine 時)

-machine [電腦名稱]

指定要產生 SCAP 報告的電腦名稱。

是 (未指定 -collection 時)

-organization [組織名稱]

指定報告中會顯示的組織名稱。 它可以用 ';' 分隔,以指定多行組織名稱。

-type [thin/full/fullnosc]

指定 OVAL 結果類型:精簡結果、完整結果或不含系統特性的完整結果。

No (如果未指定,則預設值為 full)

-scap [scap 資料流檔案]

指定 SCAP 資料流檔案。

是 (適用於 SCAP 1.2 資料流,與 -xccdf 和 -oval / -variable 互斥)

-xccdf [xccdf 檔案]

指定 XCCDF 檔案。

是 (適用於 SCAP 1.0/1.1 XCCDF,與 -scap 和 -oval / -variable 互斥)

-oval [oval 檔案]

指定 OVAL 檔案。

是 (適用於獨立 OVAL 檔案,與 -xccdf 和 -scap 互斥

-variable [oval 外部變數檔案]

指定 OVAL 外部變數檔案。

否 (如果有外部 OVAL 變數檔案,則可選擇性地用於獨立 OVAL 檔案,與 -xccdf 和 -scap 互斥)

-select [-xccdf 基準/設定檔]

從 SCAP 資料流或 XCCDF 檔案選取 XCCDF 基準/設定檔。

是 (必須選取才能產生報告,以便我們可以比對 Configuration Manager 資料庫中的對應 DCM 基準)

-out [輸出目錄]

指定 [相容性設定] 之封包檔的輸出位置。

否 (如果未指定,則這項工具只會列出內容,而不會進行轉換)

-log [記錄檔]

指定記錄檔。

否 (如果未指定,則會將記錄檔寫入 SCAPToDCM.log 檔案)

-help / -?

列印工具使用方式。

System_CAPS_tip提示

您可以指定 -? -h 或 -help 參數,來顯示 DCMTOSCAP.exe 工具的語法和參數清單。

根據預設,DCMTOSCAP.exe 工具會使用您的認證來存取 Configuration Manager 資料庫。 DCMTOSCAP.exe 工具至少需要 Configuration Manager 資料庫的讀取權限。

確認適當的 ARF 報告之後:ARF_xxxx.xml 和/或人類看得懂的格式報告:xxx.txt、Cyberscope 報告:LASR_xxx.xml、ConsumedOval 報告:xx-oval-<電腦名稱>.xml、XCCDF 基準結果報告:xccdf_xxx.xml 檔案,在命令列中輸入 exit,然後按 ENTER 結束命令提示字元。

顯示: