下面是一个描述的元素,类型和属性组成打开Windows特定的测试中发现漏洞和评估语言(椭圆形)。每一个测试是一个扩展的标准测试元素中定义的核心定义模式。通过扩展,每个测试继承了一组元素和属性之间共享的所有椭圆测试。每个测试详细描述,应提供必要的信息,以了解每个元素和属性表示。本文档的目的是为开发人员和假设一些熟悉XML。一个高水平的描述不同的测试及其之间的交互关系的核心定义模式这里没有列出。
椭圆形的模式是由斜方公司维护和开发的公共社区椭圆形。manbetx客户端首页欲了解更多信息,包括如何参与项目以及如何提交变更请求,请访问总统网站http://oval.mitre.org。
| 弃用的版本:5.11 原因:被userrights_test所取代。这accesstoken_test患有可伸缩性问题域控制器上运行时,不应使用。看到userrights_test。 备注:这个测试已经弃用,在6.0版本的语言将被删除。 |
accesstoken_test用于检查Windows访问令牌的属性以及与之相关的个人特权和权利。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用一个accesstoken_object和可选状态元素指定数据检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
| 弃用的版本:5.11 原因:被userrights_object所取代。accesstoken_test患有可伸缩性问题域控制器上运行时,不应使用。看到userrights_object。 备注:这个对象已经弃用,在6.0版本的语言将被删除。 |
accesstoken_object元素是一个访问令牌测试用来定义对象评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
accesstoken_object由一个单一的安全原则,确定用户、组或计算机帐户相关联的令牌。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: AccesstokenBehaviors 0 1 security_principle oval-def: EntityObjectStringType 1 1 security_principle元素定义了访问令牌被指定。安全原则包括用户或组与当地或域账户,和计算机帐户时创建的计算机加入域。在Windows中,安全原则是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。用户权限和权限来访问对象例如Active Directory对象,文件和注册表设置分配给安全原则。在域环境中,安全原则应该被识别的形式:“域\受托人的名字”。对当地安全原则的使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。如果一个操作其他比=用来识别匹配的受托人(即不等于,或模式匹配)然后结果匹配只应当限于受托人在当地安全权威数据库引用。这里的范围是有限的,以避免不必要的资源密集型搜索受托人。 Note that the larger scope of all known trustees may be obtained through the use of variables. oval-def:过滤器 n /一个 0 无限
| 弃用的版本:5.11 原因:被userrights_state所取代。accesstoken_test患有可伸缩性问题域控制器上运行时,不应使用。看到userrights_state。 备注:这个状态已经弃用,在6.0版本的语言将被删除。 |
accesstoken_state元素定义了不同的信息,可以用来评估指定的访问令牌。这包括大量的用户可以授予的权利和权限。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs security_principle oval-def: EntityStateStringType 0 1 security_principle元素识别一个访问令牌来测试。安全原则包括用户或组与当地或域账户,和计算机帐户时创建的计算机加入域。在Windows中,安全原则是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。用户权限和权限来访问对象例如Active Directory对象,文件和注册表设置分配给安全原则。在域环境中,安全原则应该被识别的形式:“域\受托人的名字”。对当地安全原则的使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 seassignprimarytokenprivilege oval-def: EntityStateBoolType 0 1 如果启用了seassignprimarytokenprivilege特权,它允许父进程相关联的访问令牌替换为一个孩子的过程。 seauditprivilege oval-def: EntityStateBoolType 0 1 如果启用了seauditprivilege特权,它允许一个过程来生成审计记录在安全日志中。安全日志可用于跟踪系统的未经授权的访问。 sebackupprivilege oval-def: EntityStateBoolType 0 1 如果启用了sebackupprivilege特权,它允许用户绕过系统备份文件和目录权限。有幸被选中只有当一个应用程序试图访问使用NTFS备份应用程序编程接口(API)。否则,正常的文件和目录权限申请。 sechangenotifyprivilege oval-def: EntityStateBoolType 0 1 如果启用了sechangenotifyprivilege特权,它允许用户通过用户否则没有访问的文件夹路径导航对象在NTFS文件系统或在注册表中。这种特权不允许用户列出文件夹的内容;它只允许用户遍历目录。 secreateglobalprivilege oval-def: EntityStateBoolType 0 1 如果启用了secreateglobalprivilege特权,它允许用户创建命名文件映射对象的全局名称空间在终端服务会话。 secreatepagefileprivilege oval-def: EntityStateBoolType 0 1 如果启用了secreatepagefileprivilege特权,它允许用户创建和修改页面文件的大小。 secreatepermanentprivilege oval-def: EntityStateBoolType 0 1 如果启用了secreatepermanentprivilege特权,它允许一个进程创建一个目录对象在对象管理器。是有用的内核组件扩展对象名称空间。组件运行在内核模式本质上有这个特权。 secreatesymboliclinkprivilege oval-def: EntityStateBoolType 0 1 如果启用了secreatesymboliclinkprivilege特权,它允许用户创建符号链接。 secreatetokenprivilege oval-def: EntityStateBoolType 0 1 如果启用了secreatetokenprivilege特权,它允许一个进程创建一个访问令牌通过调用NtCreateToken()或其他token-creating api。 sedebugprivilege oval-def: EntityStateBoolType 0 1 如果启用了sedebugprivilege特权,它允许用户将调试器附加到任何过程。它提供了访问敏感和关键的操作系统组件。 seenabledelegationprivilege oval-def: EntityStateBoolType 0 1 如果启用了seenabledelegationprivilege特权,它允许用户改变信任代表团设置在Active Directory用户或计算机对象。获得这种特权的用户或计算机还必须写访问帐户控制对象上的旗帜。 seimpersonateprivilege oval-def: EntityStateBoolType 0 1 如果启用了seimpersonateprivilege特权,它允许用户身份验证后冒充客户。 seincreasebasepriorityprivilege oval-def: EntityStateBoolType 0 1 如果启用了seincreasebasepriorityprivilege特权,它允许用户增加基本优先级类的一个过程。 seincreasequotaprivilege oval-def: EntityStateBoolType 0 1 如果启用了seincreasequotaprivilege特权,它允许一个进程访问第二个过程增加处理器配额分配给第二个进程。 seincreaseworkingsetprivilege oval-def: EntityStateBoolType 0 1 如果启用了seincreaseworkingsetprivilege特权,它允许用户增加一个工作集的过程。 seloaddriverprivilege oval-def: EntityStateBoolType 0 1 如果启用了seloaddriverprivilege特权,它允许用户安装和删除驱动程序即插即用设备。 selockmemoryprivilege oval-def: EntityStateBoolType 0 1 如果启用了selockmemoryprivilege特权,它允许一个进程保持物理内存中的数据,它可以防止系统分页虚拟内存磁盘上的数据。 semachineaccountprivilege oval-def: EntityStateBoolType 0 1 如果启用了semachineaccountprivilege特权,它允许用户添加电脑到一个特定的领域。 semanagevolumeprivilege oval-def: EntityStateBoolType 0 1 如果启用了semanagevolumeprivilege特权,它允许一个非管理员或远程用户管理卷或磁盘。 seprofilesingleprocessprivilege oval-def: EntityStateBoolType 0 1 如果启用了seprofilesingleprocessprivilege特权,它允许一个用户样本应用程序的性能的过程。 serelabelprivilege oval-def: EntityStateBoolType 0 1 如果启用了serelabelprivilege特权,它允许用户修改一个对象标签。 seremoteshutdownprivilege oval-def: EntityStateBoolType 0 1 如果启用了seremoteshutdownprivilege特权,它允许一个用户关闭一个计算机网络从远程位置。 serestoreprivilege oval-def: EntityStateBoolType 0 1 如果启用了serestoreprivilege特权,它允许一个用户绕过当恢复备份文件和目录的文件和目录权限和设置任何有效的安全原则作为一个对象的所有者。 sesecurityprivilege oval-def: EntityStateBoolType 0 1 如果启用了sesecurityprivilege特权,它允许用户指定对象访问审计选项等个人资源文件,活动目录对象,注册表键。这种特权的用户也可以从事件查看器查看和清除安全日志。 seshutdownprivilege oval-def: EntityStateBoolType 0 1 如果启用了seshutdownprivilege特权,它允许用户关闭本地计算机。 sesyncagentprivilege oval-def: EntityStateBoolType 0 1 如果启用了sesyncagentprivilege特权,它允许一个进程读目录中的所有对象和属性,无论保护对象和属性。这是需要为了使用轻量级目录访问协议(LDAP)目录同步(Dirsync)服务。 sesystemenvironmentprivilege oval-def: EntityStateBoolType 0 1 如果启用了sesystemenvironmentprivilege特权,它允许修改系统环境变量通过一个过程通过一个API或用户通过系统属性。 sesystemprofileprivilege oval-def: EntityStateBoolType 0 1 如果启用了sesystemprofileprivilege特权,它允许一个用户样本系统进程的性能。 sesystemtimeprivilege oval-def: EntityStateBoolType 0 1 如果启用了sesystemtimeprivilege特权,它允许用户在计算机的内部时钟调整时间。它不需要改变时区或其他显示系统时间的特性。 setakeownershipprivilege oval-def: EntityStateBoolType 0 1 如果启用了setakeownershipprivilege特权,它允许一个用户系统中任何可获得的对象的所有权,包括活动目录对象,NTFS文件和文件夹,打印机,注册表键值、服务、进程和线程。 setcbprivilege oval-def: EntityStateBoolType 0 1 如果启用了setcbprivilege特权,它允许一个过程假设任何用户的身份,从而获得用户授权访问的资源。 setimezoneprivilege oval-def: EntityStateBoolType 0 1 如果启用了setimezoneprivilege特权,它允许用户改变时区。 seundockprivilege oval-def: EntityStateBoolType 0 1 如果启用了seundockprivilege特权,它允许用户出坞便携式计算机的计算机通过点击弹出电脑开始菜单。 seunsolicitedinputprivilege oval-def: EntityStateBoolType 0 1 如果启用了seunsolicitedinputprivilege特权,它允许用户从终端读取的数据的设备。 sebatchlogonright oval-def: EntityStateBoolType 0 1 如果一个帐户分配sebatchlogonright正确,它可以使用批处理登录登录类型。 seinteractivelogonright oval-def: EntityStateBoolType 0 1 如果一个帐户分配seinteractivelogonright正确,它可以使用交互式登录登录类型。 senetworklogonright oval-def: EntityStateBoolType 0 1 如果senetworklogonright权利分配一个账户,它可以使用网络登录登录类型。 seremoteinteractivelogonright oval-def: EntityStateBoolType 0 1 如果seremoteinteractivelogonright权利分配一个账户,就可以登录到计算机通过使用远程桌面连接。 seservicelogonright oval-def: EntityStateBoolType 0 1 如果seservicelogonright权利分配一个账户,它可以使用服务登录登录类型。 sedenybatchLogonright oval-def: EntityStateBoolType 0 1 如果sedenybatchLogonright权利分配一个账户,它是明确否认了登录使用批处理登录类型的能力。 sedenyinteractivelogonright oval-def: EntityStateBoolType 0 1 如果sedenyinteractivelogonright权利分配一个账户,它是明确否认了登录使用交互式登录类型的能力。 sedenynetworklogonright oval-def: EntityStateBoolType 0 1 如果sedenynetworklogonright权利分配一个账户,它是明确否认登录使用网络登录类型。 sedenyremoteInteractivelogonright oval-def: EntityStateBoolType 0 1 如果sedenyremoteInteractivelogonright权利分配一个账户,它是明确否认登录通过终端服务的能力。 sedenyservicelogonright oval-def: EntityStateBoolType 0 1 如果sedenyservicelogonright权利分配一个账户,它是明确否认登录使用服务登录类型。 setrustedcredmanaccessnameright oval-def: EntityStateBoolType 0 1 如果这个权利分配一个账户,它可以访问凭据经理为受信任的调用方。
| 弃用的版本:5.11 原因:被userrights_test所取代。使用AccesstokenBehaviors复杂类型的accesstoken_test患有可伸缩性问题域控制器上运行时,不应使用。因此,不再需要AccesstokenBehaviors复杂类型。看到userrights_test。 备注:这个复杂类型已经弃用,在6.0版本的语言将被删除。 |
AccesstokenBehaviors复杂类型定义了一个数量的行为,允许指定的accesstoken_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') 如果指定一组安全原则,这种行为指定是否包括集团。例如,也许你想检查与每个用户相关的访问令牌在一组,而不是组织本身。在这种情况下,您将设置include_group行为“假”。如果security_principle不是一个群体,那么这种行为应该被忽略。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决,任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
active directory测试用于检查活动目录中的特定条目的信息。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用一个activedirectory_object和可选状态元素指定元数据来检查。
请注意,这个测试只支持简单的基于(string)值集合。看到activedirectory57_test对于更复杂的值。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
activedirectory_object元素使用active directory测试定义这些对象来评估基于指定的状态。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
active directory对象包括三条信息,一个命名上下文,相对专有名称和属性。每一块帮助识别一个特定的活动目录条目。
注意,这个对象是搭配了一个只支持简单的基于(string)值集合。看到activedirectory57_object对于更复杂的值。
子元素 类型 MinOccurs MaxOccurs naming_context win-def: EntityObjectNamingContextType 1 1 每个对象在active directory存在一定的命名上下文(也称为一个分区)。命名上下文被定义为一个对象的目录信息树(DIT)连同树中的每个对象服从它。有三个默认的命名上下文在Active Directory:域,配置,和模式。 relative_dn oval-def: EntityObjectStringType 1 1 relative_dn字段用来唯一地标识一个对象在指定的命名上下文。它包含所有对象的专有名称的部分除介绍命名上下文。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的命名上下文。在这种情况下,relative_dn元素不应该收集或分析中使用。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每一个相对dn在给定的命名上下文。 属性 oval-def: EntityObjectStringType 1 1 指定了一个名为value包含的对象。如果xsi: nil属性设置为true,使用的属性元素不应该收集或分析。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每个属性在一个给定的相对的dn。
activedirectory_state元素定义了不同的信息,可以用来评估指定的活动目录中的条目。active directory测试将引用一个特定实例的状态定义的设置需要评估。请参阅模式中各个元素的更多细节每一个代表什么。
注意,这个国家只支持简单的基于(string)值集合。看到activedirectory57_state对于更复杂的值。
子元素 类型 MinOccurs MaxOccurs naming_context win-def: EntityStateNamingContextType 0 1 每个对象在active directory存在一定的命名上下文(也称为一个分区)。命名上下文被定义为一个对象的目录信息树(DIT)连同树中的每个对象服从它。有三个默认的命名上下文在Active Directory:域,配置,和模式。 relative_dn oval-def: EntityStateStringType 0 1 relative_dn字段用来唯一地标识一个对象在指定的命名上下文。它包含所有的部分对象的专有名称除命名上下文。 属性 oval-def: EntityStateStringType 0 1 指定了一个名为value包含的对象。 object_class oval-def: EntityStateStringType 0 1 类的名称的对象是一个实例。 adstype win-def: EntityStateAdstypeType 0 1 指定的信息的类型代表指定的属性。 价值 oval-def: EntityStateAnySimpleType 0 1 指定的active directory属性的实际值。
active directory测试用于检查活动目录中的特定条目的信息。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用一个activedirectory57_object和可选状态元素指定元数据来检查。
注意,这个测试支持复杂的值的形式记录。对于简单的看到activedirectory_test(基于字符串)值集合。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
activedirectory57_object元素使用active directory测试定义这些对象来评估基于指定的状态。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
active directory对象包括三条信息,一个命名上下文,相对专有名称和属性。每一块帮助识别一个特定的活动目录条目。
注意,这个对象支持复杂的值的形式记录。对于简单的看到activedirectory_object(基于字符串)值集合。
子元素 类型 MinOccurs MaxOccurs naming_context win-def: EntityObjectNamingContextType 1 1 每个对象在active directory存在一定的命名上下文(也称为一个分区)。命名上下文被定义为一个对象的目录信息树(DIT)连同树中的每个对象服从它。有三个默认的命名上下文在Active Directory:域,配置,和模式。 relative_dn oval-def: EntityObjectStringType 1 1 relative_dn字段用来唯一地标识一个对象在指定的命名上下文。它包含所有对象的专有名称的部分除介绍命名上下文。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的命名上下文。在这种情况下,relative_dn元素不应该收集或分析中使用。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每一个相对dn在给定的命名上下文。 属性 oval-def: EntityObjectStringType 1 1 指定了一个名为value包含的对象。如果xsi: nil属性设置为true,使用的属性元素不应该收集或分析。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每个属性在一个给定的相对的dn。 oval-def:过滤器 n /一个 0 无限
activedirectory57_state元素定义了不同的信息,可以用来评估指定的活动目录中的条目。active directory测试将引用一个特定实例的状态定义的设置需要评估。请参阅模式中各个元素的更多细节每一个代表什么。
注意,这个国家支持复杂的值的形式记录。对于简单的看到activedirectory_state(基于字符串)值集合。
子元素 类型 MinOccurs MaxOccurs naming_context win-def: EntityStateNamingContextType 0 1 每个对象在active directory存在一定的命名上下文(也称为一个分区)。命名上下文被定义为一个对象的目录信息树(DIT)连同树中的每个对象服从它。有三个默认的命名上下文在Active Directory:域,配置,和模式。 relative_dn oval-def: EntityStateStringType 0 1 relative_dn字段用来唯一地标识一个对象在指定的命名上下文。它包含所有对象的专有名称的部分除介绍命名上下文。 属性 oval-def: EntityStateStringType 0 1 指定了一个名为value包含的对象。 object_class oval-def: EntityStateStringType 0 1 类的名称的对象是一个实例。 adstype win-def: EntityStateAdstypeType 0 1 的信息的类型代表指定的属性。 价值 oval-def: EntityStateRecordType 0 1 指定的Active Directory属性的实际值。注意,虽然一个Active Directory属性可以包含结构化数据,需要收集多个相关领域,可以“记录”所描述的数据类型,它并非总是如此。它也可能是一个Active Directory属性只能包含一个值或值的数组。在这些情况下,没有一个名字来唯一地标识要求的对应字段字段记录的数据类型。因此,Active Directory属性的名称将用于唯一地标识字段,满足这一要求。
auditeventpolicy_test用于检查系统应该审计不同类型的事件。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用auditeventpolicy_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
auditeventpolicy_object元素所使用的审计事件策略测试定义这些对象评估基于指定的状态。实际上只有一个对象相关的审计事件的政策,这是系统作为一个整体。因此,没有子实体的定义。任何椭圆形测试写入检查审计事件政策将引用相同的auditeventpolicy_object基本上就是一个空对象元素。
auditeventpolicy_state元素指定了不同的系统活动,可审计。审计事件政策的考验将引用一个特定实例的状态定义的设置需要评估。定义的值出现在窗口的POLICY_AUDIT_EVENT_TYPE枚举和访问时通过LsaQueryInformationPolicy InformationClass PolicyAuditEventsInformation参数设置。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs account_logon win-def: EntityStateAuditType 0 1 审计试图登录或注销系统。同时,审计试图建立一个网络连接。 account_management win-def: EntityStateAuditType 0 1 审计试图创建、删除或更改用户或组帐户。同时,审计密码更改。 detailed_tracking win-def: EntityStateAuditType 0 1 审计的特定事件,如程序激活,某些形式的处理重复,间接访问对象,进程退出。注意,这个活动也被称为过程跟踪。 directory_service_access win-def: EntityStateAuditType 0 1 审计试图访问目录服务。 登录 win-def: EntityStateAuditType 0 1 审计试图登录或注销系统。同时,审计试图建立一个网络连接。 object_access win-def: EntityStateAuditType 0 1 审计试图访问可获得的对象,如文件。 policy_change win-def: EntityStateAuditType 0 1 审计试图改变政策对象的规则。 privilege_use win-def: EntityStateAuditType 0 1 审计试图使用特权。 系统 win-def: EntityStateAuditType 0 1 审计试图关闭或重新启动计算机。此外,审计事件,影响系统安全或安全日志。
auditeventpolicysubcategories_test用于检查审计事件策略设置在Windows系统上。这些设置用于指定要监视的系统和网络活动。例如,如果credential_validation AUDIT_FAILURE元素有一个值,这意味着系统配置来记录所有成功尝试验证系统上的用户帐户。重要的是要注意,这些审计事件策略设置特定于特定版本的Windows。因此,文档版本的Windows应该咨询更多信息在每个设置。测试中定义扩展了标准TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用auditeventpolicy_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
auditeventpolicysubcategories_object元素所使用的审计事件策略分类测试定义这些对象评估基于指定的状态。实际上只有一个子类对象相关的审计事件政策,这是系统作为一个整体。因此,没有子实体的定义。任何椭圆形测试写入检查审计事件政策子类引用相同的auditeventpolicysubcategories_object基本上就是一个空对象元素。
auditeventpolicysubcategories_state元素指定了不同的系统活动,可审计。审计事件政策分类测试将引用一个特定实例的状态定义具体的子类需要评估。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs credential_validation win-def: EntityStateAuditType 0 1 审计过程中产生的事件验证用户的登录凭据。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923f - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审核凭证验证 kerberos_authentication_service win-def: EntityStateAuditType 0 1 审计产生的事件Kerberos身份验证票据授予请求。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9242 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审计Kerboros身份验证服务 kerberos_service_ticket_operations win-def: EntityStateAuditType 0 1 审计产生的事件Kerberos服务票证请求。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9240 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审计Kerberos服务票操作 kerberos_ticket_events win-def: EntityStateAuditType 0 1 审计产生的事件在Kerberos票据的验证提供了一个用户帐户登录请求。 other_account_logon_events win-def: EntityStateAuditType 0 1 审计事件由更改用户帐户,不受其他帐户登录事件的类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9241 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审计其他帐户登录事件 application_group_management win-def: EntityStateAuditType 0 1 审计产生的事件改变应用程序组。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9239 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核应用程序组管理 computer_account_management win-def: EntityStateAuditType 0 1 审计产生的事件改变计算机帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9236 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核计算机帐户管理 distribution_group_management win-def: EntityStateAuditType 0 1 审计事件分布变化所产生的群体。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9238 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核分配账户管理 other_account_management_events win-def: EntityStateAuditType 0 1 审计事件由其他用户帐户的变化,不受其他帐户管理事件的类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923a - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核其他帐户管理事件 security_group_management win-def: EntityStateAuditType 0 1 审计事件由安全组的变化。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9237 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核安全组管理 user_account_management win-def: EntityStateAuditType 0 1 审计事件产生的更改用户帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9235 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核用户帐户管理 dpapi_activity win-def: EntityStateAuditType 0 1 审计事件时产生请求的数据保护应用程序接口。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922d - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计DPAPI活动 process_creation win-def: EntityStateAuditType 0 1 审计产生的事件当一个进程创建或开始。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922b - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计进程创建 process_termination win-def: EntityStateAuditType 0 1 审计过程结束时产生的事件。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922c - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计过程终止 rpc_events win-def: EntityStateAuditType 0 1 审计事件产生的入站连接远程过程调用。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922e - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计RPC事件 directory_service_access win-def: EntityStateAuditType 0 1 审计事件时产生一个Active Directory域服务对象访问。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923b - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计目录服务访问 directory_service_changes win-def: EntityStateAuditType 0 1 审计产生的事件发生更改时,将活动目录域服务对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923c - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计目录服务的变化 directory_service_replication win-def: EntityStateAuditType 0 1 审计事件时产生两个活动目录域服务域控制器复制。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923d - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计目录服务访问 detailed_directory_service_replication win-def: EntityStateAuditType 0 1 审计产生的事件详细的活动目录域服务域控制器之间的复制。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923e - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计详细目录服务复制 account_lockout win-def: EntityStateAuditType 0 1 审计产生的事件的一个失败的尝试登录一个锁定帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9217 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计帐户锁定 ipsec_extended_mode win-def: EntityStateAuditType 0 1 审计产生的事件网络密钥交换和验证网络协议谈判在扩展模式。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921a - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计IPsec扩展模式 ipsec_main_mode win-def: EntityStateAuditType 0 1 审计产生的事件网络密钥交换和验证网络协议谈判期间的主要模式。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9218 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:Logof /下线:审计IPsec的主要模式 ipsec_quick_mode win-def: EntityStateAuditType 0 1 审计产生的事件网络密钥交换和验证网络协议在快速模式协商期间。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9219 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计IPsec快速模式 下线 win-def: EntityStateAuditType 0 1 审计产生的事件关闭一个登录会话。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9216 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计下线 登录 win-def: EntityStateAuditType 0 1 审计产生的事件的尝试登录一个用户帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9215 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计登录 network_policy_server win-def: EntityStateAuditType 0 1 审计产生的活动半径和网络访问保护用户访问请求。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9243 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计网络策略服务器 other_logon_logoff_events win-def: EntityStateAuditType 0 1 审计事件由其他登录/登出事件中未涉及的登录/注销类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921c - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计其他登录/登出事件 special_logon win-def: EntityStateAuditType 0 1 审计产生的事件特别登录。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921b - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计特殊的登录 logon_claims win-def: EntityStateAuditType 0 1 审计用户和设备要求信息在用户的登录令牌。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9247 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计用户/设备要求 application_generated win-def: EntityStateAuditType 0 1 审计产生的事件使用Windows审计API的应用程序。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9222 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计应用程序生成的 certification_services win-def: EntityStateAuditType 0 1 审计产生的事件活动目录的操作证书服务。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9221 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计认证服务 detailed_file_share win-def: EntityStateAuditType 0 1 审计产生的事件试图访问共享文件夹的文件和文件夹。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9244 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计详细的文件共享 file_share win-def: EntityStateAuditType 0 1 审计产生的事件试图访问一个共享文件夹。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9224 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计文件共享 file_system win-def: EntityStateAuditType 0 1 审计事件产生用户试图访问文件系统对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921d - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计文件系统 filtering_platform_connection win-def: EntityStateAuditType 0 1 审计产生的事件连接允许或被Windows筛选平台。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9226 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计过滤平台连接 filtering_platform_packet_drop win-def: EntityStateAuditType 0 1 审计产生的事件下降了Windows的数据包过滤平台。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9225 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计过滤平台丢包 handle_manipulation win-def: EntityStateAuditType 0 1 审计产生的事件处理时打开或关闭。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9223 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:处理操作 kernel_object win-def: EntityStateAuditType 0 1 审计产生的事件试图访问系统内核。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921f - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:内核对象 other_object_access_events win-def: EntityStateAuditType 0 1 审计任务调度器的事件产生的管理工作或COM +对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9227 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:其他对象访问的事件 注册表 win-def: EntityStateAuditType 0 1 审计产生的事件试图访问注册表的对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921e - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计注册表 山姆 win-def: EntityStateAuditType 0 1 审计产生的事件试图访问安全帐户管理器对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9220 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计山姆 removable_storage win-def: EntityStateAuditType 0 1 审计事件表明移动存储文件对象访问的图谋。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9245 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计移动存储 central_access_policy_staging win-def: EntityStateAuditType 0 1 审计事件表明许可允许还是拒绝了提议的政策不同于当前中央政策对一个对象的访问。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9246 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:中央访问政策阶段 audit_policy_change win-def: EntityStateAuditType 0 1 审计产生的事件的安全审计政策的改变设置。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922f - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计审计政策变化 authentication_policy_change win-def: EntityStateAuditType 0 1 审计产生的事件改变身份验证策略。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9230 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计认证政策变化 authorization_policy_change win-def: EntityStateAuditType 0 1 审计产生的事件改变授权策略。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9231 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计授权策略改变 filtering_platform_policy_change win-def: EntityStateAuditType 0 1 审计产生的事件改变Windows筛选平台。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9233 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计过滤平台政策变化 mpssvc_rule_level_policy_change win-def: EntityStateAuditType 0 1 审计策略规则的变化产生的事件所使用的Windows防火墙。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9232 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计MPSSVC规则层面上的政策改变 other_policy_change_events win-def: EntityStateAuditType 0 1 审计产生的事件未涉及的其他安全政策变化政策变化的其他事件类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9234 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计其他政策变化的事件 non_sensitive_privilege_use win-def: EntityStateAuditType 0 1 审计产生的事件的使用不敏感的特权。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9229 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:特权使用:审计非敏感的特权使用 other_privilege_use_events win-def: EntityStateAuditType 0 1 这是目前未使用和保留了微软在未来使用。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922a - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:特权使用:审计其他特权使用事件 sensitive_privilege_use win-def: EntityStateAuditType 0 1 审计产生的事件的使用敏感的特权。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9228 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:特权使用:审计敏感的特权使用 ipsec_driver win-def: EntityStateAuditType 0 1 审计事件产生的IPsec过滤驱动程序。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9213 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计IPsec司机 other_system_events win-def: EntityStateAuditType 0 1 审计事件产生的启动和关闭,安全策略处理和加密密钥文件和迁移操作的Windows防火墙。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9214 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计其他系统事件 security_state_change win-def: EntityStateAuditType 0 1 审计产生的事件安全状态的变化。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9210 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计安全状态变化 security_system_extension win-def: EntityStateAuditType 0 1 审计产生的事件或服务保障体系扩展。这种状态符合以下ntsecapi中指定的GUID。h: cce9211 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计安全系统扩展 system_integrity win-def: EntityStateAuditType 0 1 审计的事件表明,已经违反了完整性安全子系统。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9212 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计系统的完整性
使用cmdlet_test levarage PowerShell cmdlet检查Windows系统。测试中定义扩展了标准TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用cmdlet_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
cmdlet_object元素使用一套cmdlet_test识别cmdlets使用和参数提供给他们检查系统的状态。为了确保PowerShell cmdlet椭圆形的支持翻译的一致性,以及确保系统的状态没有改变,每一个椭圆形的翻译必须实现以下要求。椭圆形的翻译必须只支持的处理动词EntityObjectCmdletVerbType中指定。如果cmdlet动词,没有发现这个枚举中定义,一个错误应该是报道和cmdlet不得系统上执行的。而XML模式验证将执行这个要求,强烈建议椭圆形解释器实现允许cmdlets的白名单。这可以通过使用约束runspaces可以限制PowerShell执行环境。有关更多信息,请参见微软的文档在Windows PowerShell主机应用程序的概念。此外,还强烈建议椭圆形解释器实现PowerShell支持启用了NoLanguage模式。NoLanguage模式确保脚本,需要评估runspace不允许。关于NoLanguage模式的更多信息,请参阅微软的文档PSLanguageMode枚举。
子元素 类型 MinOccurs MaxOccurs module_name oval-def: EntityObjectStringType 1 1 包含cmdlet模块的名称。 module_id参数 win-def: EntityObjectGUIDType 1 1 模块的全局唯一标识符。 module_version oval-def: EntityObjectVersionType 1 1 模块的版本包含cmdlet主要版本。次要版本。号码的形式 动词 win-def: EntityObjectCmdletVerbType 1 1 cmdlet动词。 名词 oval-def: EntityObjectStringType 1 1 cmdlet名词。 参数 oval-def: EntityObjectRecordType 1 1 一个属性列表(名称和值对)作为输入来调用cmdlet。每个属性名称必须是唯一的。当xsi:不想被设置为true,不提供给cmdlet参数。 选择 oval-def: EntityObjectRecordType 1 1 字段列表(名称和值对)用作输入Select-Object cmdlet选择特定的输出属性。每个属性名称必须是唯一的。请注意,使用“*”字符,选择所有属性,是不允许的。这是因为价值记录实体,在国家和项目,需要独特的字段名称值,以确保任何查询结果可以评价一致。这相当于管道的输出的cmdlet Select-Object cmdlet。当xsi:不想被设置为true, Select-Object没有使用。 oval-def:过滤器 n /一个 0 无限
cmdlet_state允许断言的存在PowerShell cmdlet从cmdlet获得相关的属性和值。
子元素 类型 MinOccurs MaxOccurs module_name oval-def: EntityStateStringType 0 1 包含cmdlet模块的名称。 module_id参数 win-def: EntityStateGUIDType 0 1 模块的全局唯一标识符。 module_version oval-def: EntityStateVersionType 0 1 模块的版本包含cmdlet主要版本。次要版本。号码的形式 动词 win-def: EntityStateCmdletVerbType 0 1 cmdlet动词。 名词 oval-def: EntityStateStringType 0 1 cmdlet名词。 参数 oval-def: EntityStateRecordType 0 1 一个属性列表(名称和值对)作为输入来调用cmdlet。每个属性名称必须是唯一的。 选择 oval-def: EntityStateRecordType 0 1 字段列表(名称和值对)用作输入Select-Object cmdlet选择特定的输出属性。每个属性名称必须是唯一的。 价值 oval-def: EntityStateRecordType 0 1 预期的值表示为一组字段(名称和值对)。每个字段必须有一个唯一的名称。
dnscache_test是用来检查时间生活域名和IP地址。时间住特定域名和IP地址从DNS缓存中检索本地系统。DNS缓存中的条目,可以使用微软的收集DnsGetCacheDataTable()和DnsQuery () API调用。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用dnscache_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
dnscache_object dnscache_test用来指定域名(s)应收集从本地系统上的DNS缓存。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
子元素 类型 MinOccurs MaxOccurs domain_name oval-def: EntityObjectStringType 1 1 domain_name元素指定的域名(s)应收集从DNS缓存到本地系统。 oval-def:过滤器 n /一个 0 无限
dnscache_state包含三个实体用于检查域名,生存时间,与DNS缓存条目相关联的IP地址。
子元素 类型 MinOccurs MaxOccurs domain_name oval-def: EntityStateStringType 0 1 domain_name元素包含一个字符串,该字符串代表一个域名的DNS缓存收集本地系统。 ttl oval-def: EntityStateIntType 0 1 ttl元素包含一个整数,代表着时间住在秒的DNS缓存条目。 ip_address oval-def: EntityStateIPAddressStringType 0 1 ip_address元素包含一个字符串,该字符串代表一个IP地址与指定的域名的DNS缓存收集本地系统。注意,可以IPv4和IPv6的IP地址。
关联的文件测试用于检查元数据与Windows文件。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用file_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
file_object元素使用的文件测试来定义特定的文件(s)评估。file_object将收集所有Windows目录和文件类型(FILE_TYPE_CHAR, FILE_TYPE_DISK, FILE_TYPE_PIPE、FILE_TYPE_REMOTE FILE_TYPE_UNKNOWN)。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
一个文件对象定义文件的路径和文件名或完成filepath(年代)。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅FileBehaviors复杂类型对具体行为。
文件的集合可以被识别和评估一个完整filepath或路径和文件名。只能选择其中一个选项。
重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: FileBehaviors 0 1 filepath oval-def: EntityObjectStringType 1 1 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 路径 oval-def: EntityObjectStringType 1 1 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件名 oval-def: EntityObjectStringType 1 1 文件名元素指定一个文件的名称来评估。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的目录对象(而不是在目录中所有的文件)。在这种情况下,不应使用文件名元素在收集和将导致独特的项目目录本身。例如,一个将xsi: nil真实如果欲望是测试与目录相关联的属性或权限。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每一个文件在一个给定的路径。 oval-def:过滤器 n /一个 0 无限
file_state元素定义了不同的元数据与Windows文件。这包括路径、文件名、所有者、大小、最后修改时间、版本等。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs filepath oval-def: EntityStateStringType 0 1 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 路径 oval-def: EntityStateStringType 0 1 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件名 oval-def: EntityStateStringType 0 1 元素指定文件名的文件的名称。 老板 oval-def: EntityStateStringType 0 1 业主元素是一个字符串,该字符串包含所有者的名称。这个名字应该域\用户名格式中指定。 大小 oval-def: EntityStateIntType 0 1 大小元素是文件的大小,以字节为单位。 a_time oval-def: EntityStateIntType 0 1 文件的最后访问时间。有效对NTFS但不是脂肪格式化的磁盘驱动器。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。 c_time oval-def: EntityStateIntType 0 1 创建文件的时间。有效对NTFS但不是脂肪格式化的磁盘驱动器。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。 m_time oval-def: EntityStateIntType 0 1 文件的最后修改时间。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。 ms_checksum oval-def: EntityStateStringType 0 1 文件的校验和是由微软MapFileAndCheckSum函数。 版本 oval-def: EntityStateVersionType 0 1 版本元素是分隔的字符串的文件。 类型 win-def: EntityStateFileTypeType 0 1 元素类型标志是否文件是一个目录,命名管道,标准文件,等。这些类型的返回值是GetFileType,除了FILE_ATTRIBUTE_DIRECTORY看着GetFileAttributesEx获得的。注意:这个实体应该分成两个在未来的版本中还有其他的语言值与GetFileAttributesEx不代表吗? development_class oval-def: EntityStateStringType 0 1 development_class元素允许东德开发环境之间的区别和压开发环境。这个领域的文本中发现mmmmmm-nnnn前版本,例如srv03_gdr。 公司 oval-def: EntityStateStringType 0 1 这个实体定义了一个公司名称内发现版本信息结构。 internal_name oval-def: EntityStateStringType 0 1 这个实体定义了一个内部的名字被发现版本信息结构。 语言 oval-def: EntityStateStringType 0 1 这个实体定义一种语言版本信息结构内被发现。 original_filename oval-def: EntityStateStringType 0 1 这个实体定义了一个原始文件名内发现版本信息结构。 product_name oval-def: EntityStateStringType 0 1 这个实体定义一个产品名称版本信息结构内被发现。 product_version oval-def: EntityStateVersionType 0 1 这个实体定义一个产品版本中发现版本信息结构。 windows_view win-def: EntityStateWindowsViewType 0 1 这是有针对性的窗口视图价值。这是用来表示视图(32位或64位),适用于相关的状态。
FileBehaviors复杂类型定义了一个数量的行为,允许指定的file_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。
属性: - - - - - - max_depth 限制xsd:整数 (可选,默认= ' 1 ') “max_depth”定义的最大递归深度执行recurse_direction时指定。值为“0”相当于没有递归,' 1 '意味着只有一个目录级别上升/下降,等等。默认值为“1”的含义没有限制。1的max_depth或任何值1或更多的起始目录递归搜索必须考虑。注意,默认recurse_direction行为是“没有”所以即使max_depth指定默认没有限制,把递归off.Note recurse_direction行为,这种行为只适用于实体的平等操作路径。 - - - - - - recurse_direction 限制xsd: string (可选,默认= '没有')(“没有”,“起”,“下”) recurse_direction定义了方向,父目录,“向上”或“向下”进入子目录递归搜索文件。向上或向下递归时,受限于max_depth行为。请注意,这不是一个错误如果max_depth指定某种程度的递归,水平并不存在。递归只能走向更深的层次。默认值是“没有”没有递归。注意,这个行为与平等操作仅适用于道路上的实体。 - - - - - - recurse_file_system 限制xsd: string (可选,默认= '所有')(“所有”,“当地”,“定义”) “recurse_file_system”定义的文件系统限制任何搜索和适用于所有操作在指定路径或filepath实体。“当地”的值限制了搜索范围到本地文件系统(而不是文件系统挂载从外部系统)。“定义”的价值一直在文件系统中的任何递归file_object(路径+文件名或filepath)指定。例如,如果指定的路径是“C: \”,你会只搜索C:驱动器,没有其它文件系统挂载后代路径。“定义”的价值仅适用于当一个平等操作用于搜索,因为路径或filepath实体必须显式地定义一个文件系统。默认值是“所有”意义为数据收集搜索所有可用的文件系统。注意,在大多数情况下建议“当地”的价值被用来确保文件系统只能搜索本地文件系统。搜索所有的文件系统性能影响。 - - - - - - windows_view 限制xsd: string (可选,默认= ' 64 _bit”) (“32 _bit”、“64 _bit”) 64位版本的Windows提供了另一种文件系统和注册表视图的32位应用程序。这个动作允许椭圆对象应该检查哪个视图状态。这种行为只适用于64位的Windows,而不能应用于其他平台。注意值有以下的意义:“64 _bit”——表明,64位视图在64位Windows操作系统都必须检查。在32位系统上,对象必须被评估,没有应用的行为。“32 _bit”——表明,32位视图必须检查。在32位系统上,对象必须被评估,没有应用的行为。建议相应的“windows_view”实体被设置在椭圆形的项目收集这种行为是用来区分椭圆形项目收集的32位或64位的观点。
文件审核权限测试用于检查与窗口相关的审计权限文件。注意,受托人的审计权限的审计权限SACL授予受托人或受托人的任何组的一员。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用fileauditedpermissions_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
fileauditedpermissions53_object元素使用文件审计权限测试定义对象用来evalutate指定的状态。fileauditedpermissions53_object将收集所有Windows目录和文件类型(FILE_TYPE_CHAR, FILE_TYPE_DISK, FILE_TYPE_PIPE、FILE_TYPE_REMOTE FILE_TYPE_UNKNOWN)。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。
fileauditedpermissions53_object被定义为一个Windows文件和受托人SID。文件代表了文件评估,而受托人SID代表帐户(SID)检查审计权限的。如果多个文件或SIDs匹配通过引用,那么每个可能的文件和SID的组合是一个匹配的文件审计权限对象。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅FileAuditPermissions53Behaviors复杂类型对具体行为。
文件的集合可以被识别和评估一个完整filepath或路径和文件名。只能选择其中一个选项。
重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: FileAuditPermissions53Behaviors 0 1 filepath oval-def: EntityObjectStringType 1 1 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 路径 oval-def: EntityObjectStringType 1 1 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件名 oval-def: EntityObjectStringType 1 1 文件名元素指定一个文件的名称来评估。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的目录对象(而不是在目录中所有的文件)。在这种情况下,不应使用文件名元素在收集和将导致独特的项目目录本身。例如,一个将xsi: nil真实如果欲望是测试与目录相关联的属性或权限。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每一个文件在一个给定的路径。 trustee_sid oval-def: EntityObjectStringType 1 1 trustee_sid实体识别与一个用户相关联的唯一SID,集团系统或程序(如Windows服务)。如果一个操作其他比=用来识别匹配的受托人(即不等于,或模式匹配)然后结果匹配只应当限于受托人文件中引用的安全描述符。这里的范围是有限的,以避免不必要的资源密集型搜索受托人。请注意,所有已知的受托人可以获得更大范围的通过使用变量。 oval-def:过滤器 n /一个 0 无限
fileauditedpermissions53_state元素定义了不同的审计权限,可以与给定fileauditedpermissions53_object有关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs filepath oval-def: EntityStateStringType 0 1 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 路径 oval-def: EntityStateStringType 0 1 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件名 oval-def: EntityStateStringType 0 1 文件名元素指定一个文件测试的名称。 trustee_sid oval-def: EntityStateStringType 0 1 trustee_sid元素相关的独特的SID,一个用户,组,系统或程序(如Windows服务)。 standard_delete win-def: EntityStateAuditType 0 1 删除对象的权利。 standard_read_control win-def: EntityStateAuditType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac win-def: EntityStateAuditType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner win-def: EntityStateAuditType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize win-def: EntityStateAuditType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security win-def: EntityStateAuditType 0 1 显示访问系统访问控制列表(SACL)。 generic_read win-def: EntityStateAuditType 0 1 读访问。 generic_write win-def: EntityStateAuditType 0 1 写访问。 generic_execute win-def: EntityStateAuditType 0 1 执行访问。 generic_all win-def: EntityStateAuditType 0 1 读、写和执行访问。 file_read_data win-def: EntityStateAuditType 0 1 授予的权利从文件读取数据。 file_write_data win-def: EntityStateAuditType 0 1 授予的权利写入数据文件。 file_append_data win-def: EntityStateAuditType 0 1 赠款将数据附加到文件的权利。 file_read_ea win-def: EntityStateAuditType 0 1 授予的权利阅读扩展属性。 file_write_ea win-def: EntityStateAuditType 0 1 授予的权利写扩展属性。 file_execute win-def: EntityStateAuditType 0 1 授予的权利执行一个文件。 file_delete_child win-def: EntityStateAuditType 0 1 删除一个目录和它包含的所有文件(孩子),即使是只读的文件。 file_read_attributes win-def: EntityStateAuditType 0 1 授予的权利读文件属性。 file_write_attributes win-def: EntityStateAuditType 0 1 授予的权利更改文件属性。 windows_view win-def: EntityStateWindowsViewType 0 1 这是有针对性的窗口视图价值。这是用来表示视图(32位或64位),适用于相关的状态。
FileAuditPermissions53Behaviors复杂类型定义了一个数量的行为,允许指定的fileauditpermissions53_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。
FileAuditPermissions53Behaviors扩展win-def: FileBehaviors因此包括行为定义的类型。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义是否应包括在该组织SID对象时,对象被定义为一群SID。例如,对象定义为一组SID的意图可能是检索所有用户SIDs集团的成员,但不是席德集团本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
| 弃用的版本:5.3 原因:被fileauditedpermissions53_test所取代。这个测试使用trustee_name元素确定受托人。受托人名字不是惟一的,创建一个新的测试使用受托人SIDs,这是独一无二的。看到fileauditedpermissions53_test。 备注:这个测试已经弃用,在6.0版本的语言将被删除。 |
文件审核权限测试用于检查与窗口相关的审计权限文件。注意,受托人的审计权限的审计权限SACL授予受托人或受托人的任何组的一员。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用fileauditedpermissions_object,和可选的国家元素引用fileauditedpermissions_state指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
| 弃用的版本:5.3 原因:被fileauditedpermissions53_object所取代。这个对象使用一个trustee_name元素确定受托人。受托人名称不独特,并创建一个新对象使用婴儿猝死综合症受托人,这是独一无二的。看到fileauditedpermissions53_object。 备注:这个对象已经弃用,在6.0版本的语言将被删除。 |
fileauditedpermissions_object元素使用文件审计权限测试定义对象用来evalutate指定的状态。fileauditedpermissions_object将收集所有Windows目录和文件类型(FILE_TYPE_CHAR, FILE_TYPE_DISK, FILE_TYPE_PIPE、FILE_TYPE_REMOTE FILE_TYPE_UNKNOWN)。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。
fileauditedpermissions_object被定义为一个Windows文件和受托人的名字。文件代表了文件评估,而受托人的名字代表了账户(SID)检查审计权限的。如果多个文件或SIDs匹配通过引用,那么每个可能的文件和SID的组合是一个匹配的文件审计权限对象。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅FileAuditPermissionsBehaviors复杂类型对具体行为。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: FileAuditPermissionsBehaviors 0 1 路径 oval-def: EntityObjectStringType 1 1 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件名 oval-def: EntityObjectStringType 1 1 文件名元素指定一个文件的名称来评估。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的目录对象(而不是在目录中所有的文件)。在这种情况下,不应使用文件名元素在收集和将导致独特的项目目录本身。例如,一个将xsi: nil真实如果欲望是测试与目录相关联的属性或权限。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每一个文件在一个给定的路径。 trustee_name oval-def: EntityObjectStringType 1 1 trustee_name元素相关的独特的名字,一个特定的SID。SID可以关联到一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。
| 弃用的版本:5.3 原因:被fileauditedpermissions53_state所取代。这种状态使用trustee_name元素确定受托人。受托人名称不独特,并创建一个新的国家使用婴儿猝死综合症受托人,这是独一无二的。看到fileauditedpermissions53_state。 备注:这个状态已经弃用,在6.0版本的语言将被删除。 |
fileauditedpermissions_state元素定义了不同的审计权限,可以与给定fileauditedpermissions_object有关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 路径 oval-def: EntityStateStringType 0 1 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件名 oval-def: EntityStateStringType 0 1 文件名元素指定一个文件测试的名称。 trustee_name oval-def: EntityStateStringType 0 1 trustee_name是唯一的名称与一个特定安全标识符(SID)有关。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 standard_delete win-def: EntityStateAuditType 0 1 删除对象的权利。 standard_read_control win-def: EntityStateAuditType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac win-def: EntityStateAuditType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner win-def: EntityStateAuditType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize win-def: EntityStateAuditType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security win-def: EntityStateAuditType 0 1 显示访问系统访问控制列表(SACL)。 generic_read win-def: EntityStateAuditType 0 1 读访问。 generic_write win-def: EntityStateAuditType 0 1 写访问。 generic_execute win-def: EntityStateAuditType 0 1 执行访问。 generic_all win-def: EntityStateAuditType 0 1 读、写和执行访问。 file_read_data win-def: EntityStateAuditType 0 1 授予的权利从文件读取数据。 file_write_data win-def: EntityStateAuditType 0 1 授予的权利写入数据文件。 file_append_data win-def: EntityStateAuditType 0 1 赠款将数据附加到文件的权利。 file_read_ea win-def: EntityStateAuditType 0 1 授予的权利阅读扩展属性。 file_write_ea win-def: EntityStateAuditType 0 1 授予的权利写扩展属性。 file_execute win-def: EntityStateAuditType 0 1 授予的权利执行一个文件。 file_delete_child win-def: EntityStateAuditType 0 1 删除一个目录和它包含的所有文件(孩子),即使是只读的文件。 file_read_attributes win-def: EntityStateAuditType 0 1 授予的权利读文件属性。 file_write_attributes win-def: EntityStateAuditType 0 1 授予的权利更改文件属性。 windows_view win-def: EntityStateWindowsViewType 0 1 这是有针对性的窗口视图价值。这是用来表示视图(32位或64位),适用于相关的状态。
| 弃用的版本:5.3 原因:被FileAuditPermissionsBehaviors53所取代。FileAuditPermissionsBehaviors复杂类型使用fileauditedpermissions_test使用trustee_name元素确定受托人。受托人名字不是惟一的,创建一个新的测试使用受托人SIDs,这是独一无二的。这个新的测试利用FileAuditPermissionsBehaviors53复杂类型,因此,不再需要FileAuditPermissionsBehaviors复杂类型。 备注:这个复杂类型已经弃用,在6.0版本的语言将被删除。 |
FileAuditPermissionsBehaviors复杂类型定义了一个数量的行为,允许指定的fileauditpermissions_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
FileAuditPermissionsBehaviors扩展win-def: FileBehaviors因此包括行为定义的类型。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义了集团受托人的名字是否应该被包括在定义对象时,对象由一群受托人的名字。例如,一个对象的意图由受托人的名字可能是一组定义检索所有用户SIDs集团的一员,但不是集团受托人名称本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
文件有效权利测试用于检查的有效权利与Windows文件。注意,受托人的有效访问权限的访问权限是DACL授予受托人或受托人的任何组的一员。fileeffectiverights53_test元素中定义扩展了标准TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用fileeffectiverights53_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
fileeffectiverights53_object元素使用的文件有效的权利测试定义对象用于evalutate对指定的状态。fileeffectiverights53_object将收集所有Windows目录和文件类型(FILE_TYPE_CHAR, FILE_TYPE_DISK, FILE_TYPE_PIPE、FILE_TYPE_REMOTE FILE_TYPE_UNKNOWN)。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。
fileeffectiverights53_object被定义为一个Windows文件和受托人SID。文件代表了文件评估,而受托人SID代表帐户(SID)检查有效的权利。如果多个文件或SIDs匹配通过引用,那么每个可能的文件和SID的组合是一个匹配的文件有效权利对象。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅FileEffectiveRights53Behaviors复杂类型对具体行为。
文件的集合可以被识别和评估一个完整filepath或路径和文件名。只能选择其中一个选项。
重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: FileEffectiveRights53Behaviors 0 1 filepath oval-def: EntityObjectStringType 1 1 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 路径 oval-def: EntityObjectStringType 1 1 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件名 oval-def: EntityObjectStringType 1 1 文件名元素指定一个文件的名称来评估。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的目录对象(而不是在目录中所有的文件)。在这种情况下,不应使用文件名元素在收集和将导致独特的项目目录本身。例如,一个将xsi: nil真实如果欲望是测试与目录相关联的属性或权限。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每一个文件在一个给定的路径。 trustee_sid oval-def: EntityObjectStringType 1 1 trustee_sid实体识别与一个用户相关联的唯一SID,集团系统或程序(如Windows服务)。如果一个操作其他比=用来识别匹配的受托人(即不等于,或模式匹配)然后结果匹配只应当限于受托人文件中引用的安全描述符。这里的范围是有限的,以避免不必要的资源密集型搜索受托人。请注意,所有已知的受托人可以获得更大范围的通过使用变量。 oval-def:过滤器 n /一个 0 无限
fileeffectiverights53_state元素定义了不同的权利,可以与给定fileeffectiverights53_object相关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs filepath oval-def: EntityStateStringType 0 1 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 路径 oval-def: EntityStateStringType 0 1 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件名 oval-def: EntityStateStringType 0 1 元素指定文件名的文件的名称。 trustee_sid oval-def: EntityStateStringType 0 1 trustee_sid元素相关的独特的SID,一个用户,组,系统或程序(如Windows服务)。 standard_delete oval-def: EntityStateBoolType 0 1 删除对象的权利。 standard_read_control oval-def: EntityStateBoolType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac oval-def: EntityStateBoolType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner oval-def: EntityStateBoolType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize oval-def: EntityStateBoolType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security oval-def: EntityStateBoolType 0 1 显示访问系统访问控制列表(SACL)。 generic_read oval-def: EntityStateBoolType 0 1 读访问。 generic_write oval-def: EntityStateBoolType 0 1 写访问。 generic_execute oval-def: EntityStateBoolType 0 1 执行访问。 generic_all oval-def: EntityStateBoolType 0 1 读、写和执行访问。 file_read_data oval-def: EntityStateBoolType 0 1 授予的权利从文件读取数据,或者如果一个目录,授予正确的列出目录的内容。 file_write_data oval-def: EntityStateBoolType 0 1 授予的权利向文件写入数据,或者如果一个目录,授予正确的文件添加到目录中。 file_append_data oval-def: EntityStateBoolType 0 1 授予的权利将数据附加到该文件,或者如果一个目录,授予权利目录添加到目录中。 file_read_ea oval-def: EntityStateBoolType 0 1 授予的权利阅读扩展属性。 file_write_ea oval-def: EntityStateBoolType 0 1 授予的权利写扩展属性。 file_execute oval-def: EntityStateBoolType 0 1 授予的权利执行一个文件,或者如果一个目录,遍历目录。 file_delete_child oval-def: EntityStateBoolType 0 1 删除一个目录和它包含的所有文件(孩子),即使是只读的文件。 file_read_attributes oval-def: EntityStateBoolType 0 1 授予的权利读取文件或目录的属性。 file_write_attributes oval-def: EntityStateBoolType 0 1 授予的权利更改文件或目录的属性。 windows_view win-def: EntityStateWindowsViewType 0 1 这是有针对性的窗口视图价值。这是用来表示视图(32位或64位),适用于相关的状态。
FileEffectiveRights53Behaviors复杂类型定义了一个数量的行为,允许指定的fileeffectiverights53_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。
FileEffectiveRights53Behaviors扩展win-def: FileBehaviors因此包括行为定义的类型。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义是否应包括在该组织SID对象时,对象被定义为一群SID。例如,对象定义为一组SID的意图可能是检索所有用户SIDs集团的成员,但不是席德集团本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
| 弃用的版本:5.3 原因:被fileeffectiverights53_test所取代。这个测试使用trustee_name元素确定受托人。受托人名字不是惟一的,创建一个新的测试使用受托人SIDs,这是独一无二的。看到fileeffectiverights53_test。 备注:这个测试已经弃用,在6.0版本的语言将被删除。 |
文件有效权利测试用于检查的有效权利与Windows文件。注意,受托人的有效访问权限的访问权限是DACL授予受托人或受托人的任何组的一员。fileeffectiverights_test元素中定义扩展了标准TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用fileeffectiverights_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
| 弃用的版本:5.3 原因:被fileeffectiverights_object所取代。这个对象使用一个trustee_name元素确定受托人。受托人名称不独特,并创建一个新对象使用婴儿猝死综合症受托人,这是独一无二的。看到fileeffectiverights53_object。 备注:这个对象已经弃用,在6.0版本的语言将被删除。 |
fileeffectiverights_object元素使用的文件有效的权利测试定义对象用于evalutate对指定的状态。fileeffectiverights_object将收集所有Windows目录和文件类型(FILE_TYPE_CHAR, FILE_TYPE_DISK, FILE_TYPE_PIPE、FILE_TYPE_REMOTE FILE_TYPE_UNKNOWN)。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。
fileeffectiverights_object被定义为一个Windows文件和受托人的名字。文件代表了文件评估,而受托人的名字代表了账户(SID)检查有效的权利。如果多个文件或SIDs匹配通过引用,那么每个可能的文件和SID的组合是一个匹配的文件有效权利对象。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅FileEffectiveRightsBehaviors复杂类型对具体行为。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: FileEffectiveRightsBehaviors 0 1 路径 oval-def: EntityObjectStringType 1 1 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件名 oval-def: EntityObjectStringType 1 1 文件名元素指定一个文件的名称来评估。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的目录对象(而不是在目录中所有的文件)。在这种情况下,不应使用文件名元素在收集和将导致独特的项目目录本身。例如,一个将xsi: nil真实如果欲望是测试与目录相关联的属性或权限。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每一个文件在一个给定的路径。 trustee_name oval-def: EntityObjectStringType 1 1 trustee_name元素相关的独特的名字,一个特定的SID。SID可以关联到一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。
| 弃用的版本:5.3 原因:被fileeffectiverights53_state所取代。这种状态使用trustee_name元素确定受托人。受托人名称不独特,并创建一个新的国家使用婴儿猝死综合症受托人,这是独一无二的。看到fileeffectiverights53_state。 备注:这个状态已经弃用,在6.0版本的语言将被删除。 |
fileeffectiverights_state元素定义了不同的权利,可以与给定fileeffectiverights_object相关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 路径 oval-def: EntityStateStringType 0 1 元素指定目录的路径组件的机器上的一个文件的绝对路径。 文件名 oval-def: EntityStateStringType 0 1 元素指定文件名的文件的名称。 trustee_name oval-def: EntityStateStringType 0 1 独特的名字与一个特定安全标识符(SID)有关。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 standard_delete oval-def: EntityStateBoolType 0 1 删除对象的权利。 standard_read_control oval-def: EntityStateBoolType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac oval-def: EntityStateBoolType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner oval-def: EntityStateBoolType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize oval-def: EntityStateBoolType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security oval-def: EntityStateBoolType 0 1 显示访问系统访问控制列表(SACL)。 generic_read oval-def: EntityStateBoolType 0 1 读访问。 generic_write oval-def: EntityStateBoolType 0 1 写访问。 generic_execute oval-def: EntityStateBoolType 0 1 执行访问。 generic_all oval-def: EntityStateBoolType 0 1 读、写和执行访问。 file_read_data oval-def: EntityStateBoolType 0 1 授予的权利从文件读取数据,或者如果一个目录,授予正确的列出目录的内容。 file_write_data oval-def: EntityStateBoolType 0 1 授予的权利向文件写入数据,或者如果一个目录,授予正确的文件添加到目录中。 file_append_data oval-def: EntityStateBoolType 0 1 授予的权利将数据附加到该文件,或者如果一个目录,授予权利目录添加到目录中。 file_read_ea oval-def: EntityStateBoolType 0 1 授予的权利阅读扩展属性。 file_write_ea oval-def: EntityStateBoolType 0 1 授予的权利写扩展属性。 file_execute oval-def: EntityStateBoolType 0 1 授予的权利执行一个文件,或者如果一个目录,遍历目录。 file_delete_child oval-def: EntityStateBoolType 0 1 删除一个目录和它包含的所有文件(孩子),即使是只读的文件。 file_read_attributes oval-def: EntityStateBoolType 0 1 授予的权利读取文件或目录的属性。 file_write_attributes oval-def: EntityStateBoolType 0 1 授予的权利更改文件或目录的属性。 windows_view win-def: EntityStateWindowsViewType 0 1 这是有针对性的窗口视图价值。这是用来表示视图(32位或64位),适用于相关的状态。
| 弃用的版本:5.3 原因:被FileEffectiveRightsBehaviors53所取代。FileEffectiveRightsBehaviors复杂类型使用fileeffectiverights_test使用trustee_name元素确定受托人。受托人名字不是惟一的,创建一个新的测试使用受托人SIDs,这是独一无二的。这个新的测试利用FileEffectiveRightsBehaviors53复杂类型,因此,不再需要FileEffectiveRightsBehaviors复杂类型。 备注:这个复杂类型已经弃用,在6.0版本的语言将被删除。 |
FileEffectiveRightsBehaviors复杂类型定义了一个数量的行为,允许指定的fileeffectiverights_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
FileEffectiveRightsBehaviors扩展win-def: FileBehaviors因此包括行为定义的类型。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义了集团受托人的名字是否应该被包括在定义对象时,对象由一群受托人的名字。例如,对象定义为一组SID的意图可能是用户检索所有受托人的名字是该组织的成员,但不是委托人名称本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
| 弃用的版本:5.11 原因:被group_sid_test所取代。这个测试使用受托人名称识别系统上的账户。受托人姓名和group_sid_test并不罕见,它使用受托人SIDs是独一无二的,应该使用。看到group_sid_test。 备注:这个测试已经弃用,在6.0版本的语言将被删除。 |
group_test允许不同的用户和组,直接属于特定群体(由名称标识),进行测试。group_test收集系统上的组织时,它应该只包括本地和内置的组帐户,而不是域组帐户。然而,重要的是要注意,域组帐户仍然可以抬起头来。同时,注意,不会找得到解决的子用户群间接用户和组的成员。如果子组需要解决,它使用sid_object应该做的。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用group_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
| 弃用的版本:5.11 原因:被group_sid_object所取代。这个对象使用受托人名称识别系统上的账户。受托人姓名和group_sid_object并不罕见,它使用受托人SIDs是独一无二的,应该使用。看到group_sid_object。 备注:这个对象已经弃用,在6.0版本的语言将被删除。 |
group_object元素所使用的一组测试来定义特定群体(s)(由名称标识)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
子元素 类型 MinOccurs MaxOccurs 集团 oval-def: EntityObjectStringType 1 1 组元素拥有一个字符串,该字符串代表一个特定的组的名称。在Windows中,组名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,该组织应识别的形式:“域\组名称”。在当地环境中,该组织应确定的形式:“计算机名称\组名称”。如果集团是一个内置的集团,集团应该确认形式:“组名”没有一个域组件。 oval-def:过滤器 n /一个 0 无限
| 弃用的版本:5.11 原因:被group_sid_state所取代。这个国家使用受托人名称识别系统上的账户。受托人姓名和group_sid_state并不罕见,它使用受托人SIDs是独一无二的,应该使用。看到group_sid_state。 备注:这个状态已经弃用,在6.0版本的语言将被删除。 |
group_state元素列举了不同的用户和组与Windows组直接相关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 集团 oval-def: EntityStateStringType 0 1 组元素拥有一个字符串,该字符串代表一个特定的组的名称。在Windows中,组名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,组织应确定的形式:“域\组名称”。为当地团体使用:“计算机名称\组名称”。内置的系统上的账户,没有一个域使用组名。 用户 oval-def: EntityStateStringType 0 1 用户元素拥有一个字符串,该字符串代表一个特定用户的名字。在Windows中,用户名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,用户应该被识别的形式:“域\用户名”。为本地用户使用:“计算机名称\用户名”。对于内置的系统上的账户,使用用户名没有一个域。用户系统中的元素可以包含多次特征项以记录包含许多不同的用户组。注意,entity_check属性与EntityStateStringType指南等实体的评估用户参考项,可以发生一个无界的次数。 子群 oval-def: EntityStateStringType 0 1 一个字符串,该字符串代表一个特定的子群的名称在指定的组。在Windows中,组名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,首先应确定子组的形式:“域\组名称”。在当地环境中,首先应确定子组的形式:“计算机名称\组名称”。如果子组内建组,首先应确定子组的形式:“组名”没有一个域组件。多次群元素可以包含在系统特征项为了记录一组包含许多不同的子组。注意entity_check属性与EntityStateStringType指导评价小组实体引用的实体物品,会出现一个无界的次数。
group_sid_test允许不同的用户和组,直接属于特定群体(SID),进行测试。当group_sid_test收集集团SIDs系统上,它应该只包括本地和内置组SIDs而不是域组SIDs。然而,重要的是要注意,域组SIDs仍然可以抬起头来。同时,注意,不会找得到解决的子用户群间接用户和组的成员。如果子组需要解决,它使用sid_sid_object应该做的。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用group_sid_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
group_sid_object元素使用group_test定义特定群体(s) (SID)确认的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
子元素 类型 MinOccurs MaxOccurs group_sid oval-def: EntityObjectStringType 1 1 group_sid实体持有一个字符串,该字符串代表一个特定的SID。 oval-def:过滤器 n /一个 0 无限
group_state元素列举了不同的用户和组与Windows组直接相关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs group_sid oval-def: EntityStateStringType 0 1 group_sid实体持有一个字符串,该字符串代表一个特定的SID。 user_sid oval-def: EntityStateStringType 0 1 user_sid实体持有一个字符串,该字符串代表一个特定用户的SID。该实体可以包含多次系统中特征项以记录包含许多不同的用户组。注意,entity_check属性与EntityStateStringType指南等实体的评估用户参考项,可以发生一个无界的次数。 subgroup_sid oval-def: EntityStateStringType 0 1 subgroup_sid实体持有一个字符串,该字符串代表特定的子群的SID在指定的组。该实体可以包含多次的系统特征项,以记录一组包含许多不同的子组。注意entity_check属性与EntityStateStringType指南评估实体像subgroup_sid指可能发生一个无界的次数的物品。
接口测试列举各种属性对一个系统的接口。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用一个interface_object和可选状态元素指定检查的接口信息。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
interface_object元素使用一个接口测试来定义特定的接口(s)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
一个接口对象包含一个名称的实体标识接口被指定。帮忙了解这个对象,看到MIB_IFROW MIB_IPADDRROW结构。
子元素 类型 MinOccurs MaxOccurs 的名字 oval-def: EntityObjectStringType 1 1 name元素指定一个接口的名称。 oval-def:过滤器 n /一个 0 无限
interface_state元素列举了不同的属性与Windows界面。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 的名字 oval-def: EntityStateStringType 0 1 name元素指定一个接口的名称。 指数 oval-def: EntityStateIntType 0 1 索引元素指定索引标识接口。 类型 win-def: EntityStateInterfaceTypeType 0 1 元素指定类型的类型接口,仅限于特定的值。 hardware_addr oval-def: EntityStateStringType 0 1 hardware_addr实体是硬件或物理网卡的MAC地址。MAC地址应该显示格式化的IEEE 802 - 2001标准即一个MAC地址是六个八位字节的序列值,由连字符分隔,每个八隅体由两个十六进制数字。还应使用大写字母来表示十六进制数字A到F。 inet_addr oval-def: EntityStateIPAddressStringType 0 1 inet_addr元素指定的IP地址。注意,可以IPv4和IPv6的IP地址。如果IPv6地址的IP地址,该实体将表示为IPv6地址前缀使用CIDR标记和子网掩码实体将不会被收集。 broadcast_addr oval-def: EntityStateIPAddressStringType 0 1 broadcast_addr元素指定了广播地址。一个广播地址通常是IP地址的主机部分设置为0或1。注意,可以IPv4和IPv6的IP地址。 子网掩码 oval-def: EntityStateIPAddressStringType 0 1 子网掩码元素指定IP地址的子网掩码。注意,如果inet_addr实体包含一个IPv6地址前缀,这个实体不会被收集。 addr_type win-def: EntityStateAddrTypeType 0 1 addr_type元素指定一个特定接口的地址类型或状态。每个接口可以与多个值关联意义addr_type元素可以发生多次系统中特征项。注意,entity_check属性与EntityStateAddrTypeType导游像addr_type无限实体的评估。
license_test用于检查Windows注册表中的特定条目的内容HKLM \ SYSTEM \ CurrentControlSet \ \ ProductOptions控制键,ProductPolicy价值。访问这些数据公开的函数NtQueryLicenseValue(而且,在6.0及更高版本中,ZwQueryLicenseValue)都要。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
license_object元素license_test定义对象使用的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
子元素 类型 MinOccurs MaxOccurs 的名字 oval-def: EntityObjectStringType 1 1 实体提供的地址名称的UNICODE_STRING结构数据的名称的值,例如,TabletPCPlatformInput-core-EnableTouchUI。 oval-def:过滤器 n /一个 0 无限
license_state元素定义了不同的信息,可以发现在Windows许可证注册表值。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 的名字 oval-def: EntityStateStringType 0 1 实体对应license_object名实体的名称。 类型 win-def: EntityStateRegistryTypeType 0 1 可选类型实体提供预计的数据类型:REG_SZ (0 x01)字符串;REG_BINARY为二进制数据(0 x03);REG_DWORD (0 x04)表示。 价值 oval-def: EntityStateAnySimpleType 0 1 价值实体允许写对一个测试值在指定许可条目(回想)举行。如果被测试的值的类型是REG_BINARY,然后数据类型属性应该设置为“二进制”和数据所代表的价值实体应该遵循xsd: hexBinary形式。(每个二进制八隅体编码为两个十六进制数字)如果被测试的值的类型是REG_DWORD,然后数据类型属性值应该设置为“int”和实体应该将数据表示为一个整数。如果指定的注册表键的类型是REG_SZ,然后数据类型应该“字符串”和实体价值应该是字符串的一个副本。注意,如果举行的目的是测试一个版本号许可条目(reg_sz),而不是将数据类型设置为“字符串”,数据类型可以设置为“版本”。这允许执行评估工具知道如何执行小于和大于操作正确。
锁定策略测试列举了各种属性与锁定相关信息为用户和全球组织在安全数据库。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用lockoutpolicy_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
lockoutpolicy_object元素使用的锁定策略测试定义这些对象评估基于指定的状态。实际上只有一个对象锁定相关政策,这是系统作为一个整体。因此,没有子实体的定义。任何椭圆形测试书面检查锁定政策将引用相同的lockoutpolicy_object基本上就是一个空对象元素。
lockoutpolicy_state元素指定与锁定相关的各种属性信息为用户和全球组织在安全数据库。锁定策略测试将引用一个特定实例的状态定义的设置需要评估。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs force_logoff oval-def: EntityStateIntType 0 1 在几秒钟内,指定的时间之间有效的登录时间和结束时间当用户被迫注销网络。值TIMEQ_FOREVER(1)表明用户永远不会被迫注销。零值表明,用户将被迫注销时立即有效的登录时间到期。看到调用返回的USER_MODALS_INFO_0结构NetUserModalsGet ()。 lockout_duration oval-def: EntityStateIntType 0 1 指定,在几秒钟内,锁定账户仍然锁多久之前自动解锁。看到调用返回的USER_MODALS_INFO_3结构NetUserModalsGet ()。 lockout_observation_window oval-def: EntityStateIntType 0 1 指定的最长时间,以秒为单位,可以在任意两个之间流逝停摆发生之前失败的登录尝试。看到调用返回的USER_MODALS_INFO_3结构NetUserModalsGet ()。 lockout_threshold oval-def: EntityStateIntType 0 1 指定了无效的密码身份验证的数量可以发生在一个帐户被标记“锁定”。看到调用返回的USER_MODALS_INFO_3结构NetUserModalsGet ()。
metabase测试用于检查Windows metabase中发现的信息。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用metabase_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
metabase测试所使用的metabase_object元素来定义特定metabase item (s)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
metabase对象定义了关键的项目(s)和id。
子元素 类型 MinOccurs MaxOccurs 关键 oval-def: EntityObjectStringType 1 1 关键元素指定一个metabase键。 id oval-def: EntityObjectIntType 1 1 下的id元素指定一个特定对象metabase键。如果xsi: nil属性设置为true,然后被指定的对象是更高层次的关键。在这种情况下,id元素不应该收集或用于分析。设置xsi: nil等于真实是不同的比使用。*模式匹配,说收集每个id在一个给定的键。最有可能的使用xsi: nil metabase内存在的对象是当检查一个特定的关键,没有问候与之关联的不同的id。 oval-def:过滤器 n /一个 0 无限
metabase_state元素定义了不同的元数据与metabase项。这包括名称、用户类型、数据类型,和实际的数据。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 关键 oval-def: EntityStateStringType 0 1 关键元素指定一个metabase键。 id oval-def: EntityStateIntType 0 1 下的id元素指定一个特定对象metabase键。 的名字 oval-def: EntityStateStringType 0 1 name元素描述metabase指定对象的名称。 user_type oval-def: EntityStateStringType 0 1 user_type元素是一个32位无符号整数(字),指定数据的用户类型。看到METADATA_RECORD结构。 data_type oval-def: EntityStateStringType 0 1 data_type元素标识metabase条目的类型的数据。看到METADATA_RECORD结构。 数据 oval-def: EntityStateAnySimpleType 0 1 命名的实际数据项下指定metabase关键
ntuser测试用于检查元数据与Windows ntuser有关。dat文件。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用ntuser_object和可选状态元素指定ntuser数据检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
ntuser_object元素用于指定哪些元数据应该从Windows ntuser收集。dat文件。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: NTUserBehaviors 0 1 关键 oval-def: EntityObjectStringType 1 1 关键元素描述了一个注册表收集的关键。注意字符串的蜂巢部分不应包括在内,这个数据是没有必要ntuser测试和通常位于HKCU蜂巢。 的名字 oval-def: EntityObjectStringType 1 1 name元素描述名称分配给一个与特定的注册表键相关联的值。如果指定一个空字符串的元素名称,注册表键的默认值应该收集。如果xsi: nil属性设置为true,然后被指定的对象是更高层次的关键。在这种情况下,元素名称不应收集或用于分析。设置xsi: nil等于真正的元素是不同的比使用。*模式匹配。说。*模式匹配来收集每个名称在一个给定的蜂巢/关键。最有可能的使用xsi: nil注册表内存在的对象是当检查一个特定的关键,没有问候与之关联的不同的名称。 oval-def:过滤器 n /一个 0 无限
ntuser_state元素定义了不同的元数据与ntuser相关联。dat文件。这包括关键、名称、类型和值。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 关键 oval-def: EntityStateStringType 0 1 这个元素描述了一个注册表键通常HKCU蜂巢中进行测试。 的名字 oval-def: EntityStateStringType 0 1 这个元素描述了一个注册表键值的名称。 sid oval-def: EntityStateStringType 0 1 这个元素有一个字符串,该字符串代表一个特定用户的SID。 用户名 oval-def: EntityStateStringType 0 1 用户名实体持有一个字符串,该字符串代表一个特定用户的名字。在Windows中,用户名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,用户应该被识别的形式:“域\用户名”。为本地用户使用:“计算机名称\用户名”。 account_type win-def: EntityStateNTUserAccountTypeType 0 1 account_type元素描述了如果用户帐户是本地帐户或域帐户。 logged_on oval-def: EntityStateBoolType 0 1 logged_on元素描述了如果用户帐户目前登录到计算机。 启用 oval-def: EntityStateBoolType 0 1 启用元素描述了如果用户帐户启用或禁用。 date_modified oval-def: EntityStateIntType 0 1 文件的最后修改时间。整数代表FILETIME结构应该是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。 days_since_modified oval-def: EntityStateIntType 0 1 ntuser以来的天数。dat文件最后修改。值应该是围捕到下一个整数。 filepath oval-def: EntityStateStringType 0 1 这个元素描述了filepath ntuser。dat文件。 last_write_time oval-def: EntityStateIntType 0 1 最后一次的关键或任何它的值被修改的条目。这个实体的值代表了FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。最后写时间可以查询键或名字。当只收集信息注册表键的最后写时间将键或它的任何entiries写入。当只收集信息注册表的名字最后写时间将名字写入的时候。看到RegQueryInfoKey lpftLastWriteTime函数。 类型 win-def: EntityStateRegistryTypeType 0 1 实体类型允许针对registy类型编写一个测试与指定的注册表键(s)。请参考文档的EntityStateRegistryTypeType更多关于不同的有效个人类型的信息。 价值 oval-def: EntityStateAnySimpleType 0 1 价值实体允许编写一个测试在指定的注册表键值(s)。如果被测试的值的类型是REG_BINARY,然后数据类型属性应该设置为“二进制”和数据所代表的价值实体应该遵循xsd: hexBinary形式。(每个二进制八隅体编码为两个十六进制数字)如果该值被测试的类型是REG_DWORD或REG_QWORD,然后数据类型属性值应该设置为“int”和实体应该将数据表示为一个整数。如果被测试的值的类型是REG_EXPAND_SZ,然后数据类型属性应该设置为“字符串”和pre-expanded字符串应该值所代表的实体。如果被测试的值的类型是REG_MULTI_SZ,然后只有一个字符串(多个字符串之一)应该测试使用价值实体的数据类型属性设置为“字符串”。为了测试多个值,应该使用多个椭圆注册测试。如果指定的注册表键的类型是REG_SZ,然后数据类型应该“字符串”和实体价值应该是字符串的一个副本。注意,如果举行的目的是测试一个版本号注册表(reg_sz)而不是设置的字符串数据类型,数据类型可以设置为“版本”。这允许执行评估工具知道如何执行小于和大于操作正确。
NTUserBehaviors复杂类型定义了一个数量的行为,允许指定的ntuser_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
属性: - - - - - - include_default xsd: boolean (可选,默认= '假') “include_default”定义了窗口的地方如果ntuser违约。dat文件包含在结果中。默认情况下,这个文件不包含在结果中。默认的用户目录包含ntuser。dat文件存储在注册中心的HKEY_LOCAL_MACHINE /软件/微软Windows NT / CurrentVersion / ProfileList /违约”。 - - - - - - max_depth 限制xsd:整数 (可选,默认= ' 1 ') “max_depth”定义的最大递归深度执行recurse_direction时指定。值为“0”相当于没有递归,' 1 '意味着只有一个目录级别上升/下降,等等。默认值为“1”的含义没有限制。1的max_depth或任何值1或更多的开始键必须考虑在递归搜索。注意,默认recurse_direction行为是“没有”所以即使max_depth指定默认没有限制,把递归off.Note recurse_direction行为,这种行为只适用与平等操作实体的关键。 - - - - - - recurse_direction 限制xsd: string (可选,默认= '没有')(“没有”,“起”,“下”) “recurse_direction”定义了方向,父键“向上”或“向下”到孩子钥匙递归搜索注册表键。向上或向下递归时,受限于max_depth行为。请注意,这不是一个错误如果max_depth指定某种程度的递归,水平并不存在。递归只能走向更深的层次。默认值是“没有”没有递归。注意,这种行为与平等操作仅适用于实体的关键。 - - - - - - windows_view 限制xsd: string (可选,默认= ' 64 _bit”) (“32 _bit”、“64 _bit”) 64位版本的Windows提供了另一种文件系统和注册表视图的32位应用程序。这个动作允许椭圆对象指定哪个视图应该检查。这种行为只适用于64位的Windows,而不能应用于其他平台。注意值有以下的意义:“64 _bit”——表明,64位视图在64位Windows操作系统都必须检查。在32位系统上,对象必须被评估,没有应用的行为。“32 _bit”——表明,32位视图必须检查。在32位系统上,对象必须被评估,没有应用的行为。建议相应的“windows_view”实体被设置在椭圆形的项目收集这种行为是用来区分椭圆形项目中收集的32位或64位的观点。
密码策略测试用于检查具体政策与密码。重要的是要注意,这些政策是特定于特定版本的Windows。因此,文档的版本的Windows应该咨询更多的信息。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用passwordpolicy_object和可选状态元素指定元数据来检查。
注意:这个信息存储在山姆或Active Directory但加密或隐藏所以registry_test activedirectory57_test毫无用处。如果这可以算出,那么password_policy测试不需要。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
passwordpolicy_object元素使用的密码策略测试定义这些对象来评估基于指定的状态。实际上只有一个对象相关的密码策略,这是系统作为一个整体。因此,没有子实体的定义。任何椭圆形测试书面检查密码策略将引用相同的passwordpolicy_object基本上是一个空对象元素。
passwordpolicy_state元素指定与密码相关的各种政策。密码策略测试将引用一个特定实例的状态定义的设置需要评估。
子元素 类型 MinOccurs MaxOccurs max_passwd_age oval-def: EntityStateIntType 0 1 指定,在几秒钟内,最大允许密码时代。值TIMEQ_FOREVER(1)表明,密码永不过期。这个元素的最小有效值是一天(86400)。 min_passwd_age oval-def: EntityStateIntType 0 1 指定了最低的秒数,可以间隔时间密码更改,当它可以改变了。值0表示不需要延迟之间的密码更新。 min_passwd_len oval-def: EntityStateIntType 0 1 指定了最小允许密码长度。通过PWLEN有效值为这个元素为零。 password_hist_len oval-def: EntityStateIntType 0 1 指定密码的长度保持历史。新密码不匹配任何以前的usrmod0_password_hist_len密码。通过DEF_MAX_PWHIST有效值为这个元素为零。 password_complexity oval-def: EntityStateBoolType 0 1 一个布尔值,表示是否密码必须符合复杂性要求提出的操作系统。 reversible_encryption oval-def: EntityStateBoolType 0 1 确定密码是否使用可逆加密存储。
从便携式peheader_test用于检查数据可执行文件头。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用peheader_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
使用peheader_object peheader_test定义特定的文件(s)的标题应该评估。peheader_object将收集从PE文件头信息。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
peheader_object定义文件的路径和文件名或完成filepath(年代)。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅PEHeaderBehaviors复杂类型对具体行为。
组文件的标题应该评估可能识别与一个完整的filepath或路径和文件名。只能选择其中一个选项。
重要的是要注意,“max_depth”和“recurse_direction”“行为”元素的属性并不适用于“filepath”元素,只对“路径”和“文件名”元素。这是因为“filepath”元素代表一个特定的文件绝对路径和不可能递归在一个文件中。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: FileBehaviors 0 1 filepath oval-def: EntityObjectStringType 1 1 filepath元素指定绝对路径的PE文件的机器上。目录不能被指定为一个filepath。 路径 oval-def: EntityObjectStringType 1 1 元素指定目录的路径组件PE文件的绝对路径。 文件名 oval-def: EntityObjectStringType 1 1 文件名元素指定的名称PE文件来评估。 oval-def:过滤器 n /一个 0 无限
peheader_state定义了不同的元数据与PE文件的标题。请参阅模式中各个元素的更多细节每一个代表什么。有关更多信息,请参见文档IMAGE_FILE_HEADER和IMAGE_OPTIONAL_HEADER结构。
子元素 类型 MinOccurs MaxOccurs filepath oval-def: EntityStateStringType 0 1 filepath元素指定绝对路径的PE文件的机器上。目录不能被指定为一个filepath。 路径 oval-def: EntityStateStringType 0 1 元素指定目录的路径组件PE文件的绝对路径。 文件名 oval-def: EntityStateStringType 0 1 文件名元素指定的名称PE文件来评估。 header_signature oval-def: EntityStateStringType 0 1 header_signature实体头的签名。 target_machine_type win-def: EntityStatePeTargetMachineType 0 1 target_machine_type实体是一个16位无符号整数(词),指定目标文件是用于建筑。 number_of_sections oval-def: EntityStateIntType 0 1 number_of_sections实体是一个16位无符号整数(词)指定的部分文件。 time_date_stamp oval-def: EntityStateIntType 0 1 time_date_stamp实体是一个32位无符号整数(字)指定的时间产生的链接器文件。该值表示为1月1日以来的秒数1970,就是。 pointer_to_symbol_table oval-def: EntityStateIntType 0 1 pointer_to_symbol_table实体是一个32位无符号整数(字),指定COFF文件偏移量的符号表。 number_of_symbols oval-def: EntityStateIntType 0 1 number_of_symbols实体是一个32位无符号整数(字),指定COFF符号表中符号的数量。 size_of_optional_header oval-def: EntityStateIntType 0 1 size_of_optional_header实体是一个32位无符号整数(字),指定一个可选的header的大小字节。 image_file_relocs_stripped oval-def: EntityStateBoolType 0 1 image_file_relocs_stripped实体是一个布尔值,用于指定是否剥夺了从文件搬迁信息。 image_file_executable_image oval-def: EntityStateBoolType 0 1 image_file_executable_image实体是一个布尔值,用于指定是否可执行文件。 image_file_line_nums_stripped oval-def: EntityStateBoolType 0 1 image_file_line_nums_stripped实体是一个布尔值,用于指定是否剥夺了从文件的行号。 image_file_local_syms_stripped oval-def: EntityStateBoolType 0 1 image_file_local_syms_stripped实体是一个布尔值,用于指定是否剥夺了从文件本地符号。 image_file_aggresive_ws_trim oval-def: EntityStateBoolType 0 1 image_file_aggressive_ws_trim实体是一个布尔值,指定工作集应该积极地削减。 image_file_large_address_aware oval-def: EntityStateBoolType 0 1 image_file_large_address_aware实体是一个布尔值,用于指定应用程序可以处理地址大于2 gb。 image_file_16bit_machine oval-def: EntityStateBoolType 0 1 image_file_16bit_machine实体是一个布尔值,用于指定计算机支持16位字。 image_file_bytes_reversed_lo oval-def: EntityStateBoolType 0 1 image_file_bytes_reversed_lo实体是一个布尔值,用于指定的字节字是相反的。 image_file_32bit_machine oval-def: EntityStateBoolType 0 1 image_file_32bit_machine实体是一个布尔值,用于指定计算机支持32位的字。 image_file_debug_stripped oval-def: EntityStateBoolType 0 1 image_file_debug_stripped实体是一个布尔值,用于指定的调试信息分别存储.dbg文件。 image_file_removable_run_from_swap oval-def: EntityStateBoolType 0 1 image_file_removable_run_from_swap实体是一个布尔值,指定图像在可移动媒体,从交换文件复制和运行。 image_file_system oval-def: EntityStateBoolType 0 1 image_file_system实体是一个布尔值,指定图像是一个系统文件。 image_file_dll oval-def: EntityStateBoolType 0 1 image_file_dll实体是一个布尔值,指定的图像是一个DLL。 image_file_up_system_only oval-def: EntityStateBoolType 0 1 image_file_up_system_only实体是一个布尔值,用于指定文件只能在单处理器的计算机上运行。 image_file_bytes_reveresed_hi oval-def: EntityStateBoolType 0 1 image_file_bytes_reversed_hi实体是一个布尔值,用于指定的字节字是相反的。 magic_number oval-def: EntityStateIntType 0 1 值的magic_number实体是一个16位无符号整数(词),指定图像文件的状态。 major_linker_version oval-def: EntityStateIntType 0 1 major_linker_version实体是一个指定的字节产生的主要版本的链接器文件。 minor_linker_version oval-def: EntityStateIntType 0 1 minor_linker_version实体是一个字节,指定链接器产生的小版本文件。 size_of_code oval-def: EntityStateIntType 0 1 size_of_code实体是一个32位无符号整数(字)指定的所有代码部分的总大小。 size_of_initialized_data oval-def: EntityStateIntType 0 1 size_of_initialized_data实体是一个32位无符号整数(字)指定的所有部分的总大小是由初始化数据。 size_of_uninitialized_data oval-def: EntityStateIntType 0 1 size_of_uninitialized_data实体是一个32位无符号整数(字)指定的所有部分的总大小是未初始化的数据组成。 address_of_entry_point oval-def: EntityStateIntType 0 1 address_of_entry_point实体是一个32位无符号整数(字)指定的地址加载程序将开始执行。 base_of_code oval-def: EntityStateIntType 0 1 base_of_code实体是一个32位无符号整数(字),指定文件的相对虚拟地址的代码部分就开始了。 base_of_data oval-def: EntityStateIntType 0 1 base_of_data实体是一个32位无符号整数(字),指定文件的数据部分的相对虚拟地址开始。 image_base_address oval-def: EntityStateIntType 0 1 image_base_address实体是一个32位无符号整数(字),指定首选地址fo图像的第一个字节时被加载到内存中。 section_alignment oval-def: EntityStateIntType 0 1 section_alignment实体是一个32位无符号整数(字)指定的对齐部分加载到内存中。 file_alignment oval-def: EntityStateIntType 0 1 file_alignment实体是一个32位无符号整数(字)指定的部分原始数据的对齐图像文件。 major_operating_system_version oval-def: EntityStateIntType 0 1 major_operating_system_version实体是一个16位无符号整数(词),指定所需的主要版本的操作系统使用这个可执行文件。 minor_operating_system_version oval-def: EntityStateIntType 0 1 minor_operating_system_version实体是一个16位无符号整数(词),指定所需的小版本的操作系统使用这个可执行文件。 major_image_version oval-def: EntityStateIntType 0 1 major_image_version实体是一个16位无符号整数(词),指定图像的主版本号。 minor_image_version oval-def: EntityStateIntType 0 1 minor_image_version实体是一个32位无符号整数(字),指定图像的小版本号。 major_subsystem_version oval-def: EntityStateIntType 0 1 major_subsystem_version实体是一个16位无符号整数(词),指定所需的子系统的主要版本运行可执行文件。 minor_susbsystem_version oval-def: EntityStateIntType 0 1 minor_subsystem_version实体是一个16位无符号整数(词),指定所需的子系统的小版本运行可执行文件。 size_of_image oval-def: EntityStateIntType 0 1 size_of_image实体是一个32位无符号整数(字),指定图像的总大小包括所有的标题。 size_of_headers oval-def: EntityStateIntType 0 1 size_of_headers实体是一个32位无符号整数(字)指定的总结合大小ms - dos存根,PE头,节标题。 校验和 oval-def: EntityStateIntType 0 1 校验和实体是一个32位无符号整数(字),指定图像文件的校验和。 子系统 win-def: EntityStatePeSubsystemType 0 1 子系统的实体是一个32位无符号整数(字),指定类型的子系统可执行文件使用的用户界面。 dll_characteristics oval-def: EntityStateIntType 0 1 dll_characteristics实体是一个32位无符号整数(字)指定的标记表明在何种情况下一个DLL的初始化函数将调用. . size_of_stack_reserve oval-def: EntityStateIntType 0 1 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为堆栈储备。 size_of_stack_commit oval-def: EntityStateIntType 0 1 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为堆栈提交。 size_of_heap_reserve oval-def: EntityStateIntType 0 1 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为本地堆储备。 size_of_heap_commit oval-def: EntityStateIntType 0 1 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为本地堆。 loader_flags oval-def: EntityStateIntType 0 1 loader_flags实体是一个32位无符号整数(字),指定标题的装载机旗帜。 number_of_rva_and_sizes oval-def: EntityStateIntType 0 1 number_of_rva_and_sizes实体是一个32位无符号整数(字)指定的目录条目数量的剩余部分可选头。 real_number_of_directory_entries oval-def: EntityStateIntType 0 1 real_number_of_directory_entries实体数据目录条目的实数在剩余的可选头计算列举目录条目。
端口测试用于检查信息在Windows系统上可用的端口。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用port_object和可选元素指定端口信息检查状态。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
port_object元素使用一个端口测试来定义特定端口(s)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
一个端口对象定义了本地地址,端口号和协议的端口(年代)。
子元素 类型 MinOccurs MaxOccurs local_address oval-def: EntityObjectIPAddressStringType 1 1 该元素指定监听端口绑定到本地IP地址。注意,可以IPv4和IPv6的IP地址。 local_port oval-def: EntityObjectIntType 1 1 该元素指定分配给本地监听端口的数量。 协议 win-def: EntityObjectProtocolType 1 1 该元素指定监听端口的类型。它被限制为TCP或UDP。 oval-def:过滤器 n /一个 0 无限
port_state元素定义了不同的元数据与Windows端口。这包括本地地址、端口号、协议、和pid。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs local_address oval-def: EntityStateIPAddressStringType 0 1 该元素指定监听端口绑定到本地IP地址。注意,可以IPv4和IPv6的IP地址。 local_port oval-def: EntityStateIntType 0 1 该元素指定分配给本地监听端口的数量。 协议 win-def: EntityStateProtocolType 0 1 该元素指定监听端口的类型。它被限制为TCP或UDP。 pid oval-def: EntityStateIntType 0 1 id的过程与指定的监听端口。 foreign_address oval-def: EntityStateIPAddressStringType 0 1 这是程序的IP地址是沟通,或与它交流,听力的情况下服务器。注意,可以IPv4和IPv6的IP地址。 foreign_port oval-def: EntityStateStringType 0 1 这是TCP或UDP端口的程序进行通信。
打印机有效权利测试用于检查与Windows打印机相关的有效的权利。printereffectiverights_test元素中定义扩展了标准TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用printereffectiverights_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
子元素 类型 MinOccurs MaxOccurs 行为 win-def: PrinterEffectiveRightsBehaviors 0 1 printer_name oval-def: EntityObjectStringType 1 1 printer_name元素描述了一个打印机,用户可能有权利。 trustee_sid oval-def: EntityObjectStringType 1 1 trustee_sid实体识别与一个用户相关联的唯一SID,集团系统或程序(如Windows服务)。如果一个操作其他比=用来识别匹配的受托人(即不等于,或模式匹配)然后结果匹配只应当限于受托人打印机中引用的安全描述符。这里的范围是有限的,以确保它可以避免不必要的资源密集型搜索受托人。请注意,所有已知的受托人可以获得更大范围的通过使用变量。 oval-def:过滤器 n /一个 0 无限
printereffectiverights_state元素定义了不同的权利,可以与给定printereffectiverights_object相关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs printer_name oval-def: EntityStateStringType 0 1 该元素指定打印机的名称。 trustee_sid oval-def: EntityStateStringType 0 1 trustee_sid元素相关的独特的SID,一个用户,组,系统或程序(如Windows服务)。 standard_delete oval-def: EntityStateBoolType 0 1 删除对象的权利。 standard_read_control oval-def: EntityStateBoolType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac oval-def: EntityStateBoolType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner oval-def: EntityStateBoolType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize oval-def: EntityStateBoolType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security oval-def: EntityStateBoolType 0 1 显示访问系统访问控制列表(SACL)。 generic_read oval-def: EntityStateBoolType 0 1 读访问。 generic_write oval-def: EntityStateBoolType 0 1 写访问。 generic_execute oval-def: EntityStateBoolType 0 1 执行访问。 generic_all oval-def: EntityStateBoolType 0 1 读、写和执行访问。 printer_access_administer oval-def: EntityStateBoolType 0 1 printer_access_use oval-def: EntityStateBoolType 0 1 job_access_administer oval-def: EntityStateBoolType 0 1 job_access_read oval-def: EntityStateBoolType 0 1
PrinterEffectiveRightsBehaviors复杂类型定义了一个数量的行为,允许指定的pritnereffectiverights_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义了集团受托人的名字是否应该被包括在定义对象时,对象由一群受托人的名字。例如,一个对象的意图由受托人的名字可能是一组定义检索所有用户受托人的名字是该组织的成员,但不是集团受托人名称本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
| 弃用的版本:5.8 原因:process_test已经被废弃,被process58_test所取代。进程的命令行不能用于唯一地标识一个过程。因此,实体添加到process58_object pid。请参见process58_test附加信息。 |
process_test用于检查中发现Windows进程的信息。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用process_object和可选状态元素引用process_state元素指定检查的过程信息。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
| 弃用的版本:5.8 原因:process_object已经被废弃,被process58_object所取代。进程的命令行不能用于唯一地标识一个过程。因此,实体添加到process58_object pid。请参见process58_object附加信息。 |
process_object元素使用的流程测试定义的具体流程(es)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
process_object定义命令行用于启动过程(es)。
子元素 类型 MinOccurs MaxOccurs command_line oval-def: EntityObjectStringType 1 1 command_line实体是字符串用于启动过程。这包括任何参数的命令行。
| 弃用的版本:5.8 原因:process_state已经被废弃,被process58_state所取代。进程的命令行不能用于唯一地标识一个过程。因此,实体添加到process58_object pid。请参见process58_state附加信息。 |
process_state元素定义了不同的元数据与Windows的过程。这包括命令行、pid、ppid图片路径,和当前目录。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs command_line oval-def: EntityStateStringType 0 1 command_line实体是字符串用于启动过程。这包括任何参数的命令行。 pid oval-def: EntityStateIntType 0 1 id创建的过程,给指定的命令行。 ppid oval-def: EntityStateIntType 0 1 的id给父进程创建指定的命令行 优先级 oval-def: EntityStateStringType 0 1 的基本优先级的过程。 image_path oval-def: EntityStateStringType 0 1 image_path实体包含可执行文件的名称。 current_dir oval-def: EntityStateStringType 0 1 current_directory实体表示当前路径可执行文件。
process58_test用于检查中发现Windows进程的信息。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用process58_object和可选状态元素引用process58_state元素指定检查的过程信息。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
process58_object元素使用process58_test定义的具体流程(es)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
process58_object定义所使用的命令行启动进程(es)和pid。
子元素 类型 MinOccurs MaxOccurs command_line oval-def: EntityObjectStringType 1 1 command_line实体是字符串用于启动过程。这包括任何参数的命令行。 pid oval-def: EntityObjectIntType 1 1 id创建的过程,给指定的命令行。 oval-def:过滤器 n /一个 0 无限
process58_state元素定义了不同的元数据与Windows的过程。这包括命令行、pid、ppid图片路径,和当前目录。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs command_line oval-def: EntityStateStringType 0 1 command_line实体是字符串用于启动过程。这包括任何参数的命令行。 pid oval-def: EntityStateIntType 0 1 id创建的过程,给指定的命令行。 ppid oval-def: EntityStateIntType 0 1 的id给父进程创建指定的命令行 优先级 oval-def: EntityStateStringType 0 1 的基本优先级的过程。 image_path oval-def: EntityStateStringType 0 1 image_path实体代表流程的可执行文件的名称。 current_dir oval-def: EntityStateStringType 0 1 current_dir实体表示当前路径的可执行文件的过程。 creation_time oval-def: EntityStateIntType 0 1 creation_time实体代表进程的创建时间。这个实体的值代表了FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。看到GetProcessTimes lpCreationTime函数。 dep_enabled oval-def: EntityStateBoolType 0 1 dep_enabled实体代表数据执行预防(DEP)是否启用。看到GetProcessDEPPolicy lpFlags。 primary_window_text oval-def: EntityStateStringType 0 1 primary_window_text实体代表过程的主窗口的标题。看到GetWindowText函数。 的名字 oval-def: EntityStateStringType 0 1 的名称的过程。
注册表测试用于检查元数据与Windows注册表键。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用registry_object和可选状态元素指定注册表数据检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
子元素 类型 MinOccurs MaxOccurs 行为 win-def: RegistryBehaviors 0 1 蜂巢 win-def: EntityObjectRegistryHiveType 1 1 注册表键属于的蜂巢。这是局限于一组特定的价值观:HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_CURRENT_USER HKEY_LOCAL_MACHINE, HKEY_USERS。 关键 oval-def: EntityObjectStringType 1 1 关键元素描述了一个注册表收集的关键。注意字符串的蜂巢部分不应包括在内,这个数据应该发现蜂巢下元素。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的蜂巢。在这种情况下,不应收集的关键元素或用于分析。设置xsi: nil等于真实是不同的比使用。*模式匹配。说。*模式匹配来收集每个键在给定的蜂巢。 的名字 oval-def: EntityObjectStringType 1 1 name元素描述名称分配给一个与特定的注册表键相关联的值。如果指定一个空字符串的元素名称,注册表键的默认值应该收集。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的蜂巢/关键。在这种情况下,元素名称不应收集或用于分析。设置xsi: nil等于真正的元素是不同的比使用。*模式匹配。说。*模式匹配来收集每个名称在一个给定的蜂巢/关键。最有可能的使用xsi: nil注册表内存在的对象是当检查一个特定的关键,没有问候与之关联的不同的名称。 oval-def:过滤器 n /一个 0 无限
registry_state元素定义了不同的元数据与一个Windows注册表键。这包括蜂巢、关键、名称、类型和值。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 蜂巢 win-def: EntityStateRegistryHiveType 0 1 注册表键属于的蜂巢。这是局限于一组特定的价值观:HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_CURRENT_USER HKEY_LOCAL_MACHINE, HKEY_USERS。 关键 oval-def: EntityStateStringType 0 1 这个元素描述了一个注册表键进行测试。注意字符串的蜂巢部分不应参展商品,这个数据应该发现蜂巢下元素。 的名字 oval-def: EntityStateStringType 0 1 这个元素描述了一个注册表键值的名称。如果xsi: nil属性设置为true,那么name元素不应该用于分析。 last_write_time oval-def: EntityStateIntType 0 1 最后一次的关键或任何它的值被修改的条目。这个实体的值代表了FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。最后写时间可以查询任意键,蜂箱被归类为一种键。当只收集信息注册表项或关键最后写时间将被修改键或它的任何条目。当只收集信息注册表的名字最后写时间将包含键被修改的时间。因此,当收集信息注册表名称,最后写时间并不直接关联到指定名称。看到RegQueryInfoKey lpftLastWriteTime函数。 类型 win-def: EntityStateRegistryTypeType 0 1 实体类型允许针对registy类型编写一个测试与指定的注册表键(s)。请参考文档的EntityStateRegistryTypeType更多关于不同的有效个人类型的信息。 价值 oval-def: EntityStateAnySimpleType 0 1 价值实体允许编写一个测试在指定的注册表键值(s)。如果被测试的值的类型是REG_BINARY,然后数据类型属性应该设置为“二进制”和数据所代表的价值实体应该遵循xsd: hexBinary形式。(每个二进制八隅体编码为两个十六进制数字)如果被测试的值的类型是REG_DWORD, REG_QWORD, REG_DWORD_LITTLE_ENDIAN, REG_DWORD_BIG_ENDIAN,然后REG_QWORD_LITTLE_ENDIAN数据类型属性值应该设置为“int”和实体应该代表的数据作为一个无符号整数。字和QWORD值表示无符号32位和64位整数,分别。如果被测试的值的类型是REG_EXPAND_SZ,然后数据类型属性应该设置为“字符串”和pre-expanded字符串应该值所代表的实体。如果被测试的值的类型是REG_MULTI_SZ,然后只有一个字符串(多个字符串之一)应该测试使用价值实体的数据类型属性设置为“字符串”。为了测试多个值,应该使用多个椭圆注册测试。如果指定的注册表键的类型是REG_SZ,然后数据类型应该“字符串”和实体价值应该是字符串的一个副本。如果被测试的值的类型是REG_LINK,然后数据类型属性应该设置为“字符串”和以null结尾Unicode字符串应该值所代表的实体。注意,如果举行的目的是测试一个版本号注册表(reg_sz)而不是设置的字符串数据类型,数据类型可以设置为“版本”。这允许执行评估工具知道如何执行小于和大于操作正确。 windows_view win-def: EntityStateWindowsViewType 0 1 这是有针对性的窗口视图价值。这是用来表示视图(32位或64位),适用于相关的状态。
RegistryBehaviors复杂类型定义了一个数量的行为,允许指定的registry_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
属性: - - - - - - max_depth 限制xsd:整数 (可选,默认= ' 1 ') “max_depth”定义的最大递归深度执行recurse_direction时指定。值为“0”相当于没有递归,' 1 '意味着只有一个目录级别上升/下降,等等。默认值为“1”的含义没有限制。1的max_depth或任何值1或更多的开始键必须考虑在递归搜索。注意,默认recurse_direction行为是“没有”所以即使max_depth指定默认没有限制,把递归off.Note recurse_direction行为,这种行为只适用与平等操作实体的关键。 - - - - - - recurse_direction 限制xsd: string (可选,默认= '没有')(“没有”,“起”,“下”) “recurse_direction”定义了方向,父键“向上”或“向下”到孩子钥匙递归搜索注册表键。向上或向下递归时,受限于max_depth行为。请注意,这不是一个错误如果max_depth指定某种程度的递归,水平并不存在。递归只能走向更深的层次。默认值是“没有”没有递归。注意,这种行为与平等操作仅适用于实体的关键。 - - - - - - windows_view 限制xsd: string (可选,默认= ' 64 _bit”) (“32 _bit”、“64 _bit”) 64位版本的Windows提供了另一种文件系统和注册表视图的32位应用程序。这个动作允许椭圆对象指定哪个视图应该检查。这种行为只适用于64位的Windows,而不能应用于其他平台。注意值有以下的意义:“64 _bit”——表明,64位视图在64位Windows操作系统都必须检查。在32位系统上,对象必须被评估,没有应用的行为。“32 _bit”——表明,32位视图必须检查。在32位系统上,对象必须被评估,没有应用的行为。建议相应的“windows_view”实体被设置在椭圆形的项目收集这种行为是用来区分椭圆形项目中收集的32位或64位的观点。
注册表关键审计权限测试用于检查审计权限与Windows注册表键相关联。注意,受托人的审计权限的审计权限SACL授予受托人或受托人的任何组的一员。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用regkeyauditedpermissions53_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
regkeyauditedpermissions53_object元素使用一个注册表关键审计权限测试定义对象用于evalutate对指定的状态。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。
regkeyauditedpermissions53_object被定义为Windows注册表键和受托人的名字。蜂巢和关键元素代表注册表被评估的关键,而受托人的名字代表了账户(SID)检查审计权限的。如果多个键或SIDs匹配通过引用,那么每个可能的注册表键和席德是一个匹配的注册表键审计权限对象。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅RegkeyAuditPermissions53Behaviors复杂类型对具体行为。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: RegkeyAuditPermissions53Behaviors 0 1 蜂巢 win-def: EntityObjectRegistryHiveType 1 1 注册表键属于的蜂巢。这是局限于一组特定的价值观:HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_CURRENT_USER HKEY_LOCAL_MACHINE, HKEY_USERS。 关键 oval-def: EntityObjectStringType 1 1 关键元素描述了一个注册表收集的关键。注意字符串的蜂巢部分不应包括在内,这个数据应该发现蜂巢下元素。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的蜂巢。在这种情况下,不应收集的关键元素或用于分析。设置xsi: nil等于真实是不同的比使用。*模式匹配。说。*模式匹配来收集每个键在给定的蜂巢。 trustee_sid oval-def: EntityObjectStringType 1 1 trustee_sid实体识别与一个用户相关联的唯一SID,集团系统或程序(如Windows服务)。如果一个操作其他比=用来识别匹配的受托人(即不等于,或模式匹配)然后得到的匹配应仅限于注册表中引用的受托人关键的安全描述符。这里的范围是有限的,以避免不必要的资源密集型搜索受托人。请注意,所有已知的受托人可以获得更大范围的通过使用变量。 oval-def:过滤器 n /一个 0 无限
regkeyauditedpermissions53_state元素定义了不同的审计权限,可以与给定regkeyauditedpermissions53_object有关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 蜂巢 win-def: EntityStateRegistryHiveType 0 1 该元素指定的蜂巢的机器上的注册表键来检索SACL。 关键 oval-def: EntityStateStringType 0 1 该元素指定注册表键来检索SACL的机器上。注意字符串的蜂巢部分不应参展商品,这个数据应该发现蜂巢下元素。 trustee_sid oval-def: EntityStateStringType 0 1 trustee_sid元素相关的独特的SID,一个用户,组,系统或程序(如Windows服务)。 standard_delete win-def: EntityStateAuditType 0 1 删除对象的权利。 standard_read_control win-def: EntityStateAuditType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac win-def: EntityStateAuditType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner win-def: EntityStateAuditType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize win-def: EntityStateAuditType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security win-def: EntityStateAuditType 0 1 显示访问系统访问控制列表(SACL)。 generic_read win-def: EntityStateAuditType 0 1 读访问。 generic_write win-def: EntityStateAuditType 0 1 写访问。 generic_execute win-def: EntityStateAuditType 0 1 执行访问。 generic_all win-def: EntityStateAuditType 0 1 读、写和执行访问。 key_query_value win-def: EntityStateAuditType 0 1 key_set_value win-def: EntityStateAuditType 0 1 key_create_sub_key win-def: EntityStateAuditType 0 1 key_enumerate_sub_keys win-def: EntityStateAuditType 0 1 key_notify win-def: EntityStateAuditType 0 1 key_create_link win-def: EntityStateAuditType 0 1 key_wow64_64key win-def: EntityStateAuditType 0 1 key_wow64_32key win-def: EntityStateAuditType 0 1 key_wow64_res win-def: EntityStateAuditType 0 1 windows_view win-def: EntityStateWindowsViewType 0 1 这是有针对性的窗口视图价值。这是用来表示视图(32位或64位),适用于相关的状态。
RegkeyAuditPermissions53Behaviors复杂类型定义了一个数量的行为,允许指定的registrykeyauditedpermissions53_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
RegkeyAuditPermissions53Behaviors扩展win-def: RegistryBehaviors因此包括行为定义的类型。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义是否应包括在该组织SID对象时,对象被定义为一群SID。例如,对象定义为一组SID的意图可能是检索所有用户SIDs集团的成员,但不是席德集团本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
| 弃用的版本:5.3 原因:被regkeyauditedpermissions53_test所取代。这个测试使用trustee_name元素确定受托人。受托人名字不是惟一的,创建一个新的测试使用受托人SIDs,这是独一无二的。看到regkeyauditedpermissions53_test。 备注:这个测试已经弃用,在6.0版本的语言将被删除。 |
注册表关键审计权限测试用于检查审计权限与Windows注册表键相关联。注意,受托人的审计权限的审计权限SACL授予受托人或受托人的任何组的一员。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用regkeyauditedpermissions_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
| 弃用的版本:5.3 原因:被regkeyauditedpermissions53_object所取代。这个对象使用一个trustee_name元素确定受托人。受托人名称不独特,并创建一个新对象使用婴儿猝死综合症受托人,这是独一无二的。看到regkeyauditedpermissions53_object。 备注:这个对象已经弃用,在6.0版本的语言将被删除。 |
regkeyauditedpermissions_object元素使用一个注册表关键审计权限测试定义对象用于evalutate对指定的状态。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。
regkeyauditedpermissions_object被定义为Windows注册表键和受托人的名字。蜂巢和关键元素代表注册表被评估的关键,而受托人的名字代表了账户(SID)检查审计权限的。如果多个键或SIDs匹配通过引用,那么每个可能的文件和SID的组合是一个匹配的文件审计权限对象。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅RegkeyAuditPermissionsBehaviors复杂类型对具体行为。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: RegkeyAuditPermissionsBehaviors 0 1 蜂巢 win-def: EntityObjectRegistryHiveType 1 1 注册表键属于的蜂巢。这是局限于一组特定的价值观:HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_CURRENT_USER HKEY_LOCAL_MACHINE, HKEY_USERS。 关键 oval-def: EntityObjectStringType 1 1 关键元素描述了一个注册表收集的关键。注意字符串的蜂巢部分不应包括在内,这个数据应该发现蜂巢下元素。 trustee_name oval-def: EntityObjectStringType 1 1 trustee_name元素相关的独特的名字,一个特定的SID。SID可以关联到一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。
| 弃用的版本:5.3 原因:被regkeyauditedpermissions53_state所取代。这种状态使用trustee_name元素确定受托人。受托人名称不独特,并创建一个新的国家使用婴儿猝死综合症受托人,这是独一无二的。看到regkeyauditedpermissions53_state。 备注:这个状态已经弃用,在6.0版本的语言将被删除。 |
regkeyauditedpermissions_state元素定义了不同的审计权限,可以与给定regkeyauditedpermissions_object有关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 蜂巢 win-def: EntityStateRegistryHiveType 0 1 该元素指定的蜂巢的机器上的注册表键来检索SACL。 关键 oval-def: EntityStateStringType 0 1 该元素指定注册表键来检索SACL的机器上。注意字符串的蜂巢部分不应参展商品,这个数据应该发现蜂巢下元素。 trustee_name oval-def: EntityStateStringType 0 1 独特的名字与一个特定安全标识符(SID)有关。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 standard_delete win-def: EntityStateAuditType 0 1 删除对象的权利。 standard_read_control win-def: EntityStateAuditType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac win-def: EntityStateAuditType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner win-def: EntityStateAuditType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize win-def: EntityStateAuditType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security win-def: EntityStateAuditType 0 1 显示访问系统访问控制列表(SACL)。 generic_read win-def: EntityStateAuditType 0 1 读访问。 generic_write win-def: EntityStateAuditType 0 1 写访问。 generic_execute win-def: EntityStateAuditType 0 1 执行访问。 generic_all win-def: EntityStateAuditType 0 1 读、写和执行访问。 key_query_value win-def: EntityStateAuditType 0 1 key_set_value win-def: EntityStateAuditType 0 1 key_create_sub_key win-def: EntityStateAuditType 0 1 key_enumerate_sub_keys win-def: EntityStateAuditType 0 1 key_notify win-def: EntityStateAuditType 0 1 key_create_link win-def: EntityStateAuditType 0 1 key_wow64_64key win-def: EntityStateAuditType 0 1 key_wow64_32key win-def: EntityStateAuditType 0 1 key_wow64_res win-def: EntityStateAuditType 0 1 windows_view win-def: EntityStateWindowsViewType 0 1 这是有针对性的窗口视图价值。这是用来表示视图(32位或64位),适用于相关的状态。
| 弃用的版本:5.3 原因:被RegkeyAuditPermissionsBehaviors53所取代。RegkeyAuditPermissionsBehaviors复杂类型使用regkeyauditedpermissions_test使用trustee_name元素确定受托人。受托人名字不是惟一的,创建一个新的测试使用受托人SIDs,这是独一无二的。这个新的测试利用RegkeyAuditPermissionsBehaviors53复杂类型,因此,不再需要RegkeyAuditPermissionsBehaviors复杂类型。 备注:这个复杂类型已经弃用,在6.0版本的语言将被删除。 |
RegkeyAuditPermissionsBehaviors复杂类型定义了一个数量的行为,允许指定的registrykeyauditedpermissions_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
RegkeyAuditPermissionsBehaviors扩展win-def: RegistryBehaviors因此包括行为定义的类型。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义了集团受托人的名字是否应该被包括在定义对象时,对象由一群受托人的名字。例如,一个对象的意图由受托人的名字可能是一组定义检索所有用户受托人的名字是该组织的成员,但不是集团受托人名称本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
注册表键有效权利测试用于检查的有效权利与Windows文件。注意,受托人的有效访问权限的访问权限是DACL授予受托人或受托人的任何组的一员。regkeyeffectiverights53_test元素中定义扩展了标准TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用regkeyeffectiverights53_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
regkeyeffectiverights53_object元素使用一个注册表关键有效的权利使用测试来定义对象evalutate对指定的状态。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。
regkeyeffectiverights53_object被定义为一个Windows注册表和受托人SID。关键实体代表注册表被评估的关键,而受托人SID代表帐户(SID)检查有效的权利。如果多个文件或SIDs匹配通过引用,那么每个可能的注册表键和席德是一个匹配的注册表键有效权利对象。此外,一些行为可能会提供帮助指导的对象集合。有关更多信息,请参阅RegkeyEffectiveRights53Behaviors复杂类型对具体行为。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: RegkeyEffectiveRights53Behaviors 0 1 蜂巢 win-def: EntityObjectRegistryHiveType 1 1 注册表键属于的蜂巢。这是局限于一组特定的价值观:HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_CURRENT_USER HKEY_LOCAL_MACHINE, HKEY_USERS。 关键 oval-def: EntityObjectStringType 1 1 关键元素描述了一个注册表收集的关键。注意字符串的蜂巢部分不应包括在内,这个数据应该发现蜂巢下元素。如果xsi: nil属性设置为true,然后被指定的对象是更高级别的蜂巢。在这种情况下,不应收集的关键元素或用于分析。设置xsi: nil等于真实是不同的比使用。*模式匹配。说。*模式匹配来收集每个键在给定的蜂巢。 trustee_sid oval-def: EntityObjectStringType 1 1 trustee_sid实体识别与一个用户相关联的唯一SID,集团系统或程序(如Windows服务)。如果一个操作其他比=用来识别匹配的受托人(即不等于,或模式匹配)然后得到的匹配应仅限于注册表中引用的受托人关键的安全描述符。这里的范围是有限的,以避免不必要的资源密集型搜索受托人。请注意,所有已知的受托人可以获得更大范围的通过使用变量。 oval-def:过滤器 n /一个 0 无限
regkeyeffectiverights53_state元素定义了不同的权利,可以与给定regkeyeffectiverights53_object相关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 蜂巢 win-def: EntityStateRegistryHiveType 0 1 该元素指定的蜂巢的机器上的注册表键来检索SACL。 关键 oval-def: EntityStateStringType 0 1 该元素指定注册表键来检索SACL的机器上。注意字符串的蜂巢部分不应参展商品,这个数据应该发现蜂巢下元素。 trustee_sid oval-def: EntityStateStringType 0 1 trustee_sid元素相关的独特的SID,一个用户,组,系统或程序(如Windows服务)。 standard_delete oval-def: EntityStateBoolType 0 1 删除对象的权利。 standard_read_control oval-def: EntityStateBoolType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac oval-def: EntityStateBoolType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner oval-def: EntityStateBoolType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize oval-def: EntityStateBoolType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security oval-def: EntityStateBoolType 0 1 显示访问系统访问控制列表(SACL)。 generic_read oval-def: EntityStateBoolType 0 1 读访问。 generic_write oval-def: EntityStateBoolType 0 1 写访问。 generic_execute oval-def: EntityStateBoolType 0 1 执行访问。 generic_all oval-def: EntityStateBoolType 0 1 读、写和执行访问。 key_query_value oval-def: EntityStateBoolType 0 1 key_set_value oval-def: EntityStateBoolType 0 1 key_create_sub_key oval-def: EntityStateBoolType 0 1 key_enumerate_sub_keys oval-def: EntityStateBoolType 0 1 key_notify oval-def: EntityStateBoolType 0 1 key_create_link oval-def: EntityStateBoolType 0 1 key_wow64_64key oval-def: EntityStateBoolType 0 1 key_wow64_32key oval-def: EntityStateBoolType 0 1 key_wow64_res oval-def: EntityStateBoolType 0 1 windows_view win-def: EntityStateWindowsViewType 0 1 这是有针对性的窗口视图价值。这是用来表示视图(32位或64位),适用于相关的状态。
RegkeyEffectiveRights53Behaviors复杂类型定义了一个数量的行为,允许指定的registrykeyeffectiverights53_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
RegkeyEffectiveRights53Behaviors扩展win-def: RegistryBehaviors因此包括行为定义的类型。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义是否应包括在该组织SID对象时,对象被定义为一群SID。例如,对象定义为一组SID的意图可能是检索所有用户SIDs集团的成员,但不是席德集团本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
| 弃用的版本:5.3 原因:被regkeyeffectiverights53_test所取代。这个测试使用trustee_name元素确定受托人。受托人名字不是惟一的,创建一个新的测试使用受托人SIDs,这是独一无二的。看到regkeyeffectiverights53_test。 备注:这个测试已经弃用,在6.0版本的语言将被删除。 |
注册表键有效权利测试用于检查的有效权利与Windows文件。注意,受托人的有效访问权限的访问权限是DACL授予受托人或受托人的任何组的一员。regkeyeffectiverights_test元素中定义扩展了标准TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用regkeyeffectiverights_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
| 弃用的版本:5.3 原因:被regkeyeffectiverights53_object所取代。这个对象使用一个trustee_name元素确定受托人。受托人名称不独特,并创建一个新对象使用婴儿猝死综合症受托人,这是独一无二的。看到regkeyeffectiverights53_object。 备注:这个对象已经弃用,在6.0版本的语言将被删除。 |
子元素 类型 MinOccurs MaxOccurs 行为 win-def: RegkeyEffectiveRightsBehaviors 0 1 蜂巢 win-def: EntityObjectRegistryHiveType 1 1 注册表键属于的蜂巢。这是局限于一组特定的价值观:HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_CURRENT_USER HKEY_LOCAL_MACHINE, HKEY_USERS。 关键 oval-def: EntityObjectStringType 1 1 关键元素描述了一个注册表收集的关键。注意字符串的蜂巢部分不应包括在内,这个数据应该发现蜂巢下元素。 trustee_name oval-def: EntityObjectStringType 1 1 trustee_name元素相关的独特的名字,一个特定的SID。SID可以关联到一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。
| 弃用的版本:5.3 原因:被regkeyeffectiverights53_state所取代。这种状态使用trustee_name元素确定受托人。受托人名称不独特,并创建一个新的国家使用婴儿猝死综合症受托人,这是独一无二的。看到regkeyeffectiverights53_state。 备注:这个状态已经弃用,在6.0版本的语言将被删除。 |
regkeyeffectiverights_state元素定义了不同的权利,可以与给定regkeyeffectiverights_object相关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 蜂巢 win-def: EntityStateRegistryHiveType 0 1 该元素指定的蜂巢的机器上的注册表键来检索SACL。 关键 oval-def: EntityStateStringType 0 1 该元素指定注册表键来检索SACL的机器上。注意字符串的蜂巢部分不应参展商品,这个数据应该发现蜂巢下元素。 trustee_name oval-def: EntityStateStringType 0 1 独特的名字与一个特定安全标识符(SID)有关。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 standard_delete oval-def: EntityStateBoolType 0 1 删除对象的权利。 standard_read_control oval-def: EntityStateBoolType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac oval-def: EntityStateBoolType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner oval-def: EntityStateBoolType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize oval-def: EntityStateBoolType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security oval-def: EntityStateBoolType 0 1 显示访问系统访问控制列表(SACL)。 generic_read oval-def: EntityStateBoolType 0 1 读访问。 generic_write oval-def: EntityStateBoolType 0 1 写访问。 generic_execute oval-def: EntityStateBoolType 0 1 执行访问。 generic_all oval-def: EntityStateBoolType 0 1 读、写和执行访问。 key_query_value oval-def: EntityStateBoolType 0 1 key_set_value oval-def: EntityStateBoolType 0 1 key_create_sub_key oval-def: EntityStateBoolType 0 1 key_enumerate_sub_keys oval-def: EntityStateBoolType 0 1 key_notify oval-def: EntityStateBoolType 0 1 key_create_link oval-def: EntityStateBoolType 0 1 key_wow64_64key oval-def: EntityStateBoolType 0 1 key_wow64_32key oval-def: EntityStateBoolType 0 1 key_wow64_res oval-def: EntityStateBoolType 0 1 windows_view win-def: EntityStateWindowsViewType 0 1 这是有针对性的窗口视图价值。这是用来表示视图(32位或64位),适用于相关的状态。
| 弃用的版本:5.3 原因:被RegkeyEffectiveRightsBehaviors53所取代。RegkeyEffectiveRightsBehaviors复杂类型使用regkeyeffectiverights_test使用trustee_name元素确定受托人。受托人名字不是惟一的,创建一个新的测试使用受托人SIDs,这是独一无二的。这个新的测试利用RegkeyEffectiveRightsBehaviors53复杂类型,因此,不再需要RegkeyEffectiveRightsBehaviors复杂类型。 备注:这个复杂类型已经弃用,在6.0版本的语言将被删除。 |
RegkeyEffectiveRightsBehaviors复杂类型定义了一个数量的行为,允许指定的registrykeyeffectiverights_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
RegkeyEffectiveRightsBehaviors扩展win-def: RegistryBehaviors因此包括行为定义的类型。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义了集团受托人的名字是否应该被包括在定义对象时,对象由一群受托人的名字。例如,一个对象的意图由受托人的名字可能是一组定义检索所有用户受托人的名字是该组织的成员,但不是集团受托人名称本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
service_test用于检查与Windows服务相关的元数据。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用service_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
service_object元素使用service_test定义特定的服务(s)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
子元素 类型 MinOccurs MaxOccurs service_name oval-def: EntityObjectStringType 1 1 service_name元素指定服务名称存储在服务控制管理器(SCM)数据库系统。 oval-def:过滤器 n /一个 0 无限
service_state元素定义了不同的元数据关联到一个Windows服务。这包括服务名称、显示名称、描述、类型、启动类型,当前状态,控制接受,开始名称、路径、pid、服务标志和依赖关系。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs service_name oval-def: EntityStateStringType 0 1 service_name元素指定服务的名称中指定服务控制管理器(SCM)数据库。 display_name oval-def: EntityStateStringType 0 1 display_name元素指定的名称中指定的服务工具,如控制面板- >管理工具- >服务。 描述 oval-def: EntityStateStringType 0 1 description元素指定了服务的描述。 service_type win-def: EntityStateServiceTypeType 0 1 service_type元素指定类型的服务。 start_type win-def: EntityStateServiceStartTypeType 0 1 start_type元素指定当服务应该开始。 current_state win-def: EntityStateServiceCurrentStateType 0 1 current_state元素指定服务的当前状态。 controls_accepted win-def: EntityStateServiceControlsAcceptedType 0 1 controls_accepted元素指定控制规范,服务将接受和处理。 start_name oval-def: EntityStateStringType 0 1 start_name元素指定的账户应该运行过程。 路径 oval-def: EntityStateStringType 0 1 路径元素指定服务的二进制文件的路径。 pid oval-def: EntityStateIntType 0 1 pid元素指定了服务的进程ID。 service_flag oval-def: EntityStateBoolType 0 1 service_flag元素指定如果服务是在一个系统的过程,必须始终运行(1)或非系统的过程中如果服务不运行(0)。如果服务没有运行,将pid 0。否则,将pid零。 依赖关系 oval-def: EntityStateStringType 0 1 依赖元素指定服务之间的依赖关系。
服务有效的权利测试用于检查与Windows服务相关的有效的权利。注意,受托人的有效访问权限的访问权限是DACL授予受托人或受托人的任何组的一员。serviceeffectiverights_test元素中定义扩展了标准TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用serviceeffectiverights_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
serviceeffectiverights_object元素使用serviceeffectiverights_test evalutate反对使用定义对象指定的状态。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。
serviceeffectiverights_object被定义为一个Windows service_name和trustee_sid。service_name实体代表了服务评价而trustee_sid实体代表账户(SID)检查的有效权利。如果多个服务或SIDs匹配通过引用,然后每个可能的组合服务和SID匹配服务有效权利对象。
子元素 类型 MinOccurs MaxOccurs service_name oval-def: EntityObjectStringType 1 1 service_name元素描述了一个服务收集。注意,service_name元素应该包含的实际名称服务,而不是其显示名称,在控制面板- >管理工具- >服务。例如,如果你想检查的有效权利自动更新服务指定为service_name wuauserv元素不会“自动更新”。 trustee_sid oval-def: EntityObjectStringType 1 1 trustee_sid实体标识一组SIDs关联到一个用户,组,系统或程序(如Windows服务)。如果一个操作其他比=用来识别匹配的受托人(即不等于,或模式匹配)然后结果匹配应当限于只中引用的受托人服务的安全描述符。这里的范围是有限的,以避免不必要的资源密集型搜索受托人。请注意,所有已知的受托人可以获得更大范围的通过使用变量。 oval-def:过滤器 n /一个 0 无限
serviceeffectiverights_state元素定义了不同的权利,可以与给定serviceeffectiverights_object相关。请参阅模式中各个元素的更多细节每一个代表什么。
有关更多信息,请参见http://support.microsoft.com/kb/914392。
子元素 类型 MinOccurs MaxOccurs service_name oval-def: EntityStateStringType 0 1 service_name元素指定了一个服务检索DACL的机器上。注意,service_name元素应该包含的实际名称服务,而不是其显示名称,在控制面板- >管理工具- >服务。例如,如果你想检查的有效权利自动更新服务指定为service_name wuauserv元素不会“自动更新”。 trustee_sid oval-def: EntityStateStringType 0 1 trustee_sid元素与一个用户相关联的独特的SID,集团系统或程序(如Windows服务)。 standard_delete oval-def: EntityStateBoolType 0 1 需要这个权限调用DeleteService函数删除服务。 standard_read_control oval-def: EntityStateBoolType 0 1 需要这个权限调用QueryServiceObjectSecurity函数查询服务对象的安全描述符。 standard_write_dac oval-def: EntityStateBoolType 0 1 需要这个权限调用SetServiceObjectSecurity函数修改DACL成员服务对象的安全描述符。 standard_write_owner oval-def: EntityStateBoolType 0 1 需要这个权限调用SetServiceObjectSecurity函数修改所有者和组的成员服务对象的安全描述符。 generic_read oval-def: EntityStateBoolType 0 1 读访问权(STANDARD_RIGHTS_READ SERVICE_QUERY_CONFIG、SERVICE_QUERY_STATUS SERVICE_INTERROGATE, SERVICE_ENUMERATE_DEPENDENTS)。 generic_write oval-def: EntityStateBoolType 0 1 写访问(STANDARD_RIGHTS_WRITE SERVICE_CHANGE_CONFIG)。 generic_execute oval-def: EntityStateBoolType 0 1 执行访问(STANDARD_RIGHTS_EXECUTE SERVICE_START、SERVICE_STOP SERVICE_PAUSE_CONTINUE, SERVICE_USER_DEFINED_CONTROL)。 service_query_conf oval-def: EntityStateBoolType 0 1 需要这个权限调用QueryServiceConfig和QueryServiceConfig2功能查询服务配置。 service_change_conf oval-def: EntityStateBoolType 0 1 需要这个权限调用ChangeServiceConfig或ChangeServiceConfig2函数改变服务配置。 service_query_stat oval-def: EntityStateBoolType 0 1 需要这个权限调用QueryServiceStatusEx函数来询问服务控制管理器服务的状态。 service_enum_dependents oval-def: EntityStateBoolType 0 1 需要这个权限调用EnumDependentServices函数枚举所有的服务依赖于服务。 service_start oval-def: EntityStateBoolType 0 1 这个权限需要调用由StartService函数来启动该服务。 service_stop oval-def: EntityStateBoolType 0 1 需要这个权限调用ControlService函数停止服务。 service_pause oval-def: EntityStateBoolType 0 1 需要这个权限调用ControlService函数暂停或继续服务。 service_interrogate oval-def: EntityStateBoolType 0 1 需要这个权限调用ControlService函数问服务立即报告其状态。 service_user_defined oval-def: EntityStateBoolType 0 1 需要这个权限调用ControlService函数指定一个用户定义的控制代码。
共享资源测试用于检查属性与系统上的任何共享资源有关。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用sharedresource_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
sharedresource_object元素使用共享资源测试定义对象,在这种情况下,共享资源,评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
一个共享资源对象由一个单一的网络实体标识一个特定的共享资源。
子元素 类型 MinOccurs MaxOccurs 网络 oval-def: EntityObjectStringType 1 1 网络元素相关联的惟一名称与特定共享资源。 oval-def:过滤器 n /一个 0 无限
sharedresource_state元素定义了不同的元数据与Windows共享资源。这包括分享类型、权限和马克斯的用途。这种状态反映了SHARE_INFO_2结构。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 网络 oval-def: EntityStateStringType 0 1 该元素指定了名称关联到一个特定的共享资源。 shared_type win-def: EntityStateSharedResourceTypeType 0 1 共享资源的类型。 max_uses oval-def: EntityStateIntType 0 1 共享资源的最大并发连接数可以容纳。 current_uses oval-def: EntityStateIntType 0 1 当前连接的数量的资源。 local_path oval-def: EntityStateStringType 0 1 共享资源的本地路径。 access_read_permission oval-def: EntityStateBoolType 0 1 从资源和权限读取数据,默认情况下,执行资源。 access_write_permission oval-def: EntityStateBoolType 0 1 写入数据到资源的权限。 access_create_permission oval-def: EntityStateBoolType 0 1 允许创建一个实例的资源(例如文件);数据可以写入创建资源的资源。 access_exec_permission oval-def: EntityStateBoolType 0 1 执行资源的权限。 access_delete_permission oval-def: EntityStateBoolType 0 1 删除资源的权限。 access_atrib_permission oval-def: EntityStateBoolType 0 1 允许修改资源的属性(如文件最后修改日期和时间)。 access_perm_permission oval-def: EntityStateBoolType 0 1 允许修改权限(读、写、创建、执行和删除)分配给一个用户或应用程序的资源。 access_all_permission oval-def: EntityStateBoolType 0 1 允许读、写、创建、执行和删除资源,并修改它们的属性和权限。
共享资源审计权限测试用于检查审计权限与系统上的任何共享资源有关。注意,受托人的审计权限的审计权限SACL授予受托人或受托人的任何组的一员。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用sharedresourceauditedpermissions_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
sharedresourceauditedpermissions_object元素使用共享资源审计权限测试定义对象用来评估对指定的状态。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。
共享资源审计权限对象由一个网络实体标识一个特定的共享资源和trustee_sid实体标识一个特定的帐户(SID)检查审计权限的。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: SharedResourceAuditedPermissionsBehaviors 0 1 网络 oval-def: EntityObjectStringType 1 1 网络元素相关联的惟一名称与特定共享资源。 trustee_sid oval-def: EntityObjectStringType 1 1 trustee_sid实体识别与一个用户相关联的唯一SID,集团系统或程序(如Windows服务)。如果一个操作其他比=用来识别匹配的受托人(即不等于,或模式匹配)然后结果匹配只应当限于受托人文件中引用的安全描述符。这里的范围是有限的,以避免不必要的资源密集型搜索受托人。请注意,所有已知的受托人可以获得更大范围的通过使用变量。 oval-def:过滤器 n /一个 0 无限
sharedresourceauditedpermissions_state元素定义了不同的审计权限,可以与给定sharedresourceauditedpermissions_object相关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 网络 oval-def: EntityStateStringType 0 1 该元素指定了名称关联到一个特定的共享资源。 trustee_sid oval-def: EntityStateStringType 0 1 trustee_sid元素相关的独特的SID,一个用户,组,系统或程序(如Windows服务)。 standard_delete win-def: EntityStateAuditType 0 1 删除对象的权利。 standard_read_control win-def: EntityStateAuditType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac win-def: EntityStateAuditType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner win-def: EntityStateAuditType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize win-def: EntityStateAuditType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security win-def: EntityStateAuditType 0 1 显示访问系统访问控制列表(SACL)。 generic_read win-def: EntityStateAuditType 0 1 读访问。 generic_write win-def: EntityStateAuditType 0 1 写访问。 generic_execute win-def: EntityStateAuditType 0 1 执行访问。 generic_all win-def: EntityStateAuditType 0 1 读、写和执行访问。
SharedResourceAuditedPermissionsBehaviors复杂类型定义了一个行为,允许指定的sharedresourceauditedpermissions_object更详细的定义。注意,使用这种行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义是否应包括在该组织SID对象时,对象被定义为一群SID。例如,对象定义为一组SID的意图可能是检索所有用户SIDs集团的成员,但不是席德集团本身。
共享资源的有效权利测试用于检查的有效权利与系统上的任何共享资源有关。注意,受托人的有效访问权限的访问权限是DACL授予受托人或受托人的任何组的一员。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用sharedresourceeffectiverights_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
sharedresourceeffectiverights_object元素使用共享资源有效的权利测试定义对象,在这种情况下共享资源有效权利对象,评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
共享资源有效权利对象由一个网络实体标识一个特定的共享资源和trustee_sid实体标识一个特定的帐户(SID)检查的有效权利。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: SharedResourceEffectiveRightsBehaviors 0 1 网络 oval-def: EntityObjectStringType 1 1 网络元素相关联的惟一名称与特定共享资源。 trustee_sid oval-def: EntityObjectStringType 1 1 trustee_sid实体识别与一个用户相关联的唯一SID,集团系统或程序(如Windows服务)。如果一个操作其他比=用来识别匹配的受托人(即不等于,或模式匹配)然后结果匹配只应当限于受托人文件中引用的安全描述符。这里的范围是有限的,以避免不必要的资源密集型搜索受托人。请注意,所有已知的受托人可以获得更大范围的通过使用变量。 oval-def:过滤器 n /一个 0 无限
sharedresourceeffectiverights_state元素定义了不同的权利,可以与给定sharedresourceeffectiverights_object相关。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 网络 oval-def: EntityStateStringType 0 1 该元素指定了名称关联到一个特定的共享资源。 trustee_sid oval-def: EntityStateStringType 0 1 trustee_sid元素相关的独特的SID,一个用户,组,系统或程序(如Windows服务)。 standard_delete oval-def: EntityStateBoolType 0 1 删除对象的权利。 standard_read_control oval-def: EntityStateBoolType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac oval-def: EntityStateBoolType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner oval-def: EntityStateBoolType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize oval-def: EntityStateBoolType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security oval-def: EntityStateBoolType 0 1 显示访问系统访问控制列表(SACL)。 generic_read oval-def: EntityStateBoolType 0 1 读访问。 generic_write oval-def: EntityStateBoolType 0 1 写访问。 generic_execute oval-def: EntityStateBoolType 0 1 执行访问。 generic_all oval-def: EntityStateBoolType 0 1 读、写和执行访问。
SharedResourceEffectiveRightsBehaviors复杂类型定义了一个行为,允许指定的sharedresourceeffectiverights_object更详细的定义。注意,使用这种行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义是否应包括在该组织SID对象时,对象被定义为一群SID。例如,对象定义为一组SID的意图可能是检索所有用户SIDs集团的成员,但不是席德集团本身。
SID测试用于检查相关属性指定的SID。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用sid_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
sid_object元素使用sid_test定义对象集,在这种情况下,一组SIDs(由名称标识),评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: SidBehaviors 0 1 trustee_name oval-def: EntityObjectStringType 1 1 trustee_name元素相关的独特的名字,一个特定的SID。SID可以关联到一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 oval-def:过滤器 n /一个 0 无限
sid_state元素定义了不同的元数据与Windows受托人(由名称标识)。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs trustee_name oval-def: EntityStateStringType 0 1 该元素指定受托人的名字与一个特定的SID。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 trustee_sid oval-def: EntityStateStringType 0 1 安全标识符(SID)指定受托人的名字。 trustee_domain oval-def: EntityStateStringType 0 1 受托人指定的域的名称。
SidBehaviors复杂类型定义了一个数量的行为,允许指定的sid_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义是否应包括在该组织SID对象时,对象被定义为一群SID。例如,对象定义为一组SID的意图可能是检索所有用户SIDs集团的成员,但不是席德集团本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
sid_sid_test用于检查相关属性指定的SID。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用sid_sid_object和可选状态元素指定元数据来检查。
注意,这个sid_sid测试在5.4版本中添加了一个临时修复。有必要在社区内识别诸如用户和组的名称和SID。版本6的椭圆形,工作正在为了更好的解决这个问题,但是现在,增加了第二个测试以满足需要。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
sid_sid_object元素使用sid_sid_test定义对象集,在这种情况下,一组SIDs,评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: SidSidBehaviors 0 1 trustee_sid oval-def: EntityObjectStringType 1 1 trustee_sid实体识别与一个用户相关联的唯一SID,集团系统或程序(如Windows服务)。 oval-def:过滤器 n /一个 0 无限
sid_state元素定义了不同的元数据与Windows受托人(SID)发现的。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs trustee_sid oval-def: EntityStateStringType 0 1 安全标识符(SID)指定受托人的名字。 trustee_name oval-def: EntityStateStringType 0 1 该元素指定受托人的名字与一个特定的SID。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 trustee_domain oval-def: EntityStateStringType 0 1 受托人指定的域的名称。
SidSidBehaviors复杂类型定义了一个数量的行为,允许指定的sid_sid_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
属性: - - - - - - include_group xsd: boolean (可选,默认= '真的') “include_group”定义是否应包括在该组织SID对象时,对象被定义为一群SID。例如,对象定义为一组SID的意图可能是检索所有用户SIDs集团的成员,但不是席德集团本身。 - - - - - - resolve_group xsd: boolean (可选,默认= '假') resolve_group的行为定义了一组对象定义为一组SID是否应该决定返回一组包含所有用户SIDs是该组的成员。请注意,所有子组也应该解决任何有效的域用户组的成员也应包括在内。这种行为的目的是最终的所有个人用户从列表系统构成组一旦一切都已经解决了。
系统指标测试用于检查一个特定的Windows系统指标的价值。访问这些信息在User32.dll GetSystemMetrics公开的函数。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
所使用的系统度量对象元素定义对象的系统指标测试评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
子元素 类型 MinOccurs MaxOccurs 指数 win-def: EntityObjectSystemMetricIndexType 1 1 该指数实体提供所需的系统指标索引值。 oval-def:过滤器 n /一个 0 无限
系统指标的状态元素定义了不同的信息,可以发现在Windows系统度量值。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 指数 win-def: EntityStateSystemMetricIndexType 0 1 该指数实体对应于systemmetric_object指数实体。 价值 oval-def: EntityStateIntType 0 1 可选值的实体提供的价值系统指标,预计。
用户访问控制测试用于检查窗户内设置相关的用户访问控制。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用uaac_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
uac_object元素使用的用户访问控制测试来定义这些对象评估基于指定的状态。实际上只有一个对象相关的用户访问控制系统作为一个整体。因此,没有子实体的定义。写任何椭圆形的测试来检查用户访问控制设置将引用相同的uac_object基本上是一个空对象元素。
uac_state元素指定了不同的设置可用的用户访问控制。用户访问控制测试将引用一个特定实例的状态定义的设置需要评估。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs admin_approval_mode oval-def: EntityStateBoolType 0 1 为内置管理员帐户管理员批准模式。 elevation_prompt_admin oval-def: EntityStateStringType 0 1 行为的高度提示管理员以管理员批准模式。 elevation_prompt_standard oval-def: EntityStateStringType 0 1 行为的高度为标准用户提示。 detect_installations oval-def: EntityStateBoolType 0 1 检测应用程序安装并提示高程。 elevate_signed_executables oval-def: EntityStateBoolType 0 1 只有提高签名和验证的可执行文件。 elevate_uiaccess oval-def: EntityStateBoolType 0 1 只有提升UIAccess应用程序安装在安全的位置。 run_admins_aam oval-def: EntityStateBoolType 0 1 所有管理员以管理员批准模式运行。 secure_desktop oval-def: EntityStateBoolType 0 1 提示海拔时切换到安全桌面。 virtualize_write_failures oval-def: EntityStateBoolType 0 1 虚拟化文件和注册表写失败到每个用户的位置。
| 弃用的版本:5.11 原因:被user_sid55_test所取代。这个测试使用受托人名称识别系统上的账户。受托人姓名和user_sid55_test并不罕见,它使用受托人SIDs是独一无二的,应该使用。看到user_sid55_test。 备注:这个测试已经弃用,在6.0版本的语言将被删除。 |
user_test用于检查Windows用户的信息。user_test收集系统上的用户时,它应该只包括本地和内置的用户帐户,而不是域用户帐户。然而,重要的是要注意,仍然可以抬起头域用户账户。注意团体的集合,用户成员,不是递归。唯一的组织,将收集的用户直接成员。例如,如果一个用户是a组的一员,和a组B组的一员,唯一的组,将收集组a,它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用一个user_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
| 弃用的版本:5.11 原因:被user_sid55_object所取代。这个对象使用受托人名称识别系统上的账户。受托人姓名和user_sid55_object并不罕见,它使用受托人SIDs是独一无二的,应该使用。看到user_sid55_object。 备注:这个对象已经弃用,在6.0版本的语言将被删除。 |
子元素 类型 MinOccurs MaxOccurs 用户 oval-def: EntityObjectStringType 1 1 用户实体持有一个字符串,该字符串代表一个特定用户的名字。在Windows中,用户名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,用户应该被识别的形式:“域\用户名”。为本地用户使用:“计算机名称\用户名”。对于内置的系统上的账户,使用用户名没有一个域。 oval-def:过滤器 n /一个 0 无限
| 弃用的版本:5.11 原因:被user_sid55_state所取代。这个国家使用受托人名称识别系统上的账户。受托人姓名和user_sid55_state并不罕见,它使用受托人SIDs是独一无二的,应该使用。看到user_sid55_state。 备注:这个状态已经弃用,在6.0版本的语言将被删除。 |
user_state元素列举了不同群体(由名称来标识),Windows用户可能属于。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 用户 oval-def: EntityStateStringType 0 1 用户实体持有一个字符串,该字符串代表一个特定用户的名字。在Windows中,用户名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,用户应该被识别的形式:“域\用户名”。为本地用户使用:“计算机名称\用户名”。对于内置的系统上的账户,使用用户名没有一个域。 启用 oval-def: EntityStateBoolType 0 1 该元素包含一个布尔值,用于指定是否启用了特定的用户帐户。 集团 oval-def: EntityStateStringType 0 1 一个字符串,该字符串代表一个特定的组的名称。在Windows中,组名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,组织应确定的形式:“域\组名称”。为当地团体使用:“计算机名称\组名称”。内置的系统上的账户,没有一个域使用组名。多次组织元素可以包含在系统特征项为了记录一个用户可以属于不同的组。注意entity_check属性与EntityStateStringType指南等实体的评估小组,是指可能发生一个无界的次数的物品。 last_logon oval-def: EntityStateIntType 0 1 最后一次登录发生时的日期和时间。这个值是存储为运行就是的秒数,格林尼治时间1970年1月1日。
user_sid55_test用于检查Windows用户的信息。当user_sid55_test收集用户SIDs系统上,它应该只包括本地和内置的用户SIDs和域用户SIDs。然而,重要的是要注意,域用户SIDs仍然可以抬起头来。注意团体的集合,用户成员,不是递归。唯一的组织,将收集的用户直接成员。例如,如果一个用户是a组的一员,和a组B组的一员,唯一的组,将收集组a,它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用user_sid55_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
user_sid55_object代表一组用户在Windows系统上。这组(这可能只包含一个用户)标识SID。
子元素 类型 MinOccurs MaxOccurs user_sid oval-def: EntityObjectStringType 1 1 user_sid实体持有一个字符串,该字符串代表一个特定用户的SID。 oval-def:过滤器 n /一个 0 无限
user_sid55_state元素列举了不同群体(SID)确认的Windows用户可能属于。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs user_sid oval-def: EntityStateStringType 0 1 user_sid实体持有一个字符串,该字符串代表一个特定用户的SID。 启用 oval-def: EntityStateBoolType 0 1 该元素包含一个布尔值,用于指定是否启用了特定的用户帐户。 group_sid oval-def: EntityStateStringType 0 1 一个字符串代表一个特定的SID组。多次group_sid元素可以包含在系统特征项为了记录一个用户可以属于不同的组。注意entity_check属性与EntityStateStringType指南等实体的评估小组,是指可能发生一个无界的次数的物品。 last_logon oval-def: EntityStateIntType 0 1 最后一次登录发生时的日期和时间。这个值是存储为运行就是的秒数,格林尼治时间1970年1月1日。
| 弃用的版本:5.5 原因:被user_sid55_test所取代。这个测试使用用户和组的元素正确命名。创建一个新的测试改变元素名称user_sid和group_sid正确的值。看到user_sid55_test。 备注:这个测试已经弃用,在6.0版本的语言将被删除。 |
user_sid_test用于检查Windows用户的信息。当user_sid_test收集用户SIDs系统上,它应该只包括本地和内置的用户SIDs和域用户SIDs。然而,重要的是要注意,域用户SIDs仍然可以抬起头来。注意团体的集合,用户成员,不是递归。唯一的组织,将收集的用户直接成员。例如,如果一个用户是a组的一员,和a组B组的一员,唯一的组,将收集组a,它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用user_sid_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
| 弃用的版本:5.5 原因:被user_sid55_object所取代。这个对象使用一个用户错误地命名的元素。创建一个新对象改变元素名称user_sid其正确的值。看到user_sid55_object。 备注:这个对象已经弃用,在6.0版本的语言将被删除。 |
user_sid_object代表一组用户在Windows系统上。这组(这可能只包含一个用户)标识SID。
子元素 类型 MinOccurs MaxOccurs 用户 oval-def: EntityObjectStringType 1 1 user_sid实体持有一个字符串,该字符串代表一个特定用户的SID。
| 弃用的版本:5.5 原因:被user_sid55_state所取代。这个国家使用用户和组的元素正确命名。创建一个新的国家改变元素名称user_sid和group_sid正确的值。看到user_sid55_state。 备注:这个状态已经弃用,在6.0版本的语言将被删除。 |
user_sid_state元素列举了不同群体(SID)确认的Windows用户可能属于。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 用户 oval-def: EntityStateStringType 0 1 user_sid实体持有一个字符串,该字符串代表一个特定用户的SID。 启用 oval-def: EntityStateBoolType 0 1 该元素包含一个布尔值,用于指定是否启用了特定的用户帐户。 集团 oval-def: EntityStateStringType 0 1 一个字符串代表一个特定的SID组。多次group_sid元素可以包含在系统特征项为了记录一个用户可以属于不同的组。注意entity_check属性与EntityStateStringType指南等实体的评估小组,是指可能发生一个无界的次数的物品。
userright_test用于列举的所有SIDs已获得一个特定的用户/权限。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
userright_object用于收集的SIDs允许特定用户/权限。
子元素 类型 MinOccurs MaxOccurs userright win-def: EntityObjectUserRightType 1 1 userright实体持有一个字符串,该字符串代表一个特定用户的名字/右特权。 oval-def:过滤器 n /一个 0 无限
子元素 类型 MinOccurs MaxOccurs userright win-def: EntityStateUserRightType 0 1 userright实体持有一个字符串,该字符串代表一个特定用户的名字/右特权。 trustee_sid oval-def: EntityStateStringType 0 1 trustee_sid元素标识的SID授予指定的用户/右特权。多次trustee_sid元素可以包含在系统特征项为了记录用户/右特权被授予SIDs。注意entity_check属性与EntityStateStringType指南评估实体像trustee_sid指可能发生一个无界的次数的物品。
volume_test用于检查信息不同的存储卷在Windows系统上发现的。这包括各种系统返回的旗帜GetVolumeInformation ()。重要的是要注意,这些旗帜是特定于特定版本的Windows系统。因此,文档的版本的Windows应该咨询更多的信息。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用volume_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
volume_object元素使用的卷测试定义的特定卷(s)评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
卷对象定义的rootpath卷(s)。
子元素 类型 MinOccurs MaxOccurs rootpath oval-def: EntityObjectStringType 1 1 一个字符串,该字符串包含的根目录体积被描述。需要一个落后于反斜杠。例如,您将指定\ \ MyServer \ MyShare作为“\ \ MyServer \ MyShare \”,或C:驱动器作为“C: \”。 oval-def:过滤器 n /一个 0 无限
volume_state元素定义了不同的元数据与存储卷在Windows。这包括rootpath,文件系统类型,名称,和序列号,以及任何相关的旗帜。请参阅模式中各个元素的更多细节每一个代表什么。GetVolumeInformation函数定义由微软也是一个好地方去寻找信息。
子元素 类型 MinOccurs MaxOccurs rootpath oval-def: EntityStateStringType 0 1 一个字符串,该字符串包含的根目录体积被描述。需要一个落后于反斜杠。例如,您将指定\ \ MyServer \ MyShare作为“\ \ MyServer \ MyShare \”,或C:驱动器作为“C: \”。 file_system oval-def: EntityStateStringType 0 1 文件系统的类型。例如脂肪或NTFS。 的名字 oval-def: EntityStateStringType 0 1 量的名字。 drive_type win-def: EntityStateDriveTypeType 0 1 体积的驱动器类型。 volume_max_component_length oval-def: EntityStateIntType 0 1 volume_max_component_length元素指定的最大长度,在TCHARs文件名指定文件系统支持的组件。一个文件名组件反斜杠之间是一个文件名的一部分。的值存储在变量* lpMaximumComponentLength指的是用来表明一个指定文件系统支持长名称。例如,脂肪文件系统支持长名字,255年函数存储值,而不是之前的8.3指标。长名字也可以使用NTFS文件系统的支持系统。 serial_number oval-def: EntityStateIntType 0 1 卷序列号。 file_case_sensitive_search oval-def: EntityStateBoolType 0 1 文件系统支持区分大小写的文件名。 file_case_preserved_names oval-def: EntityStateBoolType 0 1 文件系统保存的文件名时,磁盘上的一个名字的地方。 file_unicode_on_disk oval-def: EntityStateBoolType 0 1 文件系统支持Unicode文件名,因为他们出现在磁盘上。 file_persistent_acls oval-def: EntityStateBoolType 0 1 文件系统保存和执行acl。例如,NTFS保存和执行acl,脂肪不。 file_file_compression oval-def: EntityStateBoolType 0 1 文件系统支持文件的压缩。 file_volume_quotas oval-def: EntityStateBoolType 0 1 文件系统支持磁盘配额。 file_supports_sparse_files oval-def: EntityStateBoolType 0 1 文件系统支持稀疏文件。 file_supports_reparse_points oval-def: EntityStateBoolType 0 1 文件系统支持重新解析点。 file_supports_remote_storage oval-def: EntityStateBoolType 0 1 文件系统支持远程存储。 file_volume_is_compressed oval-def: EntityStateBoolType 0 1 指定的卷一个压缩卷;例如,一个DoubleSpace体积。 file_supports_object_ids oval-def: EntityStateBoolType 0 1 文件系统支持对象标识符。 file_supports_encryption oval-def: EntityStateBoolType 0 1 文件系统支持加密文件系统(EFS)。 file_named_streams oval-def: EntityStateBoolType 0 1 文件系统支持命名流。 file_read_only_volume oval-def: EntityStateBoolType 0 1 指定的卷是只读的。 file_sequential_write_once oval-def: EntityStateBoolType 0 1 文件系统支持按顺序一次写道。 file_supports_transactions oval-def: EntityStateBoolType 0 1 文件系统支持事务处理。 file_supports_hard_links oval-def: EntityStateBoolType 0 1 文件系统支持直接链接到其他设备和分区。 file_supports_extended_attributes oval-def: EntityStateBoolType 0 1 文件系统支持扩展属性。 file_supports_open_by_file_id oval-def: EntityStateBoolType 0 1 文件系统支持文件标识。 file_supports_usn_journal oval-def: EntityStateBoolType 0 1 文件系统支持更新序列号期刊。
| 弃用的版本:5.7 原因:被wmi57_test所取代。这个测试只允许从WMI单字段选择。创建一个新的测试允许多个字段在一个声明中被选中。看到wmi57_test。 备注:这个测试已经弃用,可以在未来版本的语言。 |
wmi测试用于检查wmi访问的信息。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用wmi_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
| 弃用的版本:5.7 原因:被wmi57_object所取代。该对象允许单个字段从WMI被选中。创建一个新对象,允许多个字段在一个声明中被选中。看到wmi57_object。 备注:这个对象已经弃用,可以在未来版本的语言。 |
子元素 类型 MinOccurs MaxOccurs 名称空间 oval-def: EntityObjectStringType 1 1 指定WMI命名空间下。通常每个WMI提供者注册自己的WMI名称空间然后该名称空间中所有的类。例如,所有Win32 WMI类可以在名称空间中找到“根\ cimv2”,可以找到所有IIS WMI类在“根\ microsoftiisv2”,和所有LDAP WMI类可以在“根\ \ LDAP目录”。 wql oval-def: EntityObjectStringType 1 1 WQL查询用于识别对象(s)测试。任何有效WQL查询可用的有一个例外,最多允许一个字段中选择查询的一部分。例如选择名字从…是有效的,选择“真正的”…,但选择的名字,从…不是有效的。这是因为结果元素数据部分只是用来对一个领域工作。
| 弃用的版本:5.7 原因:被wmi57_state所取代。该对象允许单个字段从WMI被选中。创建一个新的国家允许多个字段在一个声明中被选中。看到wmi57_state。 备注:这个状态已经弃用,可以在未来版本的语言。 |
子元素 类型 MinOccurs MaxOccurs 名称空间 oval-def: EntityStateStringType 0 1 指定WMI命名空间下。通常每个WMI提供者注册自己的WMI名称空间然后该名称空间中所有的类。例如,所有Win32 WMI类可以在名称空间中找到“根\ cimv2”,可以找到所有IIS WMI类在“根\ microsoftiisv2”,和所有LDAP WMI类可以在“根\ \ LDAP目录”。 wql oval-def: EntityStateStringType 0 1 WQL查询用于识别对象(s)测试。任何有效WQL查询可用的有一个例外,最多允许一个字段中选择查询的一部分。例如选择名字从…是有效的,选择“真正的”…,但选择的名字,从…不是有效的。这是因为结果元素数据部分只是用来对一个领域工作。 结果 oval-def: EntityStateAnySimpleType 0 1 结果元素指定如何测试对象在结果集中指定WQL的声明。只能填报一个类似的领域。所以如果WQL语句看起来像选择名字从…”,然后结果元素值的弗雷德的测试,对返回的名字WQL声明。
wmi57测试用于检查WMI访问的信息。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用wmi57_object和可选状态元素指定元数据来检查。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
子元素 类型 MinOccurs MaxOccurs 名称空间 oval-def: EntityObjectStringType 1 1 指定WMI命名空间下。通常每个WMI提供者注册自己的WMI名称空间然后该名称空间中所有的类。例如,所有Win32 WMI类可以在名称空间中找到“根\ cimv2”,可以找到所有IIS WMI类在“根\ microsoftiisv2”,和所有LDAP WMI类可以在“根\ \ LDAP目录”。 wql oval-def: EntityObjectStringType 1 1 WQL查询用于识别对象(s)测试。任何有效WQL查询可用的有一个例外,所有字段必须命名的选择部分查询。例如选择名字,年龄从……是有效的。然而,SELECT * FROM……不是有效的。这是因为记录元素状态和项目需要一个独特的字段名称值,以确保任何查询结果可以评价一致。 oval-def:过滤器 n /一个 0 无限
子元素 类型 MinOccurs MaxOccurs 名称空间 oval-def: EntityStateStringType 0 1 指定WMI命名空间下。通常每个WMI提供者注册自己的WMI名称空间然后该名称空间中所有的类。例如,所有Win32 WMI类可以在名称空间中找到“根\ cimv2”,可以找到所有IIS WMI类在“根\ microsoftiisv2”,和所有LDAP WMI类可以在“根\ \ LDAP目录”。 wql oval-def: EntityStateStringType 0 1 WQL查询用于识别对象(s)测试。任何有效WQL查询可用的有一个例外,所有字段必须命名的选择部分查询。例如选择名字,年龄从……是有效的。然而,SELECT * FROM……不是有效的。这是因为记录元素状态和项目需要一个独特的字段名的价值可以评估,并确保任何查询结果。 结果 oval-def: EntityStateRecordType 0 1 结果元素指定如何测试项目的结果集指定WQL声明。
wuaupdatesearcher_test用于评估补丁级别在Windows环境中利用WUA (Windows更新代理)接口。它是基于IUpdateSearcher界面的搜索方法中发现WUA API。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用wuaupdatesearcher_object和可选状态元素指定元数据来检查。
注意WUA可以从许多不同的来源包括威诺娜州立大学,update.microsoft.com,一个当地的出租车文件。内容源是特定于一个给定的系统评估wuaupdatesearcher_test,因此并不是由这个测试。工具被用于评估应该确定哪些内容源是最好的系统评估,然后评估这个测试的基础上,选择。
子元素 类型 MinOccurs MaxOccurs 对象 oval-def: ObjectRefType 1 1 状态 oval-def: StateRefType 0 无限
wuaupdatesearcher_object元素使用wuaupdatesearcher_test定义特定搜索条件评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。
子元素 类型 MinOccurs MaxOccurs 行为 win-def: WuaUpdateSearcherBehaviors 0 1 search_criteria oval-def: EntityObjectStringType 1 1 search_criteria实体指定搜索条件生成搜索结果时使用。使用的字符串搜索标准实体必须匹配的自定义搜索语言搜索方法IUpdateSearcher接口。字符串包含的标准评估,以确定哪些更新回报。搜索方法执行一个同步搜索更新通过使用当前配置的搜索选项。关于可能的搜索标准的更多信息,请参见IUpdateSearcher界面的搜索方法。 oval-def:过滤器 n /一个 0 无限
wuaupdatesearcher_state元素定义了实体,可以uaupdatesearcher_object相关测试。这包括搜索条件和更新身份证。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs search_criteria oval-def: EntityStateStringType 0 1 search_criteria实体指定一个字符串检查搜索条件用于生成对象集。注意,因为这个实体是国家的一部分,它不是用来确定对象集,而是用来测试实际使用的搜索条件。 update_id oval-def: EntityStateStringType 0 1 的update_id enity指定一个字符串,该字符串代表一个revision-independent标识符的一个更新。这个信息是IUpdateIdentity接口的一部分,由于IUpdateSearcher接口的一部分的搜索方法。
WuaUpdateSearcherBehaviors复杂类型定义行为,允许指定的wuaupdatesearcher_object更详细的定义。注意,使用这些行为可能会导致一些独特的结果。例如,一个双重否定表示类型条件可能会创建一个对象的实体包括除了一个特定的项目,但使用行为,可能会增加项目。
属性: - - - - - - include_superseded_updates xsd: boolean (可选,默认= '真的') “include_superseded_updates”是一个布尔标志设置为true时,表明搜索结果应该包括更新所取代的其他更新在搜索结果中。当设置为“false”取代更新应该排除在匹配更新项目的集合。默认值是“真正的”。
EntityStateAddrTypeType复杂类型限制一个字符串值的一组特定的值描述的地址类型与接口有关。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 MIB_IPADDR_DELETED
表示IP地址被删除。无符号短x0040值,这对应于0
MIB_IPADDR_DISCONNECTED
表示IP地址是断开连接的接口。无符号短x0008值,这对应于0。
MIB_IPADDR_DYNAMIC
表示IP地址是一个动态的IP地址。无符号短值对应的是0 x0004。
MIB_IPADDR_PRIMARY
表示IP地址是一个主要的IP地址。无符号短x0001值,这对应于0。
MIB_IPADDR_TRANSIENT
表示IP地址是一个短暂的IP地址。无符号短x0080值,这对应于0
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateAdstypeType复杂类型限制字符串值到一个特定的值,指定不同类型的信息,一个active directory属性可以表示。更多信息查看ADSTYPEENUM枚举定义为微软。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 ADSTYPE_INVALID
的数据类型无效。
ADSTYPE_DN_STRING
专有名称的字符串(路径)目录服务的对象。
ADSTYPE_CASE_EXACT_STRING
区分大小写的字符串类型。
ADSTYPE_CASE_IGNORE_STRING
不区分大小写的字符串类型。
ADSTYPE_PRINTABLE_STRING
在屏幕上可显示的字符串或打印。
ADSTYPE_NUMERIC_STRING
数值的字符串被解释为文本。
ADSTYPE_BOOLEAN
一个布尔值的数据。
ADSTYPE_INTEGER
一个整数值的数据。
ADSTYPE_OCTET_STRING
字符串的字节数组。
ADSTYPE_UTC_TIME
世界时的数据表达的协调世界时(UTC)。
ADSTYPE_LARGE_INTEGER
长整数的数据值。
ADSTYPE_PROV_SPECIFIC
特定于提供程序的字符串的字符串。
ADSTYPE_OBJECT_CLASS
不习惯。
ADSTYPE_CASEIGNORE_LIST
的数据是不分大小写字符串的列表。
ADSTYPE_OCTET_LIST
的数据是一个八位字节字符串列表。
ADSTYPE_PATH
一个目录路径的字符串。
ADSTYPE_POSTALADDRESS
邮政地址的字符串类型。
ADSTYPE_TIMESTAMP
数据的时间戳在秒。
ADSTYPE_BACKLINK
返回的字符串是链接。
ADSTYPE_TYPEDNAME
输入名称的字符串。
ADSTYPE_HOLD
保存数据的数据结构。
ADSTYPE_NETADDRESS
网络地址的字符串。
ADSTYPE_REPLICAPOINTER
副本的数据指针。
ADSTYPE_FAXNUMBER
一个传真号码的字符串。
ADSTYPE_EMAIL
电子邮件的数据。
ADSTYPE_NT_SECURITY_DESCRIPTOR
Windows NT / 2000的数据安全描述符由一个字节数组。
ADSTYPE_UNKNOWN
未定义的数据类型。
ADSTYPE_DN_WITH_BINARY
ADS_DN_WITH_BINARY用于映射的数据是一个非专有名称不同的GUID。
ADSTYPE_DN_WITH_STRING
ADS_DN_WITH_STRING用于映射的数据是一个专有名称non-varying字符串值。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateAuditType复杂类型限制一个字符串值的一组特定的价值观:AUDIT_NONE, AUDIT_SUCCESS AUDIT_FAILURE, AUDIT_SUCCESS_FAILURE。这些值应该生成审计记录的描述。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 AUDIT_FAILURE
审计类型AUDIT_FAILURE用于执行审计在所有成功启用审计时出现的指定事件。
AUDIT_NONE
审计类型AUDIT_NONE取消所有审计选项用于指定的事件。
AUDIT_SUCCESS
审计类型AUDIT_SUCCESS用于执行审计所有成功启用审计时出现的指定的事件。
AUDIT_SUCCESS_FAILURE
审计类型AUDIT_SUCCESS_FAILURE用于执行审计所有成功和不成功启用审计时出现的指定的事件。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateDriveTypeType复杂类型定义了不同的值是有效的drive_type实体win-def: volume_state。注意,Windows API返回一个使用UINT值和椭圆形使用常数的名称,通常是为这些定义返回值。这样做是为了增加可读性和可维护性的椭圆的定义。空字符串也可以作为一个有效的值来支持一个空元素中使用变量引用时发现drive_type实体。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 DRIVE_UNKNOWN
DRIVE_UNKNOWN类型意味着驱动类型不能确定。使用UINT的值,这个对应的是0。
DRIVE_NO_ROOT_DIR
DRIVE_NO_ROOT_DIR类型意味着根路径无效。使用UINT的值,这个对应的是1。
DRIVE_REMOVABLE
DRIVE_REMOVABLE类型意味着驱动包含可移动媒体。这个对应的是2的单位价值。
DRIVE_FIXED
DRIVE_FIXED类型意味着驱动包含固定的媒体。使用UINT值对应的是3。
DRIVE_REMOTE
DRIVE_REMOTE类型意味着驱动是一个远程驱动(即网络驱动器)。使用UINT值对应的是4。
DRIVE_CDROM
DRIVE_CDROM类型意味着驱动器是一个cd - rom驱动器。使用UINT值对应的是5。
DRIVE_RAMDISK
DRIVE_RAMDISK类型意味着驱动器是一个RAM磁盘。使用UINT值对应的是6。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateInterfaceTypeType复杂类型限制一个字符串值一组特定的值。这些值描述不同的接口类型。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 MIB_IF_TYPE_ETHERNET
MIB_IF_TYPE_ETHERNET类型是用来描述以太网接口。
MIB_IF_TYPE_FDDI
MIB_IF_TYPE_FDDI类型是用来描述光纤分布式数据接口(FDDI)。
MIB_IF_TYPE_LOOPBACK
MIB_IF_TYPE_LOOPBACK类型是用来描述环回接口。
MIB_IF_TYPE_OTHER
MIB_IF_TYPE_OTHER类型是用来描述未知的接口。
MIB_IF_TYPE_PPP
MIB_IF_TYPE_PPP类型是用来描述的点对点协议(PPP)的接口。
MIB_IF_TYPE_SLIP
MIB_IF_TYPE_SLIP类型是用来描述串行线互联网协议接口(滑)。
MIB_IF_TYPE_TOKENRING
MIB_IF_TYPE_TOKENRING类型是用来描述令牌环接口. .
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateFileTypeType复杂类型限制一个字符串值一组特定的值。这些值描述文件表示的类型。更多信息参见GetFileType和GetFileAttributesEx函数定义的微软。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 FILE_ATTRIBUTE_DIRECTORY
处理标识一个目录。
FILE_TYPE_CHAR
指定的文件是一个字符文件,通常一个并口设备或一个控制台。
FILE_TYPE_DISK
指定的文件是一个磁盘文件。
FILE_TYPE_PIPE
指定的文件是一个套接字,命名管道或匿名管道。
FILE_TYPE_REMOTE
未使用的。
FILE_TYPE_UNKNOWN
指定文件的类型是未知的,或函数失败。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityObjectNamingContextType限制一个字符串值的一组特定的价值观:域,配置,和模式。这些值描述不同的默认命名上下文在活动目录中找到。命名上下文被定义为一个对象的目录信息树(DIT)连同树中的每个对象服从它。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityObjectStringType
价值 描述 域
域命名上下文包含Active Directory对象出现在指定的领域(如用户、计算机、组和其他对象)。
配置
配置命名上下文包含配置数据操作所需的Active Directory目录服务。
模式
模式命名上下文包含所有活动目录对象的定义。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateNamingContextType限制一个字符串值的一组特定的价值观:域,配置,和模式。这些值描述不同的默认命名上下文在活动目录中找到。命名上下文被定义为一个对象的目录信息树(DIT)连同树中的每个对象服从它。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 域
域命名上下文包含Active Directory对象出现在指定的领域(如用户、计算机、组和其他对象)。
配置
配置命名上下文包含配置数据操作所需的Active Directory目录服务。
模式
模式命名上下文包含所有活动目录对象的定义。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateNTUserAccountTypeType限制一个字符串值的一组特定的值,描述了不同类型的账户。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 当地的
本地账户直接在机器上创建的帐户被测试的形式,应该machinename \用户名
域
域帐户创建的帐户在一个域控制器的形式,应该域\用户名
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStatePeTargetMachineType枚举识别有效的机器可以指定目标的PE文件头。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 IMAGE_FILE_MACHINE_UNKNOWN
IMAGE_FILE_MACHINE_UNKNOWN类型是用来表示一个未知的机器。
IMAGE_FILE_MACHINE_ALPHA
IMAGE_FILE_MACHINE_ALPHA类型用于指示一个αAPX型机器。
IMAGE_FILE_MACHINE_ARM
IMAGE_FILE_MACHINE_ARM类型是用来表示一只胳膊小端字节序的机器。
IMAGE_FILE_MACHINE_ALPHA64
IMAGE_FILE_MACHINE_ALPHA64类型是用来表示一个64位的αAPX型机器。
IMAGE_FILE_MACHINE_I386
IMAGE_FILE_MACHINE_I386类型是用来表示一个英特尔386机器。
IMAGE_FILE_MACHINE_IA64
IMAGE_FILE_MACHINE_IA64类型是用来表示一个英特尔安腾机器。
IMAGE_FILE_MACHINE_M68K
IMAGE_FILE_MACHINE_M68K类型是用来指示一个M68K机器。
IMAGE_FILE_MACHINE_MIPS16
IMAGE_FILE_MACHINE_MIPS16类型用于指示MIPS16机器。
IMAGE_FILE_MACHINE_MIPSFPU
IMAGE_FILE_MACHINE_MIPSFPU类型是用来表示一个MIPS FPU的机器。
IMAGE_FILE_MACHINE_MIPSFPU16
IMAGE_FILE_MACHINE_MIPSFPU16类型用于指示MIPS16 FPU的机器。
IMAGE_FILE_MACHINE_POWERPC
IMAGE_FILE_MACHINE_POWERPC类型是用来表示一个权力电脑小端字节序的机器。
IMAGE_FILE_MACHINE_R3000
IMAGE_FILE_MACHINE_R3000类型是用来表示一个MIPS小端字节序,0 x160 big endian机器。
IMAGE_FILE_MACHINE_R4000
IMAGE_FILE_MACHINE_R4000类型用于指示MIPS小端字节序的机器。
IMAGE_FILE_MACHINE_R10000
IMAGE_FILE_MACHINE_10000类型用于指示MIPS小端字节序的机器。
IMAGE_FILE_MACHINE_SH3
IMAGE_FILE_MACHINE_SH3类型用于指示日立SH3机器。
IMAGE_FILE_MACHINE_SH4
IMAGE_FILE_MACHINE_SH4类型用于指示日立SH4机器。
IMAGE_FILE_MACHINE_THUMB
IMAGE_FILE_MACHINE_THUMB类型是用来表示一个胳膊或拇指(“智能网”)机。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStatePeSubsystemType枚举确定有效的子系统可以指定类型的PE文件头。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 IMAGE_SUBSYSTEM_UNKNOWN
IMAGE_SUBSYSTEM_UNKNOWN类型是用来表示一个未知的子系统。
IMAGE_SUBSYSTEM_NATIVE
IMAGE_SUBSYSTEM_NATIVE类型是用来表明不需要子系统。
IMAGE_SUBSYSTEM_WINDOWS_GUI
IMAGE_SUBSYSTEM_WINDOWS_GUI类型是用来表示一个Windows图形用户界面(GUI)子系统。
IMAGE_SUBSYSTEM_WINDOWS_CUI
IMAGE_SUBSYSTEM_WINDOWS_CUI类型是用来表示一个Windows字符方式用户界面(崔)子系统。
IMAGE_SUBSYSTEM_OS2_CUI
IMAGE_SUBSYSTEM_OS2_CUI类型是用来表示一个OS / 2崔子系统。
IMAGE_SUBSYSTEM_POSIX_CUI
崔IMAGE_SUBSYSTEM_POSIX_CUI类型是用来表示一个POSIX子系统。
IMAGE_SUBSYSTEM_WINDOWS_CE_GUI
IMAGE_SUBSYSTEM_WINDOWS_CE_GUI类型是用来表示一个Windows CE体系。
IMAGE_SUBSYSTEM_EFI_APPLICATION
IMAGE_SUBSYSTEM_EFI_APPLICATION类型是用来表示一个可扩展固件接口(EFI)应用程序。
IMAGE_SUBSYSTEM_EFI_BOOT_SERVICE_DRIVER
IMAGE_SUBSYSTEM_EFI_BOOT_SERVICE_DRIVER类型用于指示EFI司机提供引导服务。
IMAGE_SUBSYSTEM_EFI_RUNTIME_DRIVER
IMAGE_SUBSYSTEM_EFI_RUNTIME_DRIVER类型用于指示EFI司机与运行时服务子系统。
IMAGE_SUBSYSTEM_EFI_ROM
IMAGE_SUBSYSTEM_EFI_ROM类型是用来表示一个EFI ROM镜像。
IMAGE_SUBSYSTEM_XBOX
IMAGE_SUBSYSTEM_XBOX类型是用来表示一个Xbox系统。
IMAGE_SUBSYSTEM_WINDOWS_BOOT_APPLICATION
IMAGE_SUBSYSTEM_WINDOWS_BOOT_APPLICATION类型用于指示一个启动应用程序。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityObjectProtocolType限制一个字符串值的一组特定的价值观:TCP和UDP。这些值描述一个端口可用不同的协议。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityObjectStringType
价值 描述 TCP
端口使用传输控制协议(TCP)。
UDP
端口使用用户数据报协议(UDP)。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateProtocolType限制一个字符串值的一组特定的价值观:TCP和UDP。这些值描述一个端口可用不同的协议。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 TCP
端口使用传输控制协议(TCP)。
UDP
端口使用用户数据报协议(UDP)。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityObjectRegistryHiveType限制一个字符串值的一组特定的价值观:HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_CURRENT_USER HKEY_LOCAL_MACHINE, HKEY_USERS。这些值在注册表中描述可能的蜂巢。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityObjectStringType
价值 描述 HKEY_CLASSES_ROOT
这个注册表子树包含信息,将文件类型与项目,并为自动化配置数据(例如COM对象和Visual Basic程序)。
HKEY_CURRENT_CONFIG
这个注册表子树包含当前硬件配置文件的配置数据。
HKEY_CURRENT_USER
这个注册表子树包含了用户配置文件的用户正在登录到系统。
HKEY_LOCAL_MACHINE
这个注册表子树包含本地系统的信息。
HKEY_USERS
这个注册表子树包含特定于用户的数据。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateRegistryHiveType限制一个字符串值的一组特定的价值观:HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG, HKEY_CURRENT_USER HKEY_LOCAL_MACHINE, HKEY_USERS。这些值在注册表中描述可能的蜂巢。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 HKEY_CLASSES_ROOT
这个注册表子树包含信息,将文件类型与项目,并为自动化配置数据(例如COM对象和Visual Basic程序)。
HKEY_CURRENT_CONFIG
这个注册表子树包含当前硬件配置文件的配置数据。
HKEY_CURRENT_USER
这个注册表子树包含了用户配置文件的用户正在登录到系统。
HKEY_LOCAL_MACHINE
这个注册表子树包含本地系统的信息。
HKEY_USERS
这个注册表子树包含特定于用户的数据。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateRegistryTypeType复杂类型定义了不同类型实体的值是有效的注册状态。这些值描述的类型的数据存储在一个注册表键。空字符串也可以作为一个有效的值来支持一个空元素,发现当一个变量引用中使用实体类型。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。请注意,类型的值确定实体和无效数据类型属性的值。椭圆形的信息如何编码注册表数据为每个不同的类型,请访问registry_state文档。
限制:oval-def: EntityStateStringType
价值 描述 reg_binary
reg_binary类型使用注册表键值,指定任何形式的二进制数据。
reg_dword
reg_dword类型使用注册表键值,指定一个32位无符号整数。
reg_dword_little_endian
reg_dword_little_endian类型使用注册表键,低位优先指定一个32位无符号整数。它的目的是低位优先的计算机体系结构上运行。
reg_dword_big_endian
reg_dword_big_endian类型使用注册表键值,指定一个无符号32位大端整数。它的目的是大端法计算机体系结构上运行。
reg_expand_sz
reg_expand_sz类型使用注册表键以null结尾的字符串来指定包含未展开的环境变量的引用(例如,“% %”)。
reg_link
reg_link类型使用的注册表键以null结尾unicode字符串。它与目标路径RegCreateKeyEx创建一个符号链接的功能。
reg_multi_sz
reg_multi_sz类型使用注册表键值,指定一个以null结尾的字符串数组,由两个空字符结束。
reg_none
reg_none类型使用注册表键值没有定义的值类型。
reg_qword
reg_qword类型使用注册表键值指定64位无符号整数。
reg_qword_little_endian
reg_qword_little_endian类型使用注册表键值,指定一个未签名的64位整数在低位优先的计算机体系结构。
reg_sz
reg_sz类型使用注册表键值指定一个以null结尾的字符串。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateServiceAcceptedControlsType复杂类型定义了不同的值是有效的controls_accepted实体服务的。注意,Windows API返回一个DWORD值和椭圆形使用常数的名称,通常是为这些定义返回值。这样做是为了增加可读性和可维护性的椭圆的定义。空字符串也可以作为一个有效的值来支持一个空元素中使用变量引用时发现controls_accepted实体。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 SERVICE_ACCEPT_NETBINDCHANGE
SERVICE_ACCEPT_NETBINDCHANGE类型意味着服务是一个网络组件和可以接受改变绑定不停止或重新启动。的DWORD值对应的是0 x00000010。
SERVICE_ACCEPT_PARAMCHANGE
SERVICE_ACCEPT_PARAMCHANGE类型意味着服务可以重读启动参数不停止或重新启动。的DWORD值对应的是0 x00000008。
SERVICE_ACCEPT_PAUSE_CONTINUE
SERVICE_ACCEPT_PAUSE_CONTINUE类型意味着服务可以被暂停或继续。的DWORD值对应的是0 x00000002。
SERVICE_ACCEPT_PRESHUTDOWN
SERVICE_ACCEPT_PRESHUTDOWN类型意味着服务可以接收关闭前通知。的DWORD值对应的是0 x00000100。
SERVICE_ACCEPT_SHUTDOWN
SERVICE_ACCEPT_SHUTDOWN类型意味着服务可以接收关闭通知。的DWORD值对应的是0 x00000004。
SERVICE_ACCEPT_STOP
SERVICE_ACCEPT_STOP类型意味着服务可以停止了。的DWORD值对应的是0 x00000001。
SERVICE_ACCEPT_HARDWAREPROFILECHANGE
SERVICE_ACCEPT_HARDWAREPROFILECHANGE类型意味着服务可以系统的硬件配置文件变更时接收通知。的DWORD值对应的是0 x00000020。
SERVICE_ACCEPT_POWEREVENT
SERVICE_ACCEPT_POWEREVENT类型意味着服务可以接收通知当系统的权力地位已经改变了。的DWORD值对应的是0 x00000040。
SERVICE_ACCEPT_SESSIONCHANGE
SERVICE_ACCEPT_SESSIONCHANGE类型意味着服务时可以接收通知系统的会话状态发生了变化。的DWORD值对应的是0 x00000080。
SERVICE_ACCEPT_TIMECHANGE
SERVICE_ACCEPT_TIMECHANGE类型意味着服务可以接收通知,当系统时间的变化。的DWORD值对应的是0 x00000200。
SERVICE_ACCEPT_TRIGGEREVENT
SERVICE_ACCEPT_TRIGGEREVENT类型意味着服务时可以接收通知事件发生在系统注册的服务。的DWORD值对应的是0 x00000400。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateServiceCurrentStateType复杂类型定义了不同的值,为current_state实体的服务是有效的。注意,Windows API返回一个DWORD值和椭圆形使用常数的名称,通常是为这些定义返回值。这样做是为了增加可读性和可维护性的椭圆的定义。空字符串也可以作为一个有效的值来支持一个空元素,发现当一个变量引用中使用current_state实体。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 SERVICE_CONTINUE_PENDING
SERVICE_CONTINUE_PENDING类型意味着服务发送一个命令继续,然而,尚未执行的命令。的DWORD值对应的是0 x00000005。
SERVICE_PAUSE_PENDING
SERVICE_PAUSE_PENDING类型意味着服务发送一个命令暂停,但尚未执行的命令。的DWORD值对应的是0 x00000006。
SERVICE_PAUSED
SERVICE_PAUSED类型意味着服务暂停。的DWORD值对应的是0 x00000007。
SERVICE_RUNNING
SERVICE_RUNNING类型意味着服务正在运行。的DWORD值对应的是0 x00000004。
SERVICE_START_PENDING
SERVICE_START_PENDING类型意味着服务发送一个命令开始,然而,尚未执行的命令。的DWORD值对应的是0 x00000002。
SERVICE_STOP_PENDING
SERVICE_STOP_PENDING类型意味着服务发送一个命令停止,但尚未执行的命令。的DWORD值对应的是0 x00000003。
SERVICE_STOPPED
SERVICE_STOPPED类型意味着停止服务。的DWORD值对应的是0 x00000001。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateServiceStartTypeType复杂类型定义了不同的值是有效的start_type实体服务的。注意,Windows API返回一个DWORD值和椭圆形使用常数的名称,通常是为这些定义返回值。这样做是为了增加可读性和可维护性的椭圆的定义。空字符串也可以作为一个有效的值来支持一个空元素中使用变量引用时发现start_type实体。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 SERVICE_AUTO_START
SERVICE_AUTO_START类型意味着服务自动启动服务控制管理器(SCM)在启动。的DWORD值对应的是0 x00000002。
SERVICE_BOOT_START
SERVICE_BOOT_START类型意味着司机服务系统启动加载程序。的DWORD值对应的是0 x00000000。
SERVICE_DEMAND_START
SERVICE_DEMAND_START类型意味着服务是由服务控制管理器(SCM)当StartService ()。的DWORD值对应的是0 x00000003。
SERVICE_DISABLED
SERVICE_DISABLED类型意味着服务无法启动。的DWORD值对应的是0 x00000004。
SERVICE_SYSTEM_START
SERVICE_SYSTEM_START类型意味着服务是一个设备驱动程序由IoInitSystem ()。的DWORD值对应的是0 x00000001。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateServiceTypeType复杂类型定义了不同的值是有效的service_type实体服务的。注意,Windows API返回一个DWORD值和椭圆形使用常数的名称,通常是为这些定义返回值。这样做是为了增加可读性和可维护性的椭圆的定义。空字符串也可以作为一个有效的值来支持一个空元素中使用变量引用时发现service_type实体。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
限制:oval-def: EntityStateStringType
价值 描述 SERVICE_FILE_SYSTEM_DRIVER
SERVICE_FILE_SYSTEM_DRIVER类型意味着服务是一个文件系统驱动程序。的DWORD值对应的是0 x00000002。
SERVICE_KERNEL_DRIVER
SERVICE_KERNEL_DRIVER类型意味着服务是一个司机。的DWORD值对应的是0 x00000001。
SERVICE_WIN32_OWN_PROCESS
SERVICE_WIN32_OWN_PROCESS类型意味着服务运行在自己的过程。的DWORD值对应的是0 x00000010。
SERVICE_WIN32_SHARE_PROCESS
SERVICE_WIN32_SHARE_PROCESS类型意味着一个进程中运行服务和其他服务。的DWORD值对应的是0 x00000020。
SERVICE_INTERACTIVE_PROCESS
SERVICE_WIN32_SHARE_PROCESS类型意味着一个进程中运行服务和其他服务。的DWORD值对应的是0 x00000100。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateSharedResourceTypeType复杂类型定义了不同的值是有效的共享资源的类型实体的状态。注意,Windows API返回一个DWORD值和椭圆形使用常数的名称,通常是为这些定义返回值。这样做是为了增加可读性和可维护性的椭圆的定义。空字符串也可以作为一个有效的值来支持一个空元素,发现当一个变量引用中使用实体类型。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。
同样重要的是要注意,特殊的共享资源是用于远程管理,进程间通信和管理股票。
限制:oval-def: EntityStateStringType
价值 描述 STYPE_DISKTREE
STYPE_DISKTREE类型意味着共享资源是一个磁盘驱动器。的DWORD值对应的是0 x00000000。
STYPE_DISKTREE_SPECIAL
STYPE_DISKTREE_SPECIAL类型意味着共享资源是一种特殊的磁盘驱动器。的DWORD值对应的是0 x80000000。
STYPE_DISKTREE_TEMPORARY
STYPE_DISKTREE_TEMPORARY类型意味着共享资源是一个临时磁盘驱动器。的DWORD值对应的是0 x40000000。
STYPE_DISKTREE_SPECIAL_TEMPORARY
STYPE_DISKTREE_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的磁盘驱动器。的DWORD值对应的是0 xc0000000。
STYPE_PRINTQ
STYPE_PRINTQ类型意味着共享资源是一个打印队列。的DWORD值对应的是0 x00000001。
STYPE_PRINTQ_SPECIAL
STYPE_PRINTQ_SPECIAL类型意味着共享资源是一种特殊的打印队列。的DWORD值对应的是0 x80000001。
STYPE_PRINTQ_TEMPORARY
STYPE_PRINTQ_TEMPORARY类型意味着共享资源是一个临时打印队列。的DWORD值对应的是0 x40000001。
STYPE_PRINTQ_SPECIAL_TEMPORARY
STYPE_PRINTQ_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的打印队列。的DWORD值对应的是0 xc0000001。
STYPE_DEVICE
STYPE_DEVICE类型意味着共享资源是一个交流工具。的DWORD值对应的是0 x00000002。
STYPE_DEVICE_SPECIAL
STYPE_DEVICE_SPECIAL类型意味着共享资源是一种特殊的通信设备。的DWORD值对应的是0 x80000002。
STYPE_DEVICE_TEMPORARY
STYPE_DEVICE_TEMPORARY类型意味着共享资源是一个临时通信设备。的DWORD值对应的是0 x40000002。
STYPE_DEVICE_SPECIAL_TEMPORARY
STYPE_DEVICE_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的通信设备。的DWORD值对应的是0 xc0000002。
STYPE_IPC
STYPE_IPC类型意味着共享资源是一种进程间通信。的DWORD值对应的是0 x00000003。
STYPE_IPC_SPECIAL
STYPE_IPC_SPECIAL类型意味着共享资源是一个特殊的进程间通信。的DWORD值对应的是0 x80000003。
STYPE_IPC_TEMPORARY
STYPE_IPC_TEMPORARY类型意味着共享资源是一个临时的进程间通信。的DWORD值对应的是0 x40000003。
STYPE_IPC_SPECIAL_TEMPORARY
STYPE_IPC_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的进程间通信。的DWORD值对应的是0 xc0000003。
STYPE_SPECIAL
STYPE_SPECIAL类型意味着这是一个特殊的份额用于进程间通信(IPC)美元或服务器的远程管理(管理)。也可以指行政股如加元,D美元,美元,等等。的DWORD值对应的是0 x40000000。
弃用的版本:5.6
原因:在椭圆形的5.6版本的语言,EntityStateSharedResourceTypeType改为包括所有不同的共享资源类型的微软的文档中指定shi2_type SHARE_INFO_2结构的成员。结果,STYPE_SPECIAL价值本身是不再有效,因为它会等于STYPE_DISKTREE_SPECIAL值(0 x80000000) STYPE_DISKTREE (0 x00000000)或会与STYPE_SPECIAL (0 x80000000)。
备注:这个值已经弃用,在6.0版本的语言将被删除。STYPE_TEMPORARY
STYPE_TEMPORARY类型意味着共享资源是一个临时的份额。的DWORD值对应的是0 x80000000。
弃用的版本:5.6
原因:在椭圆形的5.6版本的语言,EntityStateSharedResourceTypeType改为包括所有不同的共享资源类型的微软的文档中指定shi2_type SHARE_INFO_2结构的成员。结果,STYPE_TEMPORARY价值本身是不再有效,因为它会等于STYPE_DISKTREE_TEMPORARY值(0 x40000000) STYPE_DISKTREE (0 x00000000)或会与STYPE_TEMPORARY (0 x40000000)。
备注:这个值已经弃用,在6.0版本的语言将被删除。空字符串值允许在这里允许空元素与变量引用相关联。
EntityObjectSystemMetricIndexType复杂类型定义了不同的值是有效的索引系统度量对象的实体。这些值描述检索系统指标或配置设置。空字符串也可以作为一个有效的值来支持一个空元素,发现当一个变量引用中使用索引的实体。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。请注意,指数的值确定实体和无效数据类型属性的值。
限制:oval-def: EntityObjectStringType
价值 描述 SM_ARRANGE
标志指定系统如何安排最小化窗口。
SM_CLEANBOOT
的值指定了系统是如何开始的。
SM_CMONITORS
在桌面显示监视器的数量。
SM_CMOUSEBUTTONS
鼠标上的按钮数量或零如果没有鼠标安装。
SM_CXBORDER
一个窗口边界的宽度,以像素为单位。这相当于SM_CXEDGE值为windows的三维外观。
SM_CXCURSOR
一个游标的宽度,以像素为单位。其它尺寸的系统不能创建游标。
SM_CXDLGFRAME
这个值是SM_CXFIXEDFRAME一样。
SM_CXDOUBLECLK
矩形的宽度在第一次点击的位置双击序列,以像素为单位。
SM_CXDRAG
两边的像素数量的鼠标点下时,鼠标指针拖拽操作开始前可以移动。
SM_CXEDGE
3 d边界的宽度,以像素为单位。这个指标指的是SM_CXBORDER的3 d对应。
SM_CXFIXEDFRAME
框架的厚度的四周的窗口标题但不是相当大,在像素。
SM_CXFOCUSBORDER
左和右边缘的宽度的焦点矩形DrawFocusRect吸引。
SM_CXFRAME
这个值是SM_CXSIZEFRAME一样。
SM_CXFULLSCREEN
全屏窗口的客户区域的宽度在主显示屏,以像素为单位。
SM_CXHSCROLL
箭头位图的宽度在一个水平滚动条,以像素为单位。
SM_CXHTHUMB
拇指的宽度框在一个水平滚动条,以像素为单位。
SM_CXICON
一个图标的默认宽度,以像素为单位。
SM_CXICONSPACING
物品的网格单元的宽度大图标视图,以像素为单位。
SM_CXMAXIMIZED
默认的宽度,以像素为单位,最大化的顶级窗口在主显示屏上。
SM_CXMAXTRACK
默认最大宽度的一个窗口,有一个标题和规模边界,以像素为单位。
SM_CXMENUCHECK
默认菜单可选位图的宽度,以像素为单位。
SM_CXMENUSIZE
菜单栏按钮的宽度,如子窗口关闭按钮在多个文档中使用的接口,以像素为单位。
SM_CXMIN
一个窗口的最小宽度,以像素为单位。
SM_CXMINIMIZED
最小化窗口的宽度,以像素为单位。
SM_CXMINSPACING
一个网格单元最小化窗口的宽度,以像素为单位。
SM_CXMINTRACK
最小的跟踪窗口的宽度,以像素为单位。
SM_CXPADDEDBORDER
标题窗口的边界填充量,像素。
SM_CXSCREEN
主显示器屏幕的宽度,以像素为单位。
SM_CXSIZE
一个按钮的宽度在一个窗口标题或标题栏,以像素为单位。
SM_CXSIZEFRAME
上浆的四周边界的厚度可以调整窗口大小,以像素为单位。
SM_CXSMICON
推荐的一个小图标的宽度,以像素为单位。
SM_CXSMSIZE
小标题按钮的宽度,以像素为单位。
SM_CXVIRTUALSCREEN
虚拟屏幕的宽度,以像素为单位。
SM_CXVSCROLL
垂直滚动条的宽度,以像素为单位。
SM_CYBORDER
一个窗口边界的高度,以像素为单位。
SM_CYCAPTION
标题区域的高度,以像素为单位。
SM_CYCURSOR
一个游标的高度,以像素为单位。
SM_CYDLGFRAME
这个值是SM_CYFIXEDFRAME一样。
SM_CYDOUBLECLK
矩形的高度在第一次点击的位置双击序列,以像素为单位。
SM_CYDRAG
像素的数量上下一个鼠标点下时,鼠标指针拖拽操作开始前可以移动。
SM_CYEDGE
3 d边界的高度,以像素为单位。这是3 d SM_CYBORDER同行。
SM_CYFIXEDFRAME
框架的厚度的四周的窗口标题但不是相当大,在像素。
SM_CYFOCUSBORDER
顶部和底部的高度由DrawFocusRect边缘的焦点矩形。这个值是在像素。
SM_CYFRAME
这个值是SM_CYSIZEFRAME一样。
SM_CYFULLSCREEN
全屏窗口的客户区域的高度在主显示屏,以像素为单位。
SM_CYHSCROLL
一个水平滚动条的高度,以像素为单位。
SM_CYICON
默认的图标的高度,以像素为单位。
SM_CYICONSPACING
一个网格单元的高度的物品在大图标视图中,在像素。
SM_CYKANJIWINDOW
对于双字节字符集版本的系统,这是汉字的高度窗口在屏幕的底部,以像素为单位。
SM_CYMAXIMIZED
默认的高度,以像素为单位,最大化的顶级窗口在主显示屏上。
SM_CYMAXTRACK
默认最大高度的一个窗口,有一个标题和规模边界,以像素为单位。
SM_CYMENU
一个单行的菜单栏的高度,以像素为单位。
SM_CYMENUCHECK
默认的菜单可选位图的高度,以像素为单位。
SM_CYMENUSIZE
菜单栏按钮的高度,如子窗口关闭按钮在多个文档中使用的接口,以像素为单位。
SM_CYMIN
一个窗口的最小高度,以像素为单位。
SM_CYMINIMIZED
最小化窗口的高度,以像素为单位。
SM_CYMINSPACING
最小化窗口的网格单元的高度,以像素为单位。
SM_CYMINTRACK
最低跟踪窗口的高度,以像素为单位。
SM_CYSCREEN
主显示器屏幕的高度,以像素为单位。
SM_CYSIZE
一个按钮的高度在一个窗口标题或标题栏,以像素为单位。
SM_CYSIZEFRAME
上浆的四周边界的厚度可以调整窗口大小,以像素为单位。
SM_CYSMCAPTION
一个小标题的高度,以像素为单位。
SM_CYSMICON
推荐一个小图标的高度,以像素为单位。
SM_CYSMSIZE
小标题按钮的高度,以像素为单位。
SM_CYVIRTUALSCREEN
虚拟屏幕的高度,以像素为单位。虚拟屏幕的边界矩形显示监视器。
SM_CYVSCROLL
箭头的高度位图在一个垂直滚动条,以像素为单位。
SM_CYVTHUMB
拇指盒子的高度在一个垂直滚动条,以像素为单位。
SM_DBCSENABLED
如果User32非零。dll支持DBCS;否则,0。
SM_DEBUG
非零如果调试版本的用户。exe安装;否则,0。
SM_DIGITIZER
非零如果当前操作系统Windows 7或Windows Server 2008 R2和平板电脑输入服务启动;否则,0。返回值是一个指定的位掩码数字化仪输入的类型支持的设备。
SM_IMMENABLED
非零如果输入法管理器/输入法编辑器功能启用;否则,0。
SM_MAXIMUMTOUCHES
非零如果有数字化仪的系统;否则,0。
SM_MEDIACENTER
非零如果当前操作系统是Windows XP,媒体中心版,如果不是0。
SM_MENUDROPALIGNMENT
非零如果下拉菜单右对齐,对应的菜单栏项目;0如果菜单左对齐。
SM_MIDEASTENABLED
非零如果系统是支持希伯来语和阿拉伯语语言,如果不是0。
SM_MOUSEPRESENT
非零如果鼠标安装;否则,0。
SM_MOUSEHORIZONTALWHEELPRESENT
非零如果鼠标水平滚动轮安装;否则0。
SM_MOUSEWHEELPRESENT
非零如果鼠标垂直滚动轮安装;否则0。
SM_NETWORK
最低有效位设置如果网络存在;否则,它将被清除。
SM_PENWINDOWS
非零的Microsoft Windows笔计算扩展安装;否则为0。
SM_REMOTECONTROL
这个系统指标中使用终端服务环境来确定当前终端服务器会话被远程控制。它的值是零,如果当前会话是远程控制;否则,0。
SM_REMOTESESSION
这个系统指标中使用终端服务环境。如果调用过程与终端服务客户端会话相关联时,返回值是零。如果调用过程与终端服务控制台会话,返回值是0。
SM_SAMEDISPLAYFORMAT
非零如果所有显示监视器有相同的颜色格式,否则,0。
SM_SECURE
这个系统指标应该被忽略;它总是返回0。
SM_SERVERR2
构建数字如果系统是Windows Server 2003 R2;否则,0。
SM_SHOWSOUNDS
非零如果用户需要一个应用程序呈现信息可视化在它原本存在的信息的情况下只以声音形式;否则,0。
SM_SHUTTINGDOWN
非零如果当前会话关闭;否则,0。
SM_SLOWMACHINE
非零如果计算机有一个低端的处理器(慢);否则,0。
SM_STARTER
非零如果当前操作系统Windows 7 Starter版本,Windows Vista起动器,或Windows XP Starter版本;否则,0。
SM_SWAPBUTTON
非零的含义左和右鼠标按键交换;否则,0。
SM_TABLETPC
非零如果当前操作系统Windows XP平板电脑版或如果当前操作系统Windows Vista和Windows 7平板电脑输入服务启动;否则,0。
SM_XVIRTUALSCREEN
左边的坐标虚拟屏幕上。
SM_YVIRTUALSCREEN
虚拟屏幕的顶部的坐标。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateSystemMetricIndexType复杂类型定义了不同的值是有效的索引systemmetric_state的实体。这些值描述检索系统指标或配置设置。空字符串也可以作为一个有效的值来支持一个空元素,发现当一个变量引用中使用索引的实体。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。请注意,指数的值确定实体和无效数据类型属性的值。
限制:oval-def: EntityStateStringType
价值 描述 SM_ARRANGE
标志指定系统如何安排最小化窗口。
SM_CLEANBOOT
的值指定了系统是如何开始的。
SM_CMONITORS
在桌面显示监视器的数量。
SM_CMOUSEBUTTONS
鼠标上的按钮数量或零如果没有鼠标安装。
SM_CXBORDER
一个窗口边界的宽度,以像素为单位。这相当于SM_CXEDGE值为windows的三维外观。
SM_CXCURSOR
一个游标的宽度,以像素为单位。其它尺寸的系统不能创建游标。
SM_CXDLGFRAME
这个值是SM_CXFIXEDFRAME一样。
SM_CXDOUBLECLK
矩形的宽度在第一次点击的位置双击序列,以像素为单位。
SM_CXDRAG
两边的像素数量的鼠标点下时,鼠标指针拖拽操作开始前可以移动。
SM_CXEDGE
3 d边界的宽度,以像素为单位。这个指标指的是SM_CXBORDER的3 d对应。
SM_CXFIXEDFRAME
框架的厚度的四周的窗口标题但不是相当大,在像素。
SM_CXFOCUSBORDER
左和右边缘的宽度的焦点矩形DrawFocusRect吸引。
SM_CXFRAME
这个值是SM_CXSIZEFRAME一样。
SM_CXFULLSCREEN
全屏窗口的客户区域的宽度在主显示屏,以像素为单位。
SM_CXHSCROLL
箭头位图的宽度在一个水平滚动条,以像素为单位。
SM_CXHTHUMB
拇指的宽度框在一个水平滚动条,以像素为单位。
SM_CXICON
一个图标的默认宽度,以像素为单位。
SM_CXICONSPACING
物品的网格单元的宽度大图标视图,以像素为单位。
SM_CXMAXIMIZED
默认的宽度,以像素为单位,最大化的顶级窗口在主显示屏上。
SM_CXMAXTRACK
默认最大宽度的一个窗口,有一个标题和规模边界,以像素为单位。
SM_CXMENUCHECK
默认菜单可选位图的宽度,以像素为单位。
SM_CXMENUSIZE
菜单栏按钮的宽度,如子窗口关闭按钮在多个文档中使用的接口,以像素为单位。
SM_CXMIN
一个窗口的最小宽度,以像素为单位。
SM_CXMINIMIZED
最小化窗口的宽度,以像素为单位。
SM_CXMINSPACING
一个网格单元最小化窗口的宽度,以像素为单位。
SM_CXMINTRACK
最小的跟踪窗口的宽度,以像素为单位。
SM_CXPADDEDBORDER
标题窗口的边界填充量,像素。
SM_CXSCREEN
主显示器屏幕的宽度,以像素为单位。
SM_CXSIZE
一个按钮的宽度在一个窗口标题或标题栏,以像素为单位。
SM_CXSIZEFRAME
上浆的四周边界的厚度可以调整窗口大小,以像素为单位。
SM_CXSMICON
推荐的一个小图标的宽度,以像素为单位。
SM_CXSMSIZE
小标题按钮的宽度,以像素为单位。
SM_CXVIRTUALSCREEN
虚拟屏幕的宽度,以像素为单位。
SM_CXVSCROLL
垂直滚动条的宽度,以像素为单位。
SM_CYBORDER
一个窗口边界的高度,以像素为单位。
SM_CYCAPTION
标题区域的高度,以像素为单位。
SM_CYCURSOR
一个游标的高度,以像素为单位。
SM_CYDLGFRAME
这个值是SM_CYFIXEDFRAME一样。
SM_CYDOUBLECLK
矩形的高度在第一次点击的位置双击序列,以像素为单位。
SM_CYDRAG
像素的数量上下一个鼠标点下时,鼠标指针拖拽操作开始前可以移动。
SM_CYEDGE
3 d边界的高度,以像素为单位。这是3 d SM_CYBORDER同行。
SM_CYFIXEDFRAME
框架的厚度的四周的窗口标题但不是相当大,在像素。
SM_CYFOCUSBORDER
顶部和底部的高度由DrawFocusRect边缘的焦点矩形。这个值是在像素。
SM_CYFRAME
这个值是SM_CYSIZEFRAME一样。
SM_CYFULLSCREEN
全屏窗口的客户区域的高度在主显示屏,以像素为单位。
SM_CYHSCROLL
一个水平滚动条的高度,以像素为单位。
SM_CYICON
默认的图标的高度,以像素为单位。
SM_CYICONSPACING
一个网格单元的高度的物品在大图标视图中,在像素。
SM_CYKANJIWINDOW
对于双字节字符集版本的系统,这是汉字的高度窗口在屏幕的底部,以像素为单位。
SM_CYMAXIMIZED
默认的高度,以像素为单位,最大化的顶级窗口在主显示屏上。
SM_CYMAXTRACK
默认最大高度的一个窗口,有一个标题和规模边界,以像素为单位。
SM_CYMENU
一个单行的菜单栏的高度,以像素为单位。
SM_CYMENUCHECK
默认的菜单可选位图的高度,以像素为单位。
SM_CYMENUSIZE
菜单栏按钮的高度,如子窗口关闭按钮在多个文档中使用的接口,以像素为单位。
SM_CYMIN
一个窗口的最小高度,以像素为单位。
SM_CYMINIMIZED
最小化窗口的高度,以像素为单位。
SM_CYMINSPACING
最小化窗口的网格单元的高度,以像素为单位。
SM_CYMINTRACK
最低跟踪窗口的高度,以像素为单位。
SM_CYSCREEN
主显示器屏幕的高度,以像素为单位。
SM_CYSIZE
一个按钮的高度在一个窗口标题或标题栏,以像素为单位。
SM_CYSIZEFRAME
上浆的四周边界的厚度可以调整窗口大小,以像素为单位。
SM_CYSMCAPTION
一个小标题的高度,以像素为单位。
SM_CYSMICON
推荐一个小图标的高度,以像素为单位。
SM_CYSMSIZE
小标题按钮的高度,以像素为单位。
SM_CYVIRTUALSCREEN
虚拟屏幕的高度,以像素为单位。虚拟屏幕的边界矩形显示监视器。
SM_CYVSCROLL
箭头的高度位图在一个垂直滚动条,以像素为单位。
SM_CYVTHUMB
拇指盒子的高度在一个垂直滚动条,以像素为单位。
SM_DBCSENABLED
如果User32非零。dll支持DBCS;否则,0。
SM_DEBUG
非零如果调试版本的用户。exe安装;否则,0。
SM_DIGITIZER
非零如果当前操作系统Windows 7或Windows Server 2008 R2和平板电脑输入服务启动;否则,0。返回值是一个指定的位掩码数字化仪输入的类型支持的设备。
SM_IMMENABLED
非零如果输入法管理器/输入法编辑器功能启用;否则,0。
SM_MAXIMUMTOUCHES
非零如果有数字化仪的系统;否则,0。
SM_MEDIACENTER
非零如果当前操作系统是Windows XP,媒体中心版,如果不是0。
SM_MENUDROPALIGNMENT
非零如果下拉菜单右对齐,对应的菜单栏项目;0如果菜单左对齐。
SM_MIDEASTENABLED
非零如果系统是支持希伯来语和阿拉伯语语言,如果不是0。
SM_MOUSEPRESENT
非零如果鼠标安装;否则,0。
SM_MOUSEHORIZONTALWHEELPRESENT
非零如果鼠标水平滚动轮安装;否则0。
SM_MOUSEWHEELPRESENT
非零如果鼠标垂直滚动轮安装;否则0。
SM_NETWORK
最低有效位设置如果网络存在;否则,它将被清除。
SM_PENWINDOWS
非零的Microsoft Windows笔计算扩展安装;否则为0。
SM_REMOTECONTROL
这个系统指标中使用终端服务环境来确定当前终端服务器会话被远程控制。它的值是零,如果当前会话是远程控制;否则,0。
SM_REMOTESESSION
这个系统指标中使用终端服务环境。如果调用过程与终端服务客户端会话相关联时,返回值是零。如果调用过程与终端服务控制台会话,返回值是0。
SM_SAMEDISPLAYFORMAT
非零如果所有显示监视器有相同的颜色格式,否则,0。
SM_SECURE
这个系统指标应该被忽略;它总是返回0。
SM_SERVERR2
构建数字如果系统是Windows Server 2003 R2;否则,0。
SM_SHOWSOUNDS
非零如果用户需要一个应用程序呈现信息可视化在它原本存在的信息的情况下只以声音形式;否则,0。
SM_SHUTTINGDOWN
非零如果当前会话关闭;否则,0。
SM_SLOWMACHINE
非零如果计算机有一个低端的处理器(慢);否则,0。
SM_STARTER
非零如果当前操作系统Windows 7 Starter版本,Windows Vista起动器,或Windows XP Starter版本;否则,0。
SM_SWAPBUTTON
非零的含义左和右鼠标按键交换;否则,0。
SM_TABLETPC
非零如果当前操作系统Windows XP平板电脑版或如果当前操作系统Windows Vista和Windows 7平板电脑输入服务启动;否则,0。
SM_XVIRTUALSCREEN
左边的坐标虚拟屏幕上。
SM_YVIRTUALSCREEN
虚拟屏幕的顶部的坐标。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityObjectGUIDType限制GUID的表示一个字符串值,用于模块ID。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与指定的模式限制一致。
限制:oval-def: EntityObjectStringType
模式 (\ {[a-fA-F0-9] {8} - {4} [a-fA-F0-9] [a-fA-F0-9] {4} - {4} [a-fA-F0-9] [a-fA-F0-9] {12} \}) {0}
EntityStateGUIDType限制GUID的表示一个字符串值,用于模块ID。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与指定的模式限制一致。
限制:oval-def: EntityStateStringType
模式 (\ {[a-fA-F0-9] {8} - {4} [a-fA-F0-9] [a-fA-F0-9] {4} - {4} [a-fA-F0-9] [a-fA-F0-9] {12} \}) {0}
EntityObjectCmdletVerbType限制一个字符串值的一组允许cmdlet动词。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与指定的模式限制一致。
限制:oval-def: EntityObjectStringType
价值 描述 批准
通过动词确认或同意一个资源的状态或过程。
断言
断言动词肯定一个资源的状态。
比较
比较动词评估数据从一个资源与数据从另一个资源。
确认
确认动词承认,验证或验证,资源的状态或过程。
找到
找到动词寻找一个对象在一个容器,是未知的,隐含的、可选的,或指定。
得到
把动词指定检索资源的行动。
进口
导入动词创建一个资源从数据存储在一个持久数据存储(如文件)或在一个交换格式。
测量
测量动词识别资源被指定的操作,或者检索统计信息资源。
读
读动词获得信息从源。
请求
动词要求资源的请求或要求权限。
解决
解决动词的速记表示资源映射到一个更完整的表示。
搜索
搜索动词一个容器中创建一个引用的资源。
选择
选择动词定位资源的容器。
显示
展示动词使资源对用户可见。
测试
测试动词验证操作或资源的一致性。
跟踪
跟踪动词追踪资源的活动。
看
看动词不断检查或监视资源的变化。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateCmdletVerbType限制一个字符串值的一组允许cmdlet动词。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与指定的模式限制一致。
限制:oval-def: EntityStateStringType
价值 描述 批准
通过动词确认或同意一个资源的状态或过程。
断言
断言动词肯定一个资源的状态。
比较
比较动词评估数据从一个资源与数据从另一个资源。
确认
确认动词承认,验证或验证,资源的状态或过程。
找到
找到动词寻找一个对象在一个容器,是未知的,隐含的、可选的,或指定。
得到
把动词指定检索资源的行动。
进口
导入动词创建一个资源从数据存储在一个持久数据存储(如文件)或在一个交换格式。
测量
测量动词识别资源被指定的操作,或者检索统计信息资源。
读
读动词获得信息从源。
请求
动词要求资源的请求或要求权限。
解决
解决动词的速记表示资源映射到一个更完整的表示。
搜索
搜索动词一个容器中创建一个引用的资源。
选择
选择动词定位资源的容器。
显示
展示动词使资源对用户可见。
测试
测试动词验证操作或资源的一致性。
跟踪
跟踪动词追踪资源的活动。
看
看动词不断检查或监视资源的变化。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateWindowsViewType限制一个字符串值的一组特定的价值观:32位和64位。这些值描述不同的值的窗口视图的行为。
限制:oval-def: EntityStateStringType
价值 描述 32 _bit
表明32 _bit窗口视图。
64年_bit
表明64 _bit windows视图。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityObjectUserRightType限制一个字符串值的一组特定的值,描述了不同的用户权利或特权。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与指定的模式限制一致。
限制:oval-def: EntityObjectStringType
价值 描述 SE_ASSIGNPRIMARYTOKEN_NAME
这种特权必须分配过程的主要标记。
SE_AUDIT_NAME
这种特权必须生成审核日志条目。
SE_BACKUP_NAME
这种特权必须执行备份操作。
SE_CHANGE_NOTIFY_NAME
这种特权必须接收通知的更改文件或目录。
SE_CREATE_GLOBAL_NAME
这种特权必须创建命名文件映射对象的全局名称空间在终端服务会话。
SE_CREATE_PAGEFILE_NAME
这种特权必须创建一个分页文件。
SE_CREATE_PERMANENT_NAME
这种特权必须创建一个永久对象。
SE_CREATE_SYMBOLIC_LINK_NAME
这种特权必须创建一个符号链接。
SE_CREATE_TOKEN_NAME
这种特权必须创建一个主令牌。
SE_DEBUG_NAME
这种特权必须调试和调整过程被另一个账户拥有的记忆。
SE_ENABLE_DELEGATION_NAME
这种特权必须马克用户和计算机账户作为代表团的信任。
SE_IMPERSONATE_NAME
这种特权必须模仿。
SE_INC_BASE_PRIORITY_NAME
这种特权必须增加流程的基础优先。
SE_INCREASE_QUOTA_NAME
这种特权必须增加配额分配给一个过程。
SE_INC_WORKING_SET_NAME
这种特权需要分配更多的内存的应用程序运行在用户的上下文中。
SE_LOAD_DRIVER_NAME
这种特权必须加载和卸载设备驱动程序。
SE_LOCK_MEMORY_NAME
这种特权必须锁定在内存中物理页。
SE_MACHINE_ACCOUNT_NAME
这种特权必须创建一个计算机帐户。
SE_MANAGE_VOLUME_NAME
这种特权必须启用卷管理特权。
SE_PROF_SINGLE_PROCESS_NAME
这种特权必须收集剖析信息为一个过程。
SE_RELABEL_NAME
这种特权必须修改强制完整性级别的一个对象。
SE_REMOTE_SHUTDOWN_NAME
这种特权必须关闭一个系统使用一个网络请求。
SE_RESTORE_NAME
这种特权必须执行恢复操作。
SE_SECURITY_NAME
这种特权必须执行一些与安全相关的功能,如控制和查看审计信息。
SE_SHUTDOWN_NAME
这种特权必须关闭本地系统。
SE_SYNC_AGENT_NAME
这种特权域控制器需要使用轻量级目录访问协议目录同步服务。
SE_SYSTEM_ENVIRONMENT_NAME
这种特权必须修改系统的非易失性RAM使用这种类型的内存来存储配置信息。
SE_SYSTEM_PROFILE_NAME
这种特权必须对整个系统收集分析信息。
SE_SYSTEMTIME_NAME
这种特权必须修改系统时间。
SE_TAKE_OWNERSHIP_NAME
这需要特权没有被授予全权访问一个对象的所有权。
SE_TCB_NAME
这种特权标识其持有人作为可信计算机基础的一部分。
SE_TIME_ZONE_NAME
这种特权必须调整时区与计算机相关的内部时钟。
SE_TRUSTED_CREDMAN_ACCESS_NAME
需要这个特权访问凭据经理为受信任的调用方。
SE_UNDOCK_NAME
这种特权号需要一台笔记本电脑。
SE_UNSOLICITED_INPUT_NAME
这种特权必须阅读主动输入从一个终端设备。
SE_BATCH_LOGON_NAME
这个账户需要一个帐户登录使用批处理登录类型。
SE_DENY_BATCH_LOGON_NAME
这个账户明确否认一个帐户登录使用批处理登录类型。
SE_DENY_INTERACTIVE_LOGON_NAME
这个账户明确否认一个帐户登录使用交互式登录类型。
SE_DENY_NETWORK_LOGON_NAME
这个账户明确否认一个帐户登录使用网络登录的权利类型。
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
这个帐户正确的明确否认一个帐户正确的远程登录使用交互式登录类型。
SE_DENY_SERVICE_LOGON_NAME
这个账户明确否认一个帐户登录使用服务登录的权利类型。
SE_INTERACTIVE_LOGON_NAME
这个账户需要一个帐户登录使用交互式登录类型。
SE_NETWORK_LOGON_NAME
这个账户需要一个帐户登录使用网络登录类型。
SE_REMOTE_INTERACTIVE_LOGON_NAME
这个账户需要一个帐户登录远程使用交互式登录类型。
SE_SERVICE_LOGON_NAME
这个账户需要一个帐户登录使用服务登录类型。
空字符串值允许在这里允许空元素与变量引用相关联。
EntityStateUserRightType限制一个字符串值的一组特定的值,描述了不同的用户权利或特权。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与指定的模式限制一致。
限制:oval-def: EntityStateStringType
价值 描述 SE_ASSIGNPRIMARYTOKEN_NAME
这种特权必须分配过程的主要标记。
SE_AUDIT_NAME
这种特权必须生成审核日志条目。
SE_BACKUP_NAME
这种特权必须执行备份操作。
SE_CHANGE_NOTIFY_NAME
这种特权必须接收通知的更改文件或目录。
SE_CREATE_GLOBAL_NAME
这种特权必须创建命名文件映射对象的全局名称空间在终端服务会话。
SE_CREATE_PAGEFILE_NAME
这种特权必须创建一个分页文件。
SE_CREATE_PERMANENT_NAME
这种特权必须创建一个永久对象。
SE_CREATE_SYMBOLIC_LINK_NAME
这种特权必须创建一个符号链接。
SE_CREATE_TOKEN_NAME
这种特权必须创建一个主令牌。
SE_DEBUG_NAME
这种特权必须调试和调整过程被另一个账户拥有的记忆。
SE_ENABLE_DELEGATION_NAME
这种特权必须马克用户和计算机账户作为代表团的信任。
SE_IMPERSONATE_NAME
这种特权必须模仿。
SE_INC_BASE_PRIORITY_NAME
这种特权必须增加流程的基础优先。
SE_INCREASE_QUOTA_NAME
这种特权必须增加配额分配给一个过程。
SE_INC_WORKING_SET_NAME
这种特权需要分配更多的内存的应用程序运行在用户的上下文中。
SE_LOAD_DRIVER_NAME
这种特权必须加载和卸载设备驱动程序。
SE_LOCK_MEMORY_NAME
这种特权必须锁定在内存中物理页。
SE_MACHINE_ACCOUNT_NAME
这种特权必须创建一个计算机帐户。
SE_MANAGE_VOLUME_NAME
这种特权必须启用卷管理特权。
SE_PROF_SINGLE_PROCESS_NAME
这种特权必须收集剖析信息为一个过程。
SE_RELABEL_NAME
这种特权必须修改强制完整性级别的一个对象。
SE_REMOTE_SHUTDOWN_NAME
这种特权必须关闭一个系统使用一个网络请求。
SE_RESTORE_NAME
这种特权必须执行恢复操作。
SE_SECURITY_NAME
这种特权必须执行一些与安全相关的功能,如控制和查看审计信息。
SE_SHUTDOWN_NAME
这种特权必须关闭本地系统。
SE_SYNC_AGENT_NAME
这种特权域控制器需要使用轻量级目录访问协议目录同步服务。
SE_SYSTEM_ENVIRONMENT_NAME
这种特权必须修改系统的非易失性RAM使用这种类型的内存来存储配置信息。
SE_SYSTEM_PROFILE_NAME
这种特权必须对整个系统收集分析信息。
SE_SYSTEMTIME_NAME
这种特权必须修改系统时间。
SE_TAKE_OWNERSHIP_NAME
这需要特权没有被授予全权访问一个对象的所有权。
SE_TCB_NAME
这种特权标识其持有人作为可信计算机基础的一部分。
SE_TIME_ZONE_NAME
这种特权必须调整时区与计算机相关的内部时钟。
SE_TRUSTED_CREDMAN_ACCESS_NAME
需要这个特权访问凭据经理为受信任的调用方。
SE_UNDOCK_NAME
这种特权号需要一台笔记本电脑。
SE_UNSOLICITED_INPUT_NAME
这种特权必须阅读主动输入从一个终端设备。
SE_BATCH_LOGON_NAME
这个账户需要一个帐户登录使用批处理登录类型。
SE_DENY_BATCH_LOGON_NAME
这个账户明确否认一个帐户登录使用批处理登录类型。
SE_DENY_INTERACTIVE_LOGON_NAME
这个账户明确否认一个帐户登录使用交互式登录类型。
SE_DENY_NETWORK_LOGON_NAME
这个账户明确否认一个帐户登录使用网络登录的权利类型。
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
这个帐户正确的明确否认一个帐户正确的远程登录使用交互式登录类型。
SE_DENY_SERVICE_LOGON_NAME
这个账户明确否认一个帐户登录使用服务登录的权利类型。
SE_INTERACTIVE_LOGON_NAME
这个账户需要一个帐户登录使用交互式登录类型。
SE_NETWORK_LOGON_NAME
这个账户需要一个帐户登录使用网络登录类型。
SE_REMOTE_INTERACTIVE_LOGON_NAME
这个账户需要一个帐户登录远程使用交互式登录类型。
SE_SERVICE_LOGON_NAME
这个账户需要一个帐户登录使用服务登录类型。
空字符串值允许在这里允许空元素与变量引用相关联。