Tivoli Endpoint Manager for Configuration Management SCAP
Transcription
Tivoli Endpoint Manager for Configuration Management SCAP
Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation Remarque Certaines illustrations de ce manuel ne sont pas disponibles en français à la date d'édition. Table des matières Avis aux lecteurs canadiens . . . . . . v Guide d'utilisation de Configuration Management SCAP . . . . . . . . . . 1 Listes de contrôle . . . . . . . . . . Sites personnalisés . . . . . . . . . Création d'un site personnalisé . . . . Inscription de clients au site personnalisé . A propos de SCAP . . . . . . . . . Information Security Automation Program Présentation de SCAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1 1 1 2 2 2 Normes SCAP . . . . . . . . . . . . Options de disponibilité du contenu . . . . Utilisation de SCAP . . . . . . . . . . . Inscription au contenu SCAP . . . . . . . Utilisation de l'assistant d'importation SCAP. . Utilisation de l'assistant de création de rapports SCAP . . . . . . . . . . . . . . Ressources. . . . . . . . . . . . . . Foire aux questions . . . . . . . . . . Glossaire . . . . . . . . . . . . . Abréviations . . . . . . . . . . . . . . . . . . . . . . 3 5 7 7 8 10 12 12 13 14 iii iv Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation Avis aux lecteurs canadiens Le présent document a été traduit en France. Voici les principales différences et particularités dont vous devez tenir compte. Illustrations Les illustrations sont fournies à titre d'exemple. Certaines peuvent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-vous au tableau ci-dessous, au besoin. IBM France IBM Canada ingénieur commercial représentant agence commerciale succursale ingénieur technico-commercial informaticien inspecteur technicien du matériel Claviers Les lettres sont disposées différemment : le clavier français est de type AZERTY, et le clavier français-canadien de type QWERTY. OS/2 et Windows - Paramètres canadiens Au Canada, on utilise : v les pages de codes 850 (multilingue) et 863 (français-canadien), v le code pays 002, v le code clavier CF. Nomenclature Les touches présentées dans le tableau d'équivalence suivant sont libellées différemment selon qu'il s'agit du clavier de la France, du clavier du Canada ou du clavier des États-Unis. Reportez-vous à ce tableau pour faire correspondre les touches françaises figurant dans le présent document aux touches de votre clavier. v Brevets Il est possible qu'IBM détienne des brevets ou qu'elle ait déposé des demandes de brevets portant sur certains sujets abordés dans ce document. Le fait qu'IBM vous fournisse le présent document ne signifie pas qu'elle vous accorde un permis d'utilisation de ces brevets. Vous pouvez envoyer, par écrit, vos demandes de renseignements relatives aux permis d'utilisation au directeur général des relations commerciales d'IBM, 3600 Steeles Avenue East, Markham, Ontario, L3R 9Z7. Assistance téléphonique Si vous avez besoin d'assistance ou si vous voulez commander du matériel, des logiciels et des publications IBM, contactez IBM direct au 1 800 465-1234. vi Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation Guide d'utilisation de Configuration Management SCAP Tivoli Endpoint Manager Configuration Management est un ensemble de contenus qui se présente sous la forme de listes de contrôle permettant aux entreprises d'évaluer et de gérer les configurations d'ordinateurs de bureau ou portables et de serveurs. Tivoli Endpoint Manager Configuration Management est l'un des rares produits à avoir reçu la certification SCAP (Security Content Automation Protocol) du NIST (National Institute of Standards and Technology) pour l'évaluation et la correction des erreurs de configuration. Configuration Management fournit une bibliothèque complète de contrôles techniques et permet ainsi de détecter et d'appliquer les règles de configuration de sécurité selon les meilleures pratiques du secteur. Listes de contrôle Les listes de contrôle Configuration Management permettent d'évaluer et de gérer les configurations d'ordinateurs de bureau ou portables et de serveurs. Les équipes de sécurité utilisent les listes de contrôle Configuration Management pour définir et évaluer les paramètres et configurations de sécurité exigés par la stratégie de l'entreprise. Les responsables informatiques utilisent les listes de contrôle Configuration Manager pour appliquer la stratégie de sécurité et indiquer l'état actuel de conformité avec la stratégie documentée. Les auditeurs les utilisent pour déterminer l'état actuel de conformité d'un ensemble de systèmes donné de l'entreprise. Pour plus d'informations sur la configuration de listes de contrôle Windows ou UNIX, voir le manuel Guide des listes de contrôle Configuration Management. Sites personnalisés Vous pouvez contrôler l'état de la sécurité en personnalisant votre Configuration Management et en excluant certains ordinateurs de l'analyse. Vous pouvez également créer des sites personnalisés et modifier l'affectation des listes de contrôle de Configuration Manager pour optimiser votre déploiement. Création d'un site personnalisé Pour créer une liste de contrôle personnalisée basée sur une ou plusieurs listes de contrôle externes auxquelles vous êtes inscrit, utilisez l'assistant Create Custom Checklist [Création d'une liste de contrôle personnalisée] accessible dans le dossier "Checklist Tools" [Outils de liste de contrôle] dans le domaine Security Configuration [Sécurité de configuration] de la console. Pour plus d'informations sur l'utilisation de cet assistant, voir le Guide des listes de contrôle de Configuration Management. Inscription de clients au site personnalisé Après avoir créé votre site personnalisé, vous devez y inscrire des ordinateurs. Pour être réalisée correctement, la collecte de données de conformité doit cibler le contenu sur des ordinateurs appropriés. Vous pouvez inscrire des ordinateurs à votre site en ciblant des ordinateurs spécifiques ou en spécifiant des propriétés. 1 Pour plus d'informations sur la création et la gestion de sites personnalisés, voir le Guide d'utilisation de Configuration Management. A propos de SCAP L'automatisation des configurations techniques sur les périphériques d'infrastructures d'entreprise constitue depuis toujours un défi. Des organismes tels que le National Institute of Standards and Technology (NIST), la National Security Agency (NSA), le Center for Internet Security (CIS) et la Defense Information Systems Agency (DISA) ont tenté de formuler des recommandations sur ce sujet par le biais de documentations, de normes et de directives. Toutefois, les limites technologiques ont empêché l'automatisation complète de ces configurations techniques, en particulier sur des environnements répartis dans le monde entier. Le protocole SCAP (Security Content Automation Protocol) a été adopté pour relever ce défi. Intégré à Configuration Management, SCAP est une méthode d'automatisation de la définition, de l'utilisation et de l'évaluation des configurations système des ordinateurs de bureau de l'infrastructure d'une entreprise. IBM Tivoli Endpoint Manager fournit une visibilité et un contrôle en temps réel des configurations système par le biais d'une infrastructure, d'un agent et d'une console uniques. Elle permet l'évaluation et l'application continues des lignes de base de configurations SCAP pour les systèmes connectés ou non au réseau. Grâce à Tivoli Endpoint Manager, les agences fédérales peuvent facilement identifier les systèmes non conformes à un flux de données SCAP, corriger les paramètres non conformes et signaler le statut de la configuration d'un ou de plusieurs systèmes en temps réel. Information Security Automation Program Information Security Automation Program (ISAP) automatise et normalise les opérations techniques de sécurité. S'adressant principalement aux gouvernements, ISAP permet la réalisation de vérifications et de corrections de sécurité, ainsi que l'automatisation des activités de mise en conformité technique avec des réglementations telles que FISMA et FDCC. Les objectifs de l'ISAP incluent la mise en place de la communication normalisée de données de vulnérabilité, la personnalisation et la gestion des lignes de base de configuration pour divers produits informatiques, l'évaluation des systèmes d'information et le signalement du statut de conformité, l'utilisation de mesures normées pour pondérer et agréger l'impact des vulnérabilités potentielles et la correction des vulnérabilités identifiées. Présentation de SCAP Les spécifications techniques d'ISAP sont contenues dans le Security Content Automation Protocol (SCAP) qui lui est lié. SCAP se compose d'un ensemble de normes qui permettent l'automatisation de la gestion et de la mesure des vulnérabilités ainsi que de l'évaluation de la conformité à une règle, comme par la conformité FISMA. En particulier, les normes SCAP répondent aux objectifs suivants : v Répertorier les défauts logiciels, les problèmes de configuration liés à la sécurité et les noms des produits v Mesurer les systèmes pour déterminer la présence de vulnérabilités 2 Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation v Fournir des mécanismes permettant de classer les résultats de ces mesures pour évaluer l'impact des problèmes de sécurité découverts SCAP définit la façon dont ces normes sont combinées. Le National Institute of Standards and Technology des Etats-Unis (NIST) maintient le National Checklist Program (NCP) et fournit un référentiel de flux de données qui utilisent les normes SCAP. Il s'agit également du référentiel des données des normes SCAP officielles. Le NIST définit et met à jour le protocole et les flux de données de contenu des normes SCAP. Ainsi, le NIST définit comment utiliser les normes ouvertes dans le contexte de SCAP et définit les mappages entre les normes d'énumération SCAP. Normes SCAP SCAP se compose des normes suivantes : Common Vulnerabilities and Exposures (CVE) La norme SCAP CVE est un dictionnaire d'informations publiques relatives aux vulnérabilités de sécurité qui permet d'échanger des données entre des produits de sécurité et de fournir un indice de ligne de base pour l'évaluation de la couverture des outils et services. Tivoli Endpoint Manager prend en charge CVE depuis plusieurs versions et maintient une intégration aboutie de ses produits avec le contenu CVE. Les correctifs de sécurité ou vulnérabilités auxquels un ID CVE est associé et qui sont disponibles sous la forme d'un flux de données SCAP ou par le biais d'autres processus développés par Tivoli Endpoint Manager affichent l'ID CVE concerné dans la console de gestion Tivoli Endpoint Manager. Vous pouvez consulter le correctif ou la vulnérabilité associé à cet ID en ouvrant la console de gestion Tivoli Endpoint Manager et en accédant à un site Fixlet de correctif ou de vulnérabilité, en double-cliquant sur un Fixlet approprié, puis en sélectionnant l'onglet Details [Détails] et en affichant l'ID CVE concerné. L'ID CVE est également accessible depuis d'autres vues et peut être utilisé en tant que critère de signalement pour les rapports détaillés et résumés sur les systèmes de points d'extrémité individuels ou d'un groupe important de systèmes signalés comme étant connectés dans un agrégat. Common Configuration Enumeration (CCE) La norme SCAP CCE fournit des identifiants uniques à des problèmes de configuration système pour faciliter le rapprochement rapide et précis des données de configuration provenant de plusieurs outils et sources d'informations. Par exemple, les identifiants CCE peuvent associer des vérifications d'outils d'évaluation de la configuration avec des conseils issus de meilleures pratiques de configuration. La plateforme Tivoli Endpoint Manager permet d'accéder aux stations de travail, ordinateurs portables, serveurs et périphériques mobiles avec des paramètres de configuration communs pour identifier les états de configuration incorrects dans un environnement informatique hétérogène. Tivoli Endpoint Manager prend totalement en charge CCE et affiche l'ID CCE de chaque erreur de configuration pour laquelle il existe un ID CCE dans la console de gestion Tivoli Endpoint Manager. Si une erreur de configuration est associée à plusieurs ID CCE, les références croisées sont résolues et tous les ID sont affichés. Guide d'utilisation de Configuration Management SCAP 3 Pour trouver l'ID CCE associé à un paramètre de configuration, ouvrez la console de gestion Tivoli Endpoint Manager et accédez à un paramètre de configuration utilisé par un flux de données SCAP. Cliquez sur un Fixlet qui représente un paramètre de configuration, puis consultez la colonne Source ID [ID de la source]. Cette colonne indique l'ID CCE. L'ID CCE est également accessible depuis d'autres vues et peut être utilisé en tant que critère de signalement pour les rapports détaillés et résumés sur les systèmes de points d'extrémité individuels ou d'un groupe important de systèmes signalés comme étant connectés dans un agrégat. Common Platform Enumeration (CPE) La norme SCAP CPE est un schéma de dénomination structuré pour les systèmes, plateformes et packages des technologies de l'information. Basé sur la syntaxe générique des Uniform Resource Identifiers (URI), le CPE inclut un format de nom officiel, un langage de description des plateformes complexes, une méthode de vérification des noms par rapport à un système et un format de description pour la liaison de texte et de tests à un nom. Tivoli Endpoint Manager permet d'utiliser le CPE comme outil de vérification garantissant que les paramètres de configuration sont évalués sur le bon système. Quel que soit le système d'exploitation, l'ID CPE peut identifier une plateforme et s'assurer qu'une évaluation est effectuée. Vous pouvez évaluer et corriger les configurations système en ciblant les systèmes par plateforme ou à l'aide d'autres mécanismes de ciblage. En ciblant une plateforme spécifique, vous pouvez garantir que les analyses des systèmes sont correctement effectuées et sont mises en balance avec les contrôles de configuration applicables. Les vérifications sont évaluées en temps réel selon la plateforme, et des règles peuvent être appliquées, ce qui permet aux administrateurs de disposer d'une visibilité et d'un contrôle en temps réel sur les plateformes d'un environnement informatique distribué ou non. Common Vulnerability Scoring System (CVSS) La norme SCAP CVSS fournit un cadre ouvert de communication des caractéristiques de vulnérabilités informatiques. Son modèle quantitatif garantit des mesures reproductibles et précises tout en affichant les caractéristiques des vulnérabilités utilisées pour générer les résultats. Ainsi, CVSS constitue un système de mesure normalisé adapté aux industries, entreprises et agences qui ont besoin de résultats d'impact de vulnérabilité précis et cohérents. Tivoli Endpoint Manager évalue et signale les vulnérabilités et quantifie leur impact pour plusieurs plateformes informatiques. Tivoli Endpoint Manager prend totalement en charge la norme CVSS et affiche le résultat de base CVSS pour chaque vulnérabilité applicable et le vecteur de résultat de base CVSS utilisé pour calculer le résultat. Les administrateurs Tivoli Endpoint Manager peuvent accéder au résultat CVSS et à la chaîne du vecteur associé au sein de la console de gestion Tivoli Endpoint Manager. Pour plus d'informations, les administrateurs peuvent accéder à la définition d'une vulnérabilité depuis les Fixlets. Tivoli Endpoint Manager fournit aux administrateurs un lien leur permettant de se connecter à la définition CVSS hébergée sur le site Web de la NVD. La plateforme Tivoli Endpoint Manager accroît encore l'intérêt de CVSS en affichant cette mesure commune dans les rapports détaillés portant sur des systèmes de point d'extrémité individuels ou pour un groupe important de systèmes signalés comme étant connectés dans un agrégat. 4 Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation Extensible Configuration Checklist Description Format (XCCDF) La norme SCAP XCCDF est un langage de spécification pour l'écriture de listes de contrôle de sécurité, de tests de performances et d'autres documents liés à la sécurité. Un document XCCDF représente un ensemble structuré de règles de configuration de sécurité pour certains ensembles de systèmes cible. Il s'agit de l'élément central du flux de données SCAP. Cette spécification définit également un modèle et un format de données pour le stockage des résultats des tests de conformité aux listes de contrôle. Les flux de données SCAP utilisent le format XCCDF pour convertir les vérifications de configuration sous-jacentes définies dans des Fixlets Tivoli Endpoint Manager. Lors de leur création, ces Fixlets de configuration basés sur SCAP permettent aux administrateurs d'évaluer leurs actifs informatiques par rapport aux règles de configuration définies dans SCAP en temps réel et de manière globale. Lorsque les règles de configuration SCAP sont importées dans la plateforme Tivoli Endpoint Manager, tout système peut immédiatement être évalué par rapport aux règles de configuration définies. Les résultats de ces vérifications de configuration sont transmis à la console Tivoli Endpoint Manager, dans laquelle les administrateurs peuvent les consulter et générer des rapports détaillés sur un système particulier ou un groupe important de systèmes. Tivoli Endpoint Manager exporte également les résultats des vérifications de configuration au format de rapport XCCDF défini de manière à ce que l'entreprise puisse facilement stocker, envoyer ou importer ces rapports dans un autre outil. Open Vulnerability and Assessment Language (OVAL) La norme SCAP OVAL est une norme internationale sur les informations de sécurité favorisant la sécurité du contenu et normalisant le transfert de ces informations entre les différents services et outils de sécurité. Le langage OVAL est un ensemble de schémas XML représentant les informations du système, exprimant des états spécifiques et signalant les résultats d'une évaluation. Par le biais d'un référentiel de règles d'évaluation des vulnérabilités, Tivoli Endpoint Manager permet d'évaluer des ordinateurs gérés par rapport aux définitions de vulnérabilité OVAL à l'aide d'un suivi des données en temps réel basé sur les éléments de données de chaque définition. Ces règles sont automatiquement récupérées par le produit Tivoli Endpoint Manager dans le réseau d'une entreprise. Une fois leur authenticité validée, les règles sont rendues disponibles sur le client Tivoli Endpoint Manager installé sur chaque ordinateur géré et ajoutées à leur bibliothèque locale de règles de configuration. L'agent évalue en continu l'état de l'ordinateur par rapport à chaque règle, si bien que toute instance de non conformité est immédiatement signalée au serveur Tivoli Endpoint Manager afin d'être examinée par un administrateur. Si elle a été pré-autorisée par un administrateur, l'action corrective appropriée est appliquée dès la détection de l'erreur de configuration, même pour les utilisateurs distants ou mobiles non connectés au réseau de l'entreprise. Options de disponibilité du contenu SCAP se compose de listes de contrôle Fixlet SCAP et d'assistants de génération SCAP, que les administrateurs Tivoli Endpoint Manager peuvent utiliser pour gérer et maintenir le contenu des listes de contrôle SCAP et les résultats de conformité. Guide d'utilisation de Configuration Management SCAP 5 Listes de contrôle Fixlet SCAP Tivoli Endpoint Manager distribue des Fixlets par le biais de l'inscription et des sites. Tivoli Endpoint Manager a généré du contenu Tivoli Endpoint Manager à partir du fichier XML de la liste de contrôle SCAP et l'a rendu disponible via l'inscription. Les clients chargent les génériques des sites externes pour chaque liste de contrôle SCAP disponible dans la console Tivoli Endpoint Manager, puis le serveur Tivoli Endpoint Manager télécharge le contenu et le met à la disposition de l'administrateur Tivoli Endpoint Manager pour qu'il puisse commencer l'évaluation des systèmes. Tivoli Endpoint Manager fournit actuellement du contenu prêt à l'emploi pour les listes de contrôle SCAP Federal Desktop Core Configuration (FDCC). Lorsque le NIST fournira de nouvelles listes de contrôle, Tivoli Endpoint Manager pourra inclure ces sites dans le service d'inscription. En plus des sites Fixlet, Tivoli Endpoint Manager inclut également un tableau de bord de rapports qui offre une visibilité sur les résultats des évaluations des systèmes et un tableau de bord de génération de contenu Tivoli Endpoint Manager à partir d'une liste de contrôle SCAP. Ces tableaux de bord sont accessibles sur le site Configuration Management Reporting [Génération de rapports Configuration Management]. Les listes de contrôle SCAP prêtes à l'emploi suivantes sont actuellement fournies avec ce produit : v FDCC sur Windows XP v FDCC sur Windows XP Firewall v FDCC sur Windows Vista v v v v v v FDCC sur Windows Vista Firewall FDCC sur Internet Explorer 7 USGCB sur Windows 7 Firewall USGCB sur Windows 7 Energy USGCB sur Internet Explorer 8 USGCB sur Windows 7 Assistants de génération SCAP Vous pouvez personnaliser les listes de contrôle SCAP afin de générer vos listes de contrôle de configuration personnalisées plutôt que d'utiliser du contenu basé sur l'inscription. Pour faciliter ce processus, Tivoli Endpoint Manager fournit des outils permettant d'utiliser une liste de contrôle SCAP et de générer des Fixlets permettant d'évaluer un ou plusieurs points d'extrémité. Les outils suivants sont inclus : 1. SCAP Import Wizard [Assistant d'importation SCAP] : cet assistant génère du contenu Tivoli Endpoint Manager à partir d'une liste de contrôle SCAP. Le contenu est ensuite importé dans un site personnalisé que vous créez à cette fin. Il inclut un Fixlet pour chaque vérification de la liste de contrôle SCAP. 6 Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation 2. SCAP Report Creation Wizard [Assistant de création de rapports SCAP] : cet assistant permet de créer un fichier de résultats pour chaque point d'extrémité géré. Utilisation de SCAP Tivoli Endpoint Manager fournit des mises à jour régulières du contenu FDCC. Toutefois, vous pouvez également utiliser les outils SCAP pour générer du contenu à partir d'autres listes de contrôle SCAP. Inscription au contenu SCAP La solution Tivoli Endpoint Manager Configuration Management se compose de plusieurs sites Fixlets externes qui peuvent être importés dans la console Tivoli Endpoint Manager afin d'évaluer un ou plusieurs systèmes. Chaque Fixlet fournit un ensemble de contenus spécifique basé sur la conversion d'un flux de données SCAP en un ensemble de Fixlets. Chaque Fixlet représente une seule vérification de la configuration, telle que décrite dans le flux de données SCAP. Guide d'utilisation de Configuration Management SCAP 7 Une fois que le site SCAP est chargé dans la console, le contenu est mis à jour et évalue en permanence la conformité des points d'extrémité par rapport à la norme de configuration. La procédure d'inscription à un site dépend de la version de votre console Tivoli Endpoint Manager. Pour des instructions plus précises sur l'inscription à un site, voir l'article de la base de connaissances Tivoli Endpoint Manager accessible ici. Une fois que le site SCAP est chargé dans la console, le serveur Tivoli Endpoint Manager rassemble le contenu et l'affiche dans l'arborescence de navigation Configuration Management. Remarque : Lorsque Tivoli Endpoint Manager génère des Fixlets à partir d'un flux de données SCAP, les chaînes CPE associées à ce flux de données déterminent les types de systèmes devant être évalués par rapport au contenu. S'ils sont inscrits, les systèmes évaluent le contenu dans la mesure où il correspond à la chaîne CPE définie. Ce comportement peut être modifié. Pour plus d'informations, voir le site Web d'assistance de Tivoli Endpoint Manager. Utilisation de l'assistant d'importation SCAP Cet assistant permet de générer du contenu Tivoli Endpoint Manager à partir d'un ensemble de fichiers d'entrée XML SCAP.Le contenu généré inclut un Fixlet pour chaque vérification de la liste de contrôle SCAP.Avant d'utiliser l'assistant, vous devez créer un site personnalisé destiné à contenir la liste de contrôle résultante. Pour plus d'informations sur l'utilisation de listes de contrôle personnalisées, voir le Guide d'utilisation de Configuration Management. 8 Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation Les listes de contrôle SCAP sont accessibles ici. L'assistant d'importation SCAP a été validé pour les listes de contrôle de niveau IV de ce référentiel. Pour utiliser l'assistant d'importation, procédez comme suit : 1. Cliquez sur Browse [Parcourir] et sélectionnez le fichier XCCDF à importer. 2. Facultatif : cochez la case relative aux exigences du contenu OVAL. 3. Facultatif : spécifiez un fichier de schéma XSD XCCDF qui permettra de valider l'entrée XML. 4. Cliquez sur Load Profiles [Charger des profils]. La fenêtre de sélection de profils XCCDF s'affiche. Ce processus peut prendre de 1 à 2 minutes. 5. Sélectionnez un profil XCCDF à partir du menu. 6. Cliquez sur Import [Importer]. La fenêtre Import Content [Importer le contenu] s'affiche. Sélectionnez le site personnalisé dans le menu, puis cliquez sur OK. Guide d'utilisation de Configuration Management SCAP 9 Utilisation de l'assistant de création de rapports SCAP Pour générer un fichier de résultats XCCDF pour chaque point d'extrémité à l'aide de l'assistant de création de rapports SCAP, procédez comme suit : 1. Cliquez sur SCAP Report Creation [Création de rapports SCAP]. 2. Sélectionnez les paramètres du rapport. a. Spécifiez une liste de contrôle SCAP à partir du menu. b. Pour spécifier un dossier de sortie, cliquez sur le premier bouton Browse [Parcourir]. c. Facultatif : pour spécifier un schéma XCCDF de validation des fichiers, cliquez sur le deuxième bouton Browse [Parcourir]. 10 Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation 3. Ciblez des ordinateurs. Vous pouvez cibler des ordinateurs par nom, propriété ou groupe d'ordinateurs. Vous pouvez également entrer manuellement une liste d'ordinateurs dans la zone appropriée. Cliquez sur le bouton View Targeted Computers [Afficher les ordinateurs cible] pour vérifier votre sélection. 4. Sélectionnez des propriétés de rapport supplémentaires. Utilisez la barre de défilement pour consulter une liste des propriétés de rapport disponibles. Cochez les cases appropriées et consultez les sélections dans la zone Included in Report [Inclus dans le rapport] correspondante de droite. 5. Cliquez sur Create Report [Créer un rapport]. Allouez suffisamment de temps à la création de ces rapports. La durée nécessaire à la génération d'un rapport dépend de la taille de votre déploiement. Par exemple, la création d'un rapport pour un déploiement de 5 000 ordinateurs peut prendre jusqu'à 15 minutes sur un ordinateur de console présentant la puissance appropriée. Guide d'utilisation de Configuration Management SCAP 11 Ressources Foire aux questions Existe-t-il des rapports ou des mécanismes d'évaluation de la conformité qui permettent d'évaluer un ordinateur portable ou un serveur par rapport aux normes FISMA/NIST/DISA ? Endpoint Manager Configuration Management permet d'évaluer des serveurs, ordinateurs portables et ordinateurs de bureau par rapport à un ensemble prédéfini de normes de configuration telles que DISA STIG (Standard Technical Implementation Guides) et FDCC (Federal Desktop Core Configuration). Tivoli Endpoint Manager prend également en charge les normes de configuration du NIST, de la NSA et d'autres organisations normatives. L'utilisation des contrôles de configuration standard du produit Tivoli Endpoint Manager dans les environnements Windows et UNIX permet de respecter les réglementations de conformité (FISMA, PCI, etc.). Quelles sont les actions que je ne peux pas effectuer à l'aide de ce contenu ? La solution Tivoli Endpoint Manager Confirmation Management est conçue pour être très flexible. Toutefois, la fonctionnalité de correction sous Windows et Unix ne concerne qu'un certain nombre de paramètres de configuration donnés. Certains contrôles ne peuvent pas être corrigés. La fonctionnalité de paramétrage sous Windows et Unix est elle aussi limitée à des paramètres de configuration spécifiques. Comme pour la correction, tous les éléments ne peuvent pas et ne doivent pas être paramétrés. Que se passe-t-il si j'inscris un système à des sites de manière incorrecte ? Si possible, utilisez la fonctionnalité d'inscription aux sites lors du déploiement de Configuration Management pour garantir que le tableau de bord et les rapports calculent les résultats de conformité de manière précise. Les contrôles Configuration Management procèdent à l'évaluation sur tous les points d'extrémité inscrits, y compris sur les systèmes qui ne devraient pas évaluer le contenu. L'utilisation correcte des inscriptions garantit que seuls les systèmes désignés procèdent à l'évaluation du contenu. Lors de l'installation de sites Confirmation Management d'origine, modifiez immédiatement l'inscription. Lors de la création de listes de contrôle personnalisées, veillez à inscrire les systèmes appropriés. En effet, si les systèmes ne sont pas inscrits de manière appropriée, les rapports Configuration Management ne calculent pas la conformité correctement. Exemple : Si vous chargez les génériques pour Windows XP, le comportement par défaut consiste à mesurer le contenu sur tous les systèmes, y compris les systèmes Windows XP, Windows Vista et UNIX. Par conséquent, tous les systèmes autres que Windows XP renvoient le résultat Not Relevant [Non pertinent]. Ces résultats se traduisent par Compliant [Conforme] lors de l'exécution des rapports. Lorsque l'inscription aux sites est paramétrée pour n'inclure que des systèmes Windows XP, seuls ces derniers sont évalués. Cela permet de s'assurer que les rapports de conformité génèrent des résultats précis. 12 Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation La date d'émission de la source du contenu FDCC doit-elle être la date d'émission par le NIST ou la date de génération du contenu ? Toutes les données consommées dans un flux de données SCAP comprennent les dates de référence suivantes : 1. Date de sortie de la source : cette date représente la date à laquelle Tivoli Endpoint Manager a généré les Fixlets de configuration d'origine à partir d'un flux de données SCAP ou la date à laquelle un utilisateur a généré du contenu à l'aide de l'outil SCAPEval.exe. Cette date est affichée dans la colonne Source Release Date [Date de sortie de la source] de chaque Fixlet présent dans la console Tivoli Endpoint Manager. 2. Statut et date de publication : dans le flux de données SCAP, chaque objet de liste de contrôle inclut un élément de statut indiquant le statut de révision ou de normalisation de la liste de contrôle. Cet élément doit apparaître une fois dans un objet de liste de contrôle et peut apparaître une fois dans n'importe quel sous-élément. Si un sous-élément ne dispose d'aucun élément de statut, l'élément parent est utilisé. Cet élément inclut un statut (accepted [accepté], deprecated [obsolète], draft [préliminaire], interim [provisoire] ou incomplete [incomplet]) et la date à laquelle ce statut a été attribué à l'évaluation. Lorsque les Fixlets sont créés, le statut approprié est ajouté à la section Description of Checklist Information [Description des informations de la liste de contrôle] du Fixlet : v v v v Accepted Date [Date Accepté] : AAAA-MM-JJ Deprecated Date [Date Obsolète] : AAAA-MM-JJ Draft Date [Date Préliminaire] : AAAA-MM-JJ Interim Date [Date Provisoire] : AAAA-MM-JJ v Incomplete Date [Date Incomplète] : AAAA-MM-JJ Glossaire Contenu SCAP Le contenu SCAP se compose de données de liste de contrôle de sécurité représentées dans des formats XML automatisés, d'énumérations de vulnérabilités et de noms de produits et de mappages d'énumérations. Enumérations SCAP Les énumérations SCAP incluent une liste de tous les défauts logiciels liés à la sécurité connus (CVE), une liste de tous les problèmes de configuration des logiciels connus (CCE) et une liste des noms des fournisseurs et produits standard (CPE). Listes de contrôle SCAP Les listes de contrôle SCAP sont des listes de contrôle de configuration écrites dans un langage lisible par l'ordinateur (XCCDF). Les listes de contrôle SCAP, également nommées "listes de contrôle" ou "lignes de base", ont été validées par le National Checklist Program du NIST. Elles se conforment également à un modèle SCAP pour garantir la compatibilité avec les services et produits SCAP. Le modèle SCAP évoque les exigences d'inclusion d'énumérations et de mappages SCAP à la liste de contrôle. Mappages SCAP Les mappages lient les énumérations et fournissent des mesures normées de l'impact des défauts logiciels et des problèmes de configuration. Ainsi, pour chaque défaut logiciel (CVE), il est possible de déterminer les noms des produits standard affectés (CPE). Pour tout nom de produit standard (CPE), il est possible de déterminer les problèmes de configuration qui Guide d'utilisation de Configuration Management SCAP 13 affectent le produit (CCE). Pour tout défaut logiciel (CVE) ou problème de configuration (CCE), il est possible de déterminer le résultat d'impact standard (CVSS). Procédures de test SCAP Les listes de contrôle SCAP font référence à des "procédures de test SCAP" pour les informations lisibles par les ordinateurs sur la réalisation de vérifications de bas niveau de l'état des ordinateurs (OVAL). Les procédures de test SCAP sont utilisées conjointement avec les listes de contrôle SCAP. Rapports SCAP Les rapports SCAP sont requis pour inclure les énumérations et les mappages SCAP conformément au modèle SCAP. Vérification SCAP Vérification spécifique de la configuration au sein d'une liste de contrôle SCAP. Les vérifications sont écrites en XCCDF et sont nécessaires pour inclure les énumérations et les mappages SCAP conformément au modèle SCAP. Abréviations CCE Common Configuration Enumeration CPE Common Platform Enumeration CVE Common Vulnerabilities and Exposures CVSS Common Vulnerability Scoring System DHS Department of Homeland Security [Ministère américain de la sécurité intérieure] DISA Defense Information Systems Agency DoD Department of Defense [Ministère américain de la défense] DOE Department of Energy [Ministère américain de l'énergie] FDCC Federal Desktop Core Configuration FISMA Federal Information Security Management Act NCP National Checklist Program NIST National Institute of Standards and Technology NSA National Security Agency NVD National Vulnerability Database OMB Office of Management and Budget [Bureau américain de la gestion et du budget] OVAL Open Vulnerability and Assessment Language SCAP Security Content Automation Protocol STIG Standard Technical Implementation Guide CONFIGURATION MANAGEMENT Security Configuration Management XCCDF eXtensible Configuration Checklist Description Format 14 Tivoli Endpoint Manager for Configuration Management SCAP Guide d'utilisation Guide d'utilisation de Configuration Management SCAP 15