Tivoli Endpoint Manager for Configuration Management SCAP

Transcription

Tivoli Endpoint Manager for
Configuration Management SCAP
Guide d'utilisation
򔻐򗗠򙳰
Remarque
Certaines illustrations de ce manuel ne sont pas disponibles en français à la date d'édition.
Table des matières
Avis aux lecteurs canadiens . . . . . . v
Guide d'utilisation de Configuration
Management SCAP . . . . . . . . . . 1
Listes de contrôle . . . . . . . . . .
Sites personnalisés . . . . . . . . .
Création d'un site personnalisé . . . .
Inscription de clients au site personnalisé .
A propos de SCAP . . . . . . . . .
Information Security Automation Program
Présentation de SCAP . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
1
1
1
2
2
2
Normes SCAP . . . . . . . . . . . .
Options de disponibilité du contenu . . . .
Utilisation de SCAP . . . . . . . . . . .
Inscription au contenu SCAP . . . . . . .
Utilisation de l'assistant d'importation SCAP. .
Utilisation de l'assistant de création de rapports
SCAP . . . . . . . . . . . . . .
Ressources. . . . . . . . . . . . . .
Foire aux questions . . . . . . . . . .
Glossaire . . . . . . . . . . . . .
Abréviations . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
3
5
7
7
8
10
12
12
13
14
iii
iv
Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation
Avis aux lecteurs canadiens
Le présent document a été traduit en France. Voici les principales différences et
particularités dont vous devez tenir compte.
Illustrations
Les illustrations sont fournies à titre d'exemple. Certaines peuvent contenir des
données propres à la France.
Terminologie
La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-vous au
tableau ci-dessous, au besoin.
IBM France
IBM Canada
ingénieur commercial
représentant
agence commerciale
succursale
ingénieur technico-commercial
informaticien
inspecteur
technicien du matériel
Claviers
Les lettres sont disposées différemment : le clavier français est de type AZERTY, et
le clavier français-canadien de type QWERTY.
OS/2 et Windows - Paramètres canadiens
Au Canada, on utilise :
v les pages de codes 850 (multilingue) et 863 (français-canadien),
v le code pays 002,
v le code clavier CF.
Nomenclature
Les touches présentées dans le tableau d'équivalence suivant sont libellées
différemment selon qu'il s'agit du clavier de la France, du clavier du Canada ou du
clavier des États-Unis. Reportez-vous à ce tableau pour faire correspondre les
touches françaises figurant dans le présent document aux touches de votre clavier.
v
Brevets
Il est possible qu'IBM détienne des brevets ou qu'elle ait déposé des demandes de
brevets portant sur certains sujets abordés dans ce document. Le fait qu'IBM vous
fournisse le présent document ne signifie pas qu'elle vous accorde un permis
d'utilisation de ces brevets. Vous pouvez envoyer, par écrit, vos demandes de
renseignements relatives aux permis d'utilisation au directeur général des relations
commerciales d'IBM, 3600 Steeles Avenue East, Markham, Ontario, L3R 9Z7.
Assistance téléphonique
Si vous avez besoin d'assistance ou si vous voulez commander du matériel, des
logiciels et des publications IBM, contactez IBM direct au 1 800 465-1234.
vi
Guide d'utilisation de Configuration Management SCAP
Tivoli Endpoint Manager Configuration Management est un ensemble de contenus
qui se présente sous la forme de listes de contrôle permettant aux entreprises
d'évaluer et de gérer les configurations d'ordinateurs de bureau ou portables et de
serveurs. Tivoli Endpoint Manager Configuration Management est l'un des rares
produits à avoir reçu la certification SCAP (Security Content Automation Protocol)
du NIST (National Institute of Standards and Technology) pour l'évaluation et la
correction des erreurs de configuration. Configuration Management fournit une
bibliothèque complète de contrôles techniques et permet ainsi de détecter et
d'appliquer les règles de configuration de sécurité selon les meilleures pratiques du
secteur.
Listes de contrôle
Les listes de contrôle Configuration Management permettent d'évaluer et de gérer
les configurations d'ordinateurs de bureau ou portables et de serveurs. Les équipes
de sécurité utilisent les listes de contrôle Configuration Management pour définir
et évaluer les paramètres et configurations de sécurité exigés par la stratégie de
l'entreprise. Les responsables informatiques utilisent les listes de contrôle
Configuration Manager pour appliquer la stratégie de sécurité et indiquer l'état
actuel de conformité avec la stratégie documentée. Les auditeurs les utilisent pour
déterminer l'état actuel de conformité d'un ensemble de systèmes donné de
l'entreprise.
Pour plus d'informations sur la configuration de listes de contrôle Windows ou
UNIX, voir le manuel Guide des listes de contrôle Configuration Management.
Sites personnalisés
Vous pouvez contrôler l'état de la sécurité en personnalisant votre Configuration
Management et en excluant certains ordinateurs de l'analyse. Vous pouvez
également créer des sites personnalisés et modifier l'affectation des listes de
contrôle de Configuration Manager pour optimiser votre déploiement.
Création d'un site personnalisé
Pour créer une liste de contrôle personnalisée basée sur une ou plusieurs listes de
contrôle externes auxquelles vous êtes inscrit, utilisez l'assistant Create Custom
Checklist [Création d'une liste de contrôle personnalisée] accessible dans le dossier
"Checklist Tools" [Outils de liste de contrôle] dans le domaine Security
Configuration [Sécurité de configuration] de la console. Pour plus d'informations
sur l'utilisation de cet assistant, voir le Guide des listes de contrôle de Configuration
Management.
Inscription de clients au site personnalisé
Après avoir créé votre site personnalisé, vous devez y inscrire des ordinateurs.
Pour être réalisée correctement, la collecte de données de conformité doit cibler le
contenu sur des ordinateurs appropriés. Vous pouvez inscrire des ordinateurs à
votre site en ciblant des ordinateurs spécifiques ou en spécifiant des propriétés.
1
Pour plus d'informations sur la création et la gestion de sites personnalisés, voir le
Guide d'utilisation de Configuration Management.
A propos de SCAP
L'automatisation des configurations techniques sur les périphériques
d'infrastructures d'entreprise constitue depuis toujours un défi. Des organismes tels
que le National Institute of Standards and Technology (NIST), la National Security
Agency (NSA), le Center for Internet Security (CIS) et la Defense Information
Systems Agency (DISA) ont tenté de formuler des recommandations sur ce sujet
par le biais de documentations, de normes et de directives. Toutefois, les limites
technologiques ont empêché l'automatisation complète de ces configurations
techniques, en particulier sur des environnements répartis dans le monde entier.
Le protocole SCAP (Security Content Automation Protocol) a été adopté pour
relever ce défi. Intégré à Configuration Management, SCAP est une méthode
d'automatisation de la définition, de l'utilisation et de l'évaluation des
configurations système des ordinateurs de bureau de l'infrastructure d'une
entreprise. IBM Tivoli Endpoint Manager fournit une visibilité et un contrôle en
temps réel des configurations système par le biais d'une infrastructure, d'un agent
et d'une console uniques. Elle permet l'évaluation et l'application continues des
lignes de base de configurations SCAP pour les systèmes connectés ou non au
réseau. Grâce à Tivoli Endpoint Manager, les agences fédérales peuvent facilement
identifier les systèmes non conformes à un flux de données SCAP, corriger les
paramètres non conformes et signaler le statut de la configuration d'un ou de
plusieurs systèmes en temps réel.
Information Security Automation Program
Information Security Automation Program (ISAP) automatise et normalise les
opérations techniques de sécurité. S'adressant principalement aux gouvernements,
ISAP permet la réalisation de vérifications et de corrections de sécurité, ainsi que
l'automatisation des activités de mise en conformité technique avec des
réglementations telles que FISMA et FDCC.
Les objectifs de l'ISAP incluent la mise en place de la communication normalisée
de données de vulnérabilité, la personnalisation et la gestion des lignes de base de
configuration pour divers produits informatiques, l'évaluation des systèmes
d'information et le signalement du statut de conformité, l'utilisation de mesures
normées pour pondérer et agréger l'impact des vulnérabilités potentielles et la
correction des vulnérabilités identifiées.
Présentation de SCAP
Les spécifications techniques d'ISAP sont contenues dans le Security Content
Automation Protocol (SCAP) qui lui est lié. SCAP se compose d'un ensemble de
normes qui permettent l'automatisation de la gestion et de la mesure des
vulnérabilités ainsi que de l'évaluation de la conformité à une règle, comme par la
conformité FISMA.
En particulier, les normes SCAP répondent aux objectifs suivants :
v Répertorier les défauts logiciels, les problèmes de configuration liés à la sécurité
et les noms des produits
v Mesurer les systèmes pour déterminer la présence de vulnérabilités
2
v Fournir des mécanismes permettant de classer les résultats de ces mesures pour
évaluer l'impact des problèmes de sécurité découverts
SCAP définit la façon dont ces normes sont combinées. Le National Institute of
Standards and Technology des Etats-Unis (NIST) maintient le National Checklist
Program (NCP) et fournit un référentiel de flux de données qui utilisent les normes
SCAP. Il s'agit également du référentiel des données des normes SCAP officielles.
Le NIST définit et met à jour le protocole et les flux de données de contenu des
normes SCAP. Ainsi, le NIST définit comment utiliser les normes ouvertes dans le
contexte de SCAP et définit les mappages entre les normes d'énumération SCAP.
Normes SCAP
SCAP se compose des normes suivantes :
Common Vulnerabilities and Exposures (CVE)
La norme SCAP CVE est un dictionnaire d'informations publiques relatives aux
vulnérabilités de sécurité qui permet d'échanger des données entre des produits de
sécurité et de fournir un indice de ligne de base pour l'évaluation de la couverture
des outils et services.
Tivoli Endpoint Manager prend en charge CVE depuis plusieurs versions et
maintient une intégration aboutie de ses produits avec le contenu CVE. Les
correctifs de sécurité ou vulnérabilités auxquels un ID CVE est associé et qui sont
disponibles sous la forme d'un flux de données SCAP ou par le biais d'autres
processus développés par Tivoli Endpoint Manager affichent l'ID CVE concerné
dans la console de gestion Tivoli Endpoint Manager.
Vous pouvez consulter le correctif ou la vulnérabilité associé à cet ID en ouvrant la
console de gestion Tivoli Endpoint Manager et en accédant à un site Fixlet de
correctif ou de vulnérabilité, en double-cliquant sur un Fixlet approprié, puis en
sélectionnant l'onglet Details [Détails] et en affichant l'ID CVE concerné. L'ID CVE
est également accessible depuis d'autres vues et peut être utilisé en tant que critère
de signalement pour les rapports détaillés et résumés sur les systèmes de points
d'extrémité individuels ou d'un groupe important de systèmes signalés comme
étant connectés dans un agrégat.
Common Configuration Enumeration (CCE)
La norme SCAP CCE fournit des identifiants uniques à des problèmes de
configuration système pour faciliter le rapprochement rapide et précis des données
de configuration provenant de plusieurs outils et sources d'informations. Par
exemple, les identifiants CCE peuvent associer des vérifications d'outils
d'évaluation de la configuration avec des conseils issus de meilleures pratiques de
configuration. La plateforme Tivoli Endpoint Manager permet d'accéder aux
stations de travail, ordinateurs portables, serveurs et périphériques mobiles avec
des paramètres de configuration communs pour identifier les états de
configuration incorrects dans un environnement informatique hétérogène. Tivoli
Endpoint Manager prend totalement en charge CCE et affiche l'ID CCE de chaque
erreur de configuration pour laquelle il existe un ID CCE dans la console de
gestion Tivoli Endpoint Manager. Si une erreur de configuration est associée à
plusieurs ID CCE, les références croisées sont résolues et tous les ID sont affichés.
3
Pour trouver l'ID CCE associé à un paramètre de configuration, ouvrez la console
de gestion Tivoli Endpoint Manager et accédez à un paramètre de configuration
utilisé par un flux de données SCAP. Cliquez sur un Fixlet qui représente un
paramètre de configuration, puis consultez la colonne Source ID [ID de la source].
Cette colonne indique l'ID CCE. L'ID CCE est également accessible depuis d'autres
vues et peut être utilisé en tant que critère de signalement pour les rapports
détaillés et résumés sur les systèmes de points d'extrémité individuels ou d'un
groupe important de systèmes signalés comme étant connectés dans un agrégat.
Common Platform Enumeration (CPE)
La norme SCAP CPE est un schéma de dénomination structuré pour les systèmes,
plateformes et packages des technologies de l'information. Basé sur la syntaxe
générique des Uniform Resource Identifiers (URI), le CPE inclut un format de nom
officiel, un langage de description des plateformes complexes, une méthode de
vérification des noms par rapport à un système et un format de description pour la
liaison de texte et de tests à un nom. Tivoli Endpoint Manager permet d'utiliser le
CPE comme outil de vérification garantissant que les paramètres de configuration
sont évalués sur le bon système. Quel que soit le système d'exploitation, l'ID CPE
peut identifier une plateforme et s'assurer qu'une évaluation est effectuée.
Vous pouvez évaluer et corriger les configurations système en ciblant les systèmes
par plateforme ou à l'aide d'autres mécanismes de ciblage. En ciblant une
plateforme spécifique, vous pouvez garantir que les analyses des systèmes sont
correctement effectuées et sont mises en balance avec les contrôles de configuration
applicables. Les vérifications sont évaluées en temps réel selon la plateforme, et
des règles peuvent être appliquées, ce qui permet aux administrateurs de disposer
d'une visibilité et d'un contrôle en temps réel sur les plateformes d'un
environnement informatique distribué ou non.
Common Vulnerability Scoring System (CVSS)
La norme SCAP CVSS fournit un cadre ouvert de communication des
caractéristiques de vulnérabilités informatiques. Son modèle quantitatif garantit des
mesures reproductibles et précises tout en affichant les caractéristiques des
vulnérabilités utilisées pour générer les résultats. Ainsi, CVSS constitue un système
de mesure normalisé adapté aux industries, entreprises et agences qui ont besoin
de résultats d'impact de vulnérabilité précis et cohérents.
Tivoli Endpoint Manager évalue et signale les vulnérabilités et quantifie leur
impact pour plusieurs plateformes informatiques. Tivoli Endpoint Manager prend
totalement en charge la norme CVSS et affiche le résultat de base CVSS pour
chaque vulnérabilité applicable et le vecteur de résultat de base CVSS utilisé pour
calculer le résultat.
Les administrateurs Tivoli Endpoint Manager peuvent accéder au résultat CVSS et
à la chaîne du vecteur associé au sein de la console de gestion Tivoli Endpoint
Manager. Pour plus d'informations, les administrateurs peuvent accéder à la
définition d'une vulnérabilité depuis les Fixlets. Tivoli Endpoint Manager fournit
aux administrateurs un lien leur permettant de se connecter à la définition CVSS
hébergée sur le site Web de la NVD. La plateforme Tivoli Endpoint Manager
accroît encore l'intérêt de CVSS en affichant cette mesure commune dans les
rapports détaillés portant sur des systèmes de point d'extrémité individuels ou
pour un groupe important de systèmes signalés comme étant connectés dans un
agrégat.
4
Extensible Configuration Checklist Description Format (XCCDF)
La norme SCAP XCCDF est un langage de spécification pour l'écriture de listes de
contrôle de sécurité, de tests de performances et d'autres documents liés à la
sécurité. Un document XCCDF représente un ensemble structuré de règles de
configuration de sécurité pour certains ensembles de systèmes cible. Il s'agit de
l'élément central du flux de données SCAP. Cette spécification définit également un
modèle et un format de données pour le stockage des résultats des tests de
conformité aux listes de contrôle.
Les flux de données SCAP utilisent le format XCCDF pour convertir les
vérifications de configuration sous-jacentes définies dans des Fixlets Tivoli
Endpoint Manager. Lors de leur création, ces Fixlets de configuration basés sur
SCAP permettent aux administrateurs d'évaluer leurs actifs informatiques par
rapport aux règles de configuration définies dans SCAP en temps réel et de
manière globale.
Lorsque les règles de configuration SCAP sont importées dans la plateforme Tivoli
Endpoint Manager, tout système peut immédiatement être évalué par rapport aux
règles de configuration définies. Les résultats de ces vérifications de configuration
sont transmis à la console Tivoli Endpoint Manager, dans laquelle les
administrateurs peuvent les consulter et générer des rapports détaillés sur un
système particulier ou un groupe important de systèmes.
Tivoli Endpoint Manager exporte également les résultats des vérifications de
configuration au format de rapport XCCDF défini de manière à ce que l'entreprise
puisse facilement stocker, envoyer ou importer ces rapports dans un autre outil.
Open Vulnerability and Assessment Language (OVAL)
La norme SCAP OVAL est une norme internationale sur les informations de
sécurité favorisant la sécurité du contenu et normalisant le transfert de ces
informations entre les différents services et outils de sécurité. Le langage OVAL est
un ensemble de schémas XML représentant les informations du système, exprimant
des états spécifiques et signalant les résultats d'une évaluation.
Par le biais d'un référentiel de règles d'évaluation des vulnérabilités, Tivoli
Endpoint Manager permet d'évaluer des ordinateurs gérés par rapport aux
définitions de vulnérabilité OVAL à l'aide d'un suivi des données en temps réel
basé sur les éléments de données de chaque définition. Ces règles sont
automatiquement récupérées par le produit Tivoli Endpoint Manager dans le
réseau d'une entreprise. Une fois leur authenticité validée, les règles sont rendues
disponibles sur le client Tivoli Endpoint Manager installé sur chaque ordinateur
géré et ajoutées à leur bibliothèque locale de règles de configuration. L'agent
évalue en continu l'état de l'ordinateur par rapport à chaque règle, si bien que
toute instance de non conformité est immédiatement signalée au serveur Tivoli
Endpoint Manager afin d'être examinée par un administrateur. Si elle a été
pré-autorisée par un administrateur, l'action corrective appropriée est appliquée
dès la détection de l'erreur de configuration, même pour les utilisateurs distants ou
mobiles non connectés au réseau de l'entreprise.
Options de disponibilité du contenu
SCAP se compose de listes de contrôle Fixlet SCAP et d'assistants de génération
SCAP, que les administrateurs Tivoli Endpoint Manager peuvent utiliser pour gérer
et maintenir le contenu des listes de contrôle SCAP et les résultats de conformité.
5
Listes de contrôle Fixlet SCAP
Tivoli Endpoint Manager distribue des Fixlets par le biais de l'inscription et des
sites. Tivoli Endpoint Manager a généré du contenu Tivoli Endpoint Manager à
partir du fichier XML de la liste de contrôle SCAP et l'a rendu disponible via
l'inscription. Les clients chargent les génériques des sites externes pour chaque liste
de contrôle SCAP disponible dans la console Tivoli Endpoint Manager, puis le
serveur Tivoli Endpoint Manager télécharge le contenu et le met à la disposition de
l'administrateur Tivoli Endpoint Manager pour qu'il puisse commencer l'évaluation
des systèmes.
Tivoli Endpoint Manager fournit actuellement du contenu prêt à l'emploi pour les
listes de contrôle SCAP Federal Desktop Core Configuration (FDCC). Lorsque le
NIST fournira de nouvelles listes de contrôle, Tivoli Endpoint Manager pourra
inclure ces sites dans le service d'inscription.
En plus des sites Fixlet, Tivoli Endpoint Manager inclut également un tableau de
bord de rapports qui offre une visibilité sur les résultats des évaluations des
systèmes et un tableau de bord de génération de contenu Tivoli Endpoint Manager
à partir d'une liste de contrôle SCAP. Ces tableaux de bord sont accessibles sur le
site Configuration Management Reporting [Génération de rapports Configuration
Management].
Les listes de contrôle SCAP prêtes à l'emploi suivantes sont actuellement fournies
avec ce produit :
v FDCC sur Windows XP
v FDCC sur Windows XP Firewall
v FDCC sur Windows Vista
v
v
v
v
v
v
FDCC sur Windows Vista Firewall
FDCC sur Internet Explorer 7
USGCB sur Windows 7 Firewall
USGCB sur Windows 7 Energy
USGCB sur Internet Explorer 8
USGCB sur Windows 7
Assistants de génération SCAP
Vous pouvez personnaliser les listes de contrôle SCAP afin de générer vos listes de
contrôle de configuration personnalisées plutôt que d'utiliser du contenu basé sur
l'inscription. Pour faciliter ce processus, Tivoli Endpoint Manager fournit des outils
permettant d'utiliser une liste de contrôle SCAP et de générer des Fixlets
permettant d'évaluer un ou plusieurs points d'extrémité.
Les outils suivants sont inclus :
1. SCAP Import Wizard [Assistant d'importation SCAP] : cet assistant génère du
contenu Tivoli Endpoint Manager à partir d'une liste de contrôle SCAP. Le
contenu est ensuite importé dans un site personnalisé que vous créez à cette
fin. Il inclut un Fixlet pour chaque vérification de la liste de contrôle SCAP.
6
2. SCAP Report Creation Wizard [Assistant de création de rapports SCAP] : cet
assistant permet de créer un fichier de résultats pour chaque point d'extrémité
géré.
Utilisation de SCAP
Tivoli Endpoint Manager fournit des mises à jour régulières du contenu FDCC.
Toutefois, vous pouvez également utiliser les outils SCAP pour générer du contenu
à partir d'autres listes de contrôle SCAP.
Inscription au contenu SCAP
La solution Tivoli Endpoint Manager Configuration Management se compose de
plusieurs sites Fixlets externes qui peuvent être importés dans la console Tivoli
Endpoint Manager afin d'évaluer un ou plusieurs systèmes. Chaque Fixlet fournit
un ensemble de contenus spécifique basé sur la conversion d'un flux de données
SCAP en un ensemble de Fixlets. Chaque Fixlet représente une seule vérification
de la configuration, telle que décrite dans le flux de données SCAP.
7
Une fois que le site SCAP est chargé dans la console, le contenu est mis à jour et
évalue en permanence la conformité des points d'extrémité par rapport à la norme
de configuration.
La procédure d'inscription à un site dépend de la version de votre console Tivoli
Endpoint Manager. Pour des instructions plus précises sur l'inscription à un site,
voir l'article de la base de connaissances Tivoli Endpoint Manager accessible ici.
Une fois que le site SCAP est chargé dans la console, le serveur Tivoli Endpoint
Manager rassemble le contenu et l'affiche dans l'arborescence de navigation
Configuration Management.
Remarque : Lorsque Tivoli Endpoint Manager génère des Fixlets à partir d'un flux
de données SCAP, les chaînes CPE associées à ce flux de données déterminent les
types de systèmes devant être évalués par rapport au contenu. S'ils sont inscrits,
les systèmes évaluent le contenu dans la mesure où il correspond à la chaîne CPE
définie. Ce comportement peut être modifié. Pour plus d'informations, voir le site
Web d'assistance de Tivoli Endpoint Manager.
Utilisation de l'assistant d'importation SCAP
Cet assistant permet de générer du contenu Tivoli Endpoint Manager à partir d'un
ensemble de fichiers d'entrée XML SCAP.Le contenu généré inclut un Fixlet pour
chaque vérification de la liste de contrôle SCAP.Avant d'utiliser l'assistant, vous
devez créer un site personnalisé destiné à contenir la liste de contrôle résultante.
Pour plus d'informations sur l'utilisation de listes de contrôle personnalisées, voir
le Guide d'utilisation de Configuration Management.
8
Les listes de contrôle SCAP sont accessibles ici. L'assistant d'importation SCAP a
été validé pour les listes de contrôle de niveau IV de ce référentiel. Pour utiliser
l'assistant d'importation, procédez comme suit :
1. Cliquez sur Browse [Parcourir] et sélectionnez le fichier XCCDF à importer.
2. Facultatif : cochez la case relative aux exigences du contenu OVAL.
3. Facultatif : spécifiez un fichier de schéma XSD XCCDF qui permettra de
valider l'entrée XML.
4. Cliquez sur Load Profiles [Charger des profils]. La fenêtre de sélection de profils
XCCDF s'affiche. Ce processus peut prendre de 1 à 2 minutes.
5. Sélectionnez un profil XCCDF à partir du menu.
6. Cliquez sur Import [Importer]. La fenêtre Import Content [Importer le contenu]
s'affiche. Sélectionnez le site personnalisé dans le menu, puis cliquez sur OK.
9
Utilisation de l'assistant de création de rapports SCAP
Pour générer un fichier de résultats XCCDF pour chaque point d'extrémité à l'aide
de l'assistant de création de rapports SCAP, procédez comme suit :
1. Cliquez sur SCAP Report Creation [Création de rapports SCAP].
2. Sélectionnez les paramètres du rapport.
a. Spécifiez une liste de contrôle SCAP à partir du menu.
b. Pour spécifier un dossier de sortie, cliquez sur le premier bouton Browse
[Parcourir].
c. Facultatif : pour spécifier un schéma XCCDF de validation des fichiers,
cliquez sur le deuxième bouton Browse [Parcourir].
10
3. Ciblez des ordinateurs.
Vous pouvez cibler des ordinateurs par nom, propriété ou groupe
d'ordinateurs. Vous pouvez également entrer manuellement une liste
d'ordinateurs dans la zone appropriée. Cliquez sur le bouton View Targeted
Computers [Afficher les ordinateurs cible] pour vérifier votre sélection.
4. Sélectionnez des propriétés de rapport supplémentaires.
Utilisez la barre de défilement pour consulter une liste des propriétés de
rapport disponibles. Cochez les cases appropriées et consultez les sélections
dans la zone Included in Report [Inclus dans le rapport] correspondante de
droite.
5. Cliquez sur Create Report [Créer un rapport].
Allouez suffisamment de temps à la création de ces rapports. La durée
nécessaire à la génération d'un rapport dépend de la taille de votre
déploiement. Par exemple, la création d'un rapport pour un déploiement de
5 000 ordinateurs peut prendre jusqu'à 15 minutes sur un ordinateur de
console présentant la puissance appropriée.
11
Ressources
Foire aux questions
Existe-t-il des rapports ou des mécanismes d'évaluation de la conformité qui
permettent d'évaluer un ordinateur portable ou un serveur par rapport aux
normes FISMA/NIST/DISA ?
Endpoint Manager Configuration Management permet d'évaluer des serveurs,
ordinateurs portables et ordinateurs de bureau par rapport à un ensemble
prédéfini de normes de configuration telles que DISA STIG (Standard Technical
Implementation Guides) et FDCC (Federal Desktop Core Configuration). Tivoli
Endpoint Manager prend également en charge les normes de configuration du
NIST, de la NSA et d'autres organisations normatives. L'utilisation des contrôles de
configuration standard du produit Tivoli Endpoint Manager dans les
environnements Windows et UNIX permet de respecter les réglementations de
conformité (FISMA, PCI, etc.).
Quelles sont les actions que je ne peux pas effectuer à l'aide de ce contenu ?
La solution Tivoli Endpoint Manager Confirmation Management est conçue pour
être très flexible. Toutefois, la fonctionnalité de correction sous Windows et Unix ne
concerne qu'un certain nombre de paramètres de configuration donnés. Certains
contrôles ne peuvent pas être corrigés. La fonctionnalité de paramétrage sous
Windows et Unix est elle aussi limitée à des paramètres de configuration
spécifiques. Comme pour la correction, tous les éléments ne peuvent pas et ne
doivent pas être paramétrés.
Que se passe-t-il si j'inscris un système à des sites de manière incorrecte ?
Si possible, utilisez la fonctionnalité d'inscription aux sites lors du déploiement de
Configuration Management pour garantir que le tableau de bord et les rapports
calculent les résultats de conformité de manière précise. Les contrôles
Configuration Management procèdent à l'évaluation sur tous les points d'extrémité
inscrits, y compris sur les systèmes qui ne devraient pas évaluer le contenu.
L'utilisation correcte des inscriptions garantit que seuls les systèmes désignés
procèdent à l'évaluation du contenu. Lors de l'installation de sites Confirmation
Management d'origine, modifiez immédiatement l'inscription. Lors de la création
de listes de contrôle personnalisées, veillez à inscrire les systèmes appropriés. En
effet, si les systèmes ne sont pas inscrits de manière appropriée, les rapports
Configuration Management ne calculent pas la conformité correctement.
Exemple :
Si vous chargez les génériques pour Windows XP, le comportement par défaut
consiste à mesurer le contenu sur tous les systèmes, y compris les systèmes
Windows XP, Windows Vista et UNIX. Par conséquent, tous les systèmes autres
que Windows XP renvoient le résultat Not Relevant [Non pertinent]. Ces résultats
se traduisent par Compliant [Conforme] lors de l'exécution des rapports. Lorsque
l'inscription aux sites est paramétrée pour n'inclure que des systèmes Windows XP,
seuls ces derniers sont évalués. Cela permet de s'assurer que les rapports de
conformité génèrent des résultats précis.
12
La date d'émission de la source du contenu FDCC doit-elle être la date
d'émission par le NIST ou la date de génération du contenu ?
Toutes les données consommées dans un flux de données SCAP comprennent les
dates de référence suivantes :
1. Date de sortie de la source : cette date représente la date à laquelle Tivoli
Endpoint Manager a généré les Fixlets de configuration d'origine à partir d'un
flux de données SCAP ou la date à laquelle un utilisateur a généré du contenu
à l'aide de l'outil SCAPEval.exe. Cette date est affichée dans la colonne Source
Release Date [Date de sortie de la source] de chaque Fixlet présent dans la console
Tivoli Endpoint Manager.
2. Statut et date de publication : dans le flux de données SCAP, chaque objet de
liste de contrôle inclut un élément de statut indiquant le statut de révision ou
de normalisation de la liste de contrôle. Cet élément doit apparaître une fois
dans un objet de liste de contrôle et peut apparaître une fois dans n'importe
quel sous-élément. Si un sous-élément ne dispose d'aucun élément de statut,
l'élément parent est utilisé. Cet élément inclut un statut (accepted [accepté],
deprecated [obsolète], draft [préliminaire], interim [provisoire] ou incomplete
[incomplet]) et la date à laquelle ce statut a été attribué à l'évaluation. Lorsque
les Fixlets sont créés, le statut approprié est ajouté à la section Description of
Checklist Information [Description des informations de la liste de contrôle] du Fixlet :
v
v
v
v
Accepted Date [Date Accepté] : AAAA-MM-JJ
Deprecated Date [Date Obsolète] : AAAA-MM-JJ
Draft Date [Date Préliminaire] : AAAA-MM-JJ
Interim Date [Date Provisoire] : AAAA-MM-JJ
v Incomplete Date [Date Incomplète] : AAAA-MM-JJ
Glossaire
Contenu SCAP
Le contenu SCAP se compose de données de liste de contrôle de sécurité
représentées dans des formats XML automatisés, d'énumérations de
vulnérabilités et de noms de produits et de mappages d'énumérations.
Enumérations SCAP
Les énumérations SCAP incluent une liste de tous les défauts logiciels liés
à la sécurité connus (CVE), une liste de tous les problèmes de
configuration des logiciels connus (CCE) et une liste des noms des
fournisseurs et produits standard (CPE).
Listes de contrôle SCAP
Les listes de contrôle SCAP sont des listes de contrôle de configuration
écrites dans un langage lisible par l'ordinateur (XCCDF). Les listes de
contrôle SCAP, également nommées "listes de contrôle" ou "lignes de base",
ont été validées par le National Checklist Program du NIST. Elles se
conforment également à un modèle SCAP pour garantir la compatibilité
avec les services et produits SCAP. Le modèle SCAP évoque les exigences
d'inclusion d'énumérations et de mappages SCAP à la liste de contrôle.
Mappages SCAP
Les mappages lient les énumérations et fournissent des mesures normées
de l'impact des défauts logiciels et des problèmes de configuration. Ainsi,
pour chaque défaut logiciel (CVE), il est possible de déterminer les noms
des produits standard affectés (CPE). Pour tout nom de produit standard
(CPE), il est possible de déterminer les problèmes de configuration qui
13
affectent le produit (CCE). Pour tout défaut logiciel (CVE) ou problème de
configuration (CCE), il est possible de déterminer le résultat d'impact
standard (CVSS).
Procédures de test SCAP
Les listes de contrôle SCAP font référence à des "procédures de test SCAP"
pour les informations lisibles par les ordinateurs sur la réalisation de
vérifications de bas niveau de l'état des ordinateurs (OVAL). Les
procédures de test SCAP sont utilisées conjointement avec les listes de
contrôle SCAP.
Rapports SCAP
Les rapports SCAP sont requis pour inclure les énumérations et les
mappages SCAP conformément au modèle SCAP.
Vérification SCAP
Vérification spécifique de la configuration au sein d'une liste de contrôle
SCAP. Les vérifications sont écrites en XCCDF et sont nécessaires pour
inclure les énumérations et les mappages SCAP conformément au modèle
SCAP.
Abréviations
CCE
Common Configuration Enumeration
CPE
Common Platform Enumeration
CVE
Common Vulnerabilities and Exposures
CVSS Common Vulnerability Scoring System
DHS
Department of Homeland Security [Ministère américain de la sécurité
intérieure]
DISA Defense Information Systems Agency
DoD
Department of Defense [Ministère américain de la défense]
DOE
Department of Energy [Ministère américain de l'énergie]
FDCC Federal Desktop Core Configuration
FISMA
Federal Information Security Management Act
NCP
National Checklist Program
NIST
National Institute of Standards and Technology
NSA
National Security Agency
NVD
National Vulnerability Database
OMB
Office of Management and Budget [Bureau américain de la gestion et du
budget]
OVAL Open Vulnerability and Assessment Language
SCAP Security Content Automation Protocol
STIG
Standard Technical Implementation Guide
CONFIGURATION MANAGEMENT
Security Configuration Management
XCCDF
eXtensible Configuration Checklist Description Format
14
15

Tivoli Endpoint Manager for Configuration Management SCAP

Transcription

Documents pareils

Consolider et pérenniser la stratégie de création des aires

Découvrez mon CV

Prix : 126 000 € FAI 05 57 22 85 96

Prix : 129 500 € FAI 05 57 22 85 96

DÎNER DE LA SAINT VALENTIN À TIVOLI ORIENTE

Prix : 398 000 € FAI 05 57 22 85 96

Prix : 148 400 € FAI 05 57 22 85 96

IBM Tivoli Storage Manager 6.3 - Mise en oeuvre et

Prix : 227 000 € FAI 05 57 22 85 96

Imprimer cette fiche