CCE列表编辑政策——归档日期:2006年8月18日文档版本:0.1 这是一份报告草案,并不代表官方立场的斜方公司。manbetx客户端首页版权©2006,斜方公司。manbetx客户端首页保留所有权利。许可重新分配这个文件如果没有这段删除。本文档是可以不经通知自行调整。 表的内容总结和目的CCE内容决定(CDs)旨在为指导分配CCE标识符提供某种程度的一致性。本文档的目的是列出并描述这些内容决定,并提供他们的应用程序的例子。 虽然CCE的一致性是一个目标,但它不是唯一的目标也不是最高的目标。提供有用的标识符是一个更高的目标,我们认识到,实用程序可能要求我们接受某种程度的不一致。特别是,CCE试图列举的方式,人类的名字和讨论他们的意图在配置计算机系统。我们会被误导的假设系统配置是基于一些公认的客观现实,会导致一种自然,规范配置的枚举。 相反,我们认识到,系统往往额外指定的,为用户提供许多不同的方法来达到相同的基本配置的目标。同时,系统一般为用户提供用户界面,以指定这些用户界面配置和经常代表抽象的内部系统结构,实现它们。最后,CCE的效用是驱动主要在桥的能力之间的差距和底层技术实现更高级的人类可读的上下文。这些观察结果的最终结果就是,我们必须接受CCE内容决策和CCE id将包含一定程度的不一致性。 内容决定CD.1效应与技术原理(基本CD)规则:给定一个技术机制用于实现配置效果,CCE id是分配给一个人类可以理解的表达效果,而不是技术本身的机制。 讨论:cc必须人类可以理解的。 示例1:(Windows IPSec保护Kerberos和RSVP交通)Windows 2000可以确保配置Kerberos和RSVP交通受IPSec保护。这是使用以下注册键来实现: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ \ IPSEC \ NoDefaultExempt服务 在这个例子中,CCE条目应该附加一个人类可以理解的短语,如“Kerberos和RSVP交通IPSec保护应该正确配置。“CCE应该没有直接连接到注册表键。相反,CCE应该配置的概念上的效果,而不是实际的技术原理。 CD.2效应/多个技术机制(结合)规则:在这些情况下,多个技术机制具有相同的一般作用,他们应当结合在同一CCE id。这同样适用于当: +一个平台提供了多个技术机制来达到相同的效果。 这个规则是执行甚至在这些情况下不同的技术机制影响稍有不同,这可能会导致显著不同的安全或操作的影响。 讨论:以某种方式改变系统所有技术机制。CCE条目分配是基于这种变化的本质,而不是特定的技术机制,可以用来影响改变。 示例1:(密码长度) 在Windows中,最小密码长度的设置可以设置两种方式。首先,可以使用本地安全策略。其次,在Active Directory的背景下,这可能是执行组策略对象。这些机制可能有稍微不同的影响对如果最小密码长度时执行。此外,最小密码长度可能在非常不同的方式执行不同的操作系统,如Unix和Novell。 从不越少,最小密码长度的基本概念是相同的。在这种情况下,由于技术机制是处理与配置的目标设置一个最小密码长度,CCE结合这些技术机制成一个单一的CCE条目。 示例2:(Solaris服务) 在Solaris中,服务开始基于他们的分配顺序在引导水平。在启动期间,首先杀死服务处理脚本,然后开始服务脚本/etc/rc2.(字母数字顺序)d /然后/etc/rc3.d /目录。因此,至少有两个(类似的)方式来禁用服务在启动:(1)删除正确的启动脚本([0 - 9]。[服务])的rc目录,或(2)添加一个杀死脚本(K[0 - 9]。[服务])在下次启动杀死,服务水平。即使一个方法允许服务开始,后来杀死它,而另一个阻止它运行,它们都是分配到同一个CCE条目。 考虑一个CCE条目有关RCP服务在引导时启动。两种技术机制与此相关CCE可能是: + - /etc/rc2.d/S71rpc文件存在 CD.3效应/多个参数值(结合)规则:给定一个系统对象配置和给定一组不同的配置选择对象,CCE id分配给一个人类可以理解的表情识别对象和配置效果,不是设置的个人配置的选择,是可用的。相反,表示为参数的配置选择与CCE相关id。参数应该使用甚至在那些情况下几乎是不可能创建一个枚举列表的所有参数的有效值。(看到示例3。) 讨论:完全有可能的技术机制CCE条目包含多个参数,如文件访问控制,其中可能包括文件权限(特权)和文件所有权(用户/组),清单条目包含ACL,或更多的使用机制(例如,SE Linux控制)。在CCE,这些多个参数是相同的CCE条目;CCE不拆分条目基于参数。 示例1:(Windows帐户锁定阈值) 在Windows 2000中,糟糕的登录尝试的数量允许锁定账户之前是可配置的。网络安全中心的一级指标,最少应有关注的安全级别指定这是设置为50或更少。其他配置指南,如美国国家安全局安全指南要求更严格的设置三个坏的登录尝试。 在这种情况下,CCE id连接到声明”帐户锁定阈值策略应该满足最低要求。“允许的最大数量坏登录尝试这个CCE表示为一个参数。 示例2:(ftp服务权限) ftp服务可能被允许或不允许在一个网络操作系统根据其安全上下文。在这种情况下,我们不把CCE ids的声明以下形式: + ftp服务应该被禁用 相反,我们把CCE id系统对象的问题,在这种情况下是ftp服务。不同的逻辑配置状态对象(禁用、启用)作为参数CCE处理。这个CCE id是可接受的形式: ftp服务+正确的服务权限应该被分配(启用/禁用) 示例3:(Windows目录权限) 在Windows 2000,它并不少见配置指南规定权限设置% ProgramFiles %目录。在这种情况下,CCE id附加声明的形式: +所需权限的目录% ProgramFiles %应分配 各种不同的特定用户或用户组的权限应该表达这个CCE作为参数。我们把它检查表作者列举所有所需的特定权限的% ProgramFiles %目录。所有这些语句将被指派相同的CCE id。这是一个有效的使用参数虽然CCE枚举所有可能的几乎是不可能的,甚至有可能可能指定为这个目录的权限。 CD.4单一对象和参数(分割)规则:在这些情况下,相同类型的配置语句可以一整套系统对象或类,我们为每个单独的系统对象分配个人cc。具体地说,系统对象的类并不表示为一个单一的参数,更高级的CCE。 讨论:有些系统对象的自然分类,可能会让整个集系统对象描述的一个参数。如果cc上级分配和个人系统对象被确定在一个CCE的使用参数,我们会,实际上,是决定使用多层次的名称空间。我们的观察是,绝大多数对单个对象配置陈述语句。出于这个原因,我们高度cc个人系统对象,而不是类的对象。 示例1:(不允许服务运行) 通常配置指南指定哪些服务可以和不能运行。在这种情况下,我们不CCE id附加到高级声明,将特定的服务作为参数。例如,下面的一份声明中是不允许的: +服务的启动类型应该是正确的 示例2:(允许服务运行) 下面的语句是合适的CCE语句。这些语句应该得到自己的CCE ids尽管网络服务的类概念上可以用一个逻辑描述参数。这个执行内容决定CCE id连接到单一的系统对象。 +传真服务的启动类型应该是正确的 CD.5问题分解(分割)规则:在这些情况下,一个配置语句的组成,底层配置语句,CCE id应该连接到底层个体配置,而不是更高级的成分。 讨论:如果一个配置语句可以分解为低级系统对象或底层配置决策,与相同的系统对象,然后配置语句太高级接收自己的CCE id。 示例1:(不允许SSH在Solaris中) 在独联体Solaris基准,推荐使ssh服务。这个建议的形式给出一个脚本实现一些特定的配置设置正确配置ssh根据CIS规范。在这种情况下,我们不会将CCE的声明: +运行ssh和CIS的标准配置 相反,我们将把CCE条目与每一个低水平的问题涉及运行和配置ssh。 示例2:(允许SSH在Solaris中) 从上面示例1,在这种情况下,我们会把CCE条目与每一个低水平运行所涉及到的一些问题和配置ssh。示例配置设置,有不同的结果,因此需要不同的CCE作品包括: + SSH使用协议2只? 示例3:(不允许-强密码) 该声明“应该使用强密码”不是CCE条目,因为它不指定什么方面力量的讨论也不指定一个特定的设置。强密码是正确的配置目标分解为低级问题。(见例4。) 示例4:(允许-强密码) 从上面的例子3,配置“强密码”的目标可分解为低级问题。下面的列表将会接受CCE条目: +“最大密码时代”政策应该满足最低要求 CD.6相关配置(分割)规则:在这些情况下,一个配置设置直接影响另一个配置设置,分配给每个不同的CCE条目。这条规则适用于即使在这些情况下,一个配置设置完全包容或覆盖的影响。 讨论:随着系统的发展随着时间的推移,所以用来配置系统进化的机制。它不仅是常见的有多个技术机制来实现相同的基本效应(见:CD.x效应/多个技术机制),但这也是常见的有完全不同的系统管理方法相同的高水平的目标。通常,系统管理员可以选择使用或另一种方法但也有一些时候,他们选择同时使用多个方法。 示例1:(文件共享在SMB文件权限) 系统上使用文件共享使用SMB,远程用户访问权限的文件权限系统是由两个不同的文件。首先是由SMB直接管理。第二个是由本地文件系统。的情况下配置陈述是关于共享的文件或目录,单独的cc应该发行SMB文件系统的权限和权限。 示例2:(inetd和inetd服务) 示例2中讨论的CD.x单一对象和参数,CCE将有单独的条目描述个人网络服务的启动类型包括: +传真服务的启动类型应该是正确的 与此同时,在Unix中,几个标准网络服务可以通过使用系统调用服务,inetd。这些包括:telnet、手指,tftp和ftp。禁用inetd服务可以实现技术机制,如文件/etc/rc2.d/S72inetsvc的存在。这将直接影响也禁用服务由inetd调用。在这种情况下,我们给禁用inetd自己单独的CCE条目。 CD.7配置设置/合规检查(分割)规则:全球配置设置和配置设置接收物品的存在违反独立CCE id。也就是说,下面的两种类型的语句将每一个被赋予自己的,独立的CCE id: +应用配置设置,以确保所有新创建的实例类型X Y特征 讨论:一些配置设置的影响执行一些特征创建一些系统对象的所有新创建的实例。然而,鉴于这样的配置,也可以对一个系统的实例,对象类型无法收到预期的特点。这可能是由于之前创建的实例配置设置应用实例,从另一个系统或通过创建另一个进口机制。 示例1:(最小密码长度) 以下语句接收自己的CCE id: +“最小密码长度”政策应该满足最低要求 CD.8机可验证性(排除)规则:非常不寻常的配置向导和其他文档来描述安全系统和操作要求,不能直接验证基于事实的机器的系统状态。这样的声明明确排除在CCE的范围。 讨论:这个内容决定的目的是确保CCE条目不包括高层问题与机器的系统状态。 示例1:(密码) 下面的语句不能验证基于事实的机器状态系统。它不应该被分配CCE id: +密码不应存储在书面形式并存储在靠近机器 CD.9没有补丁(排除)规则:没有CCE id将与配置相关的陈述关于一个补丁的安装。 讨论:这个决定是一个作用域的问题。在这个时间点上,CCE不会处理补丁和枚举所有文件的文件版本声明可能。 CD.10没有文件版本控制或文件完整性问题(排除)规则:一个安装版本的文件是否符合推荐标准,超出了CCE的范围。问题可能包括但不限于:文件版本,时间戳、大小或md5校验和。不会发行CCE条目。 讨论:版本可能是一个特定的CCE的先决条件的问题,例如,如果一个新版本增加了一个新的配置设置或调整。 示例1: 所有的新技术机制引入了一个新的Windows Service Pack将分配CCE条目。 CD.11没有文件安装或存在问题(排除)规则:文件的存在只能关联一个CCE条目作为技术支持机制。实际CCE条目关联到一个更抽象的描述配置效应通过文件的存在。 讨论:如果存在一个文件,或者缺乏,没有直接影响系统安全或性能(外部磁盘空间的使用),那么它就是CCE的范围之外。 示例1: 在UNIX中,某些日志文件的存在使相关日志。在这种情况下,CCE应该附加的抽象问题”(类型)的日志启用。” CD.12没有非软件配置(排除)规则:CCE条目目前有限的硬件和/或软件配置建议物理配置不支持。所有CCE条目必须能够通过一个软件应用程序,机器可核查等椭圆形。 |
