CCE条目-档案

介绍

CCE条目(也称为“cc”,“CCE标识符,”和“CCE-IDs”)提供独特的、共同的标识符配置问题。配置问题可能是配置声明,指定一个首选或需要设置为计算机系统或政策,或配置控制如一个特定的注册表键,文件,或者GPO设置。

每个CCE条目包括描述性human-understandable的方式描述CCE的元素。这由一个文本描述的配置元素(没有具体建议)和逻辑参数值可能与控制有关。例如,逻辑参数可能包括“启用”或“禁用”,但不是实际的存储值与这些概念相关的值。每个CCE条目还包括链接到相关的技术机制(文件、用户注册表键值、允许比特),和引用(散文语句、XCCDF审计检查)。

具体来说,每个条目上CCE列表包含以下:

• CCE标识符号码——“CCE - 2715 - 1”
• 描述——一个人类可以理解的描述的配置问题
• 概念上的参数,参数需要指定为了实现CCE系统上
• 相关的技术机制,对于任何给定的配置问题可能有一个或多个方法来实现所需的结果
• 引用,指向文档的特定部分或工具配置问题的详细描述

看到CCE列表的关键CCE列表页面上的每个组件的详细描述。

配置问题中可以找到各种各样的存储库如安全指南,基准,供应商指导和文档,配置评估和管理工具和巩固报告系统。CCE便于快速、准确的元素之间的相关性通过分配一个唯一的名称,在这些领域中每个原子配置问题。

例子:

• cce - 3177 - 3, cce - 3551 9, cce - 3229 - 2, cce - 2986 - 8
• 定义:“帐户锁定阈值”设置应该正确配置。
• 参数:数量的尝试。

一般来说,CCE-IDs的范围是由一个自动化过程的能力检查一个特定的参数配置问题。例如,如果一个配置语句可以验证一个评估工具或应用的配置管理系统,它应该被分配一个CCE-ID。

配置问题,应该得到cc

• 所需权限的目录% SystemRoot % \ System32系统\设置应该分配。
• “帐户锁定阈值”设置应该正确配置。
• 远程Shell服务的启动类型应该正确设置。

上面的示例能够自动验证,可以设置和使用自动化脚本,检查程序或操作系统的功能。这些不需要任何人类努力为了验证或解释,因此都可以分配CCE-IDs。

配置问题,不应得到cc

• 没有添加用户密码的用户。配置文件通过一个文本编辑器。
• 计算机存储在一个锁着的房间。
• 使用强密码。

有几个原因可能不会分配CCE条目配置问题。例如,有效配置语句无法核实,如验证用户可能使用的方法编辑用户。设计需要大量的努力和非平凡的没有更好的问责制度在操作系统。语句,需要大量的人工解释为了技术上实现不分配CCE条目如声明“使用强密码”,这是模糊的和不同的分析师将其技术意义不同。

例子:

微软Windows XP, CCE将取代该声明“使用强密码”这五个语句:

• 时代”的“最小密码设置应满足最低要求。(cce - 2439 - 8)
• “最小密码长度”设置应满足最低要求。(cce - 2981 - 9)
• “密码必须符合复杂性要求”设置应该正确配置。(cce - 2735 - 9)
• “历史执行密码”设置应满足最低要求。(cce - 2994 - 2)
• “使用可逆加密存储密码域”中的所有用户设置应该正确配置。(cce - 2889 - 4)

看到CCE编辑政策额外的信息。

回到顶部

概念上的参数

CCE概念参数识别可能的值配置控制可能在概念级别。例如,CCE认为以下两个语句是可比的,因为他们都是相同的设置,在“帐户登录锁定阈值”。

示例配置语句:

• 来源:DISA Windows 2000的黄金磁盘工具
• 声明:账户登录锁定阈值= 3

• 来源:独联体一级指标为Windows 2000
• 声明:账户登录锁定阈值= 50

这两个语句只在特定值的不同设置不同的指南的作者宣称。捕捉,CCE治疗的数量最大的登录尝试作为一个参数。由此产生的CCE条目:

CCE示例:

• cce - 3665 - 7, cce - 3124 - 5
• 定义:失败的登录尝试的最大数量应满足最低要求。
• 参数:最大数量的尝试。

重要的是要注意,定义写是不可知论者对特定的推荐参数值。CCE试图捕捉所有潜在值配置语句可能包含一组参数。

看到CCE编辑政策额外的信息。

回到顶部

技术机制

CCE技术机制描述底层技术(s)用于控制影响所需的变化对控制系统的配置。下面的例子是为Windows Vista。

示例技术机制:

• Windows注册表关键:

  HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ \ SharedAccess \ \服务参数
  FirewallPolicy \ StandardProfile \ \ LogDroppedPackets日志

• GPO模板:

  电脑配置\ \管理模板\网络网络连接\ Windows防火墙\标准剖面\ Windows防火墙:允许日志,日志丢弃的数据包

• Windows防火墙设置:

  控制面板\ Windows防火墙\先进\安全日志\日志记录选项\ Log丢弃的数据包

这些事例说明,至少有三个方法设置“日志丢失数据包”选项在Windows防火墙:(1)通过直接编辑注册表键,通过使用GPO编辑器(2),或(3)通过使用Windows防火墙工具界面。而原因有微妙的管理员将选择一个方法比另一个,有协议,这些方法是实现类似的目标。在CCE,这些语句代表三个可比技术相同的CCE的机制。

CCE示例:

• cce - 3280 - 5
• 定义:“日志丢失数据包”选择标准的Windows防火墙应该正确配置概要文件。
• 参数:启用或禁用。
• 技术机制:
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ \ SharedAccess \ \服务参数
    FirewallPolicy \ StandardProfile \ \ LogDroppedPackets日志
  • 电脑配置\ \管理模板\网络网络连接\ Windows防火墙\标准剖面\ Windows防火墙:允许日志,日志丢弃的数据包
  • 控制面板\ Windows防火墙\先进\安全日志\日志记录选项\ Log丢弃的数据包

看到CCE编辑政策额外的信息。

回到顶部

平台组

CCE“平台组”大致确定CCE条目的操作系统或应用程序适用。CCE的平台组织遵守相同的粒度级别通常存在于安全配置指南,是写给个人平台,集的检查以及其他特性配置审计和管理工具。他们是一组高层“桶”,意味着特定CCE“相关”平台的操作系统或应用程序命名组。这些群体是人类解释,CCE条目和不明确的声明的关系到一个特定的平台。

CCE平台组例子:

• 微软Windows 2000
• 微软Windows XP
• Microsoft Windows Server 2003
• 微软Internet Explorer 7
• 微软Office 2007
• Red Hat Enterprise Linux 4
• Red Hat Enterprise Linux 5
• Sun Solaris 9
• Sun Solaris 10

每个CCE条目被分配一个单一平台组。类似的配置问题,交叉分配CCE平台组CCE-IDs分开。例如,Windows 2000是区别于Windows XP,但Windows XP岗前包2和Windows XP服务包2没有区别。

一般来说,分配CCE条目CCE平台组如下:

1. 如果声明来自一个OS-oriented源和一个操作系统构造的担忧,它将被指派相关的操作系统平台组。
2. 如果声明来自一个面向应用的源代码和应用程序本身的担忧,它将被分配相关的应用平台。
3. 如果声明来自一个OS-oriented源和明显的担忧申请没有CCE平台组创建了(例如,微软Telnet,绑定),那么它会被指派给操作系统平台组。
4. 如果声明来自一个OS-oriented源和明显的担忧CCE的应用程序创建了平台组(例如,Microsoft Internet Explorer),那么它会被分配给相应的应用程序平台。
5. 显然如果声明来自一个面向应用的指导和关注基地内的配置控制操作系统,那么它将被分配到操作系统的应用程序组。
6. 所有其他作业将在CCE主持人(目前斜方)的自由裁量权。

回到顶部

额外的信息

看到关于CCE的额外信息条目CCE条目创建过程和CCE编辑政策

回到顶部

本网站是由赞助和管理manbetx客户端首页使利益相关者的合作。
所有商标是他们的各自的主人的财产。

隐私政策
使用条款