下面是一个描述的元素,类型和属性组成中的Windows特定的系统特征项开放脆弱性和评估语言(椭圆形)。每个项目是标准的扩展项目元素中定义的核心系统特征模式。通过扩展,每一项继承的一组元素和属性之间共享的所有椭圆物品。详细描述每个项目,应提供必要的信息,以了解每个元素和属性表示。本文档的目的是为开发人员和假设一些熟悉XML。高水平的描述不同的测试及其之间的交互关系核心系统模式不是这里描述特征。
椭圆形的模式是由斜方公司维护和开发的公共社区椭圆形。manbetx客户端首页欲了解更多信息,包括如何参与项目以及如何提交变更请求,请访问总统网站http://oval.mitre.org。
| 弃用的版本:5.11 原因:被userrights_item所取代。accesstoken_test患有可伸缩性问题域控制器上运行时,不应使用。看到userrights_item。 备注:这个对象已经弃用,可以在未来版本的语言。 |
访问令牌项目持有个人特权和权利的信息关联到一个特定的访问令牌。重要的是要注意,这些特权是特定于特定版本的Windows。因此,文档的版本的Windows应该咨询更多的信息。数据段中的每个特权和权利接受一个布尔值表示是否授予特权。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。
子元素 类型 MinOccurs MaxOccurs security_principle oval-sc: EntityItemStringType 0 1 安全原则包括用户或组与当地或域账户,和计算机帐户时创建的计算机加入域。在Windows中,安全原则是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。用户权限和权限来访问对象例如Active Directory对象,文件和注册表设置分配给安全原则。在域环境中,安全原则应该被识别的形式:“域\受托人的名字”。对当地安全原则的使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 seassignprimarytokenprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许父进程相关联的访问令牌替换为一个孩子的过程。 seauditprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个过程来生成审计记录在安全日志中。安全日志可用于跟踪系统的未经授权的访问。 sebackupprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户绕过系统备份文件和目录权限。有幸被选中只有当一个应用程序试图访问使用NTFS备份应用程序编程接口(API)。否则,正常的文件和目录权限申请。 sechangenotifyprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户通过用户否则没有访问的文件夹路径导航对象在NTFS文件系统或在注册表中。这种特权不允许用户列出文件夹的内容;它只允许用户遍历目录。 secreateglobalprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户创建命名文件映射对象的全局名称空间在终端服务会话。 secreatepagefileprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户创建和修改页面文件的大小。 secreatepermanentprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个进程创建一个目录对象在对象管理器。是有用的内核组件扩展对象名称空间。组件运行在内核模式本质上有这个特权。 secreatesymboliclinkprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户创建一个符号链接。 secreatetokenprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个进程创建一个访问令牌通过调用NtCreateToken()或其他token-creating api。 sedebugprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户将调试器附加到任何过程。它提供了访问敏感和关键的操作系统组件。 seenabledelegationprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户改变信任代表团设置在Active Directory用户或计算机对象。获得这种特权的用户或计算机还必须写访问帐户控制对象上的旗帜。 seimpersonateprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户后冒充客户端身份验证。 seincreasebasepriorityprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户增加基本优先级类的一个过程。 seincreasequotaprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个进程访问第二个过程增加处理器配额分配给第二个进程。 seincreaseworkingsetprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户增加一个工作集的过程。 seloaddriverprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户安装和删除驱动程序即插即用设备。 selockmemoryprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个进程保持物理内存中的数据,它可以防止系统分页虚拟内存磁盘上的数据。 semachineaccountprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户添加电脑到一个特定的领域。 semanagevolumeprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个非管理员或远程用户管理卷或磁盘。 seprofilesingleprocessprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个用户样本应用程序的性能的过程。 serelabelprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户修改一个对象标签。 seremoteshutdownprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个用户关闭一个计算机网络从远程位置。 serestoreprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个用户绕过当恢复备份文件和目录的文件和目录权限和设置任何有效的安全原则作为一个对象的所有者。 sesecurityprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户指定对象访问审计选项等个人资源文件,活动目录对象,注册表键。这种特权的用户也可以从事件查看器查看和清除安全日志。 seshutdownprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户关闭本地计算机。 sesyncagentprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个进程读目录中的所有对象和属性,无论保护对象和属性。这是需要为了使用轻量级目录访问协议(LDAP)目录同步(Dirsync)服务。 sesystemenvironmentprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许修改系统环境变量通过一个过程通过一个API或用户通过系统属性。 sesystemprofileprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个用户样本系统进程的性能。 sesystemtimeprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户在计算机的内部时钟调整时间。它不需要改变时区或其他显示系统时间的特性。 setakeownershipprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户把系统中任何可获得的对象的所有权,包括活动目录对象,NTFS文件和文件夹,打印机,注册表键值、服务、流程和线程。 setcbprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许一个过程假设任何用户的身份,从而获得用户授权访问的资源。 setimezoneprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户改变时区。 seundockprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户出坞便携式计算机的计算机通过点击弹出电脑开始菜单。 seunsolicitedinputprivilege oval-sc: EntityItemBoolType 0 1 如果启用了这个特权,它允许用户从终端读取的数据的设备。 sebatchlogonright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,它可以使用批处理登录登录类型。 seinteractivelogonright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,它可以使用交互式登录登录类型。 senetworklogonright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,它可以登录使用网络登录类型。 seremoteinteractivelogonright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,可以登录到计算机通过使用远程桌面连接。 seservicelogonright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,它可以使用服务登录登录类型。 sedenybatchLogonright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,明确否认了登录使用批处理登录类型的能力。 sedenyinteractivelogonright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,明确否认了登录使用交互式登录类型的能力。 sedenynetworklogonright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,明确否认能够登录使用网络登录类型。 sedenyremoteInteractivelogonright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,明确否认登录通过终端服务的能力。 sedenyservicelogonright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,明确否认了登录使用服务登录类型的能力。 setrustedcredmanaccessnameright oval-sc: EntityItemBoolType 0 1 如果这个权利分配一个账户,它可以访问凭据经理为受信任的调用方。
活动目录项拥有Windows active directory中的特定条目的信息。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。
注意,这尽管只支持简单的基于(string)值集合。看到activedirectory57_item对于更复杂的值。
子元素 类型 MinOccurs MaxOccurs naming_context win-sc: EntityItemNamingContextType 0 1 每个对象在active directory存在一定的命名上下文(也称为一个分区)。命名上下文被定义为一个对象的目录信息树(DIT)连同树中的每个对象服从它。有三个默认的命名上下文在Active Directory:域,配置,和模式。 relative_dn oval-sc: EntityItemStringType 0 1 relative_dn字段用来唯一地标识一个对象在指定的命名上下文。它包含所有的部分对象的专有名称除命名上下文。如果xsi: nil属性设置为true,那么项目代表的是更高层次的命名上下文。 属性 oval-sc: EntityItemStringType 0 1 指定了一个名为value包含的对象。 object_class oval-sc: EntityItemStringType 0 1 类的名称的对象是一个实例。 adstype win-sc: EntityItemAdstypeType 0 1 指定的信息的类型代表指定的属性。 价值 oval-sc: EntityItemAnySimpleType 0 无限 指定的active directory属性的实际值。
activedirectory57_item拥有Windows Active Directory中的特定条目的信息。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。
请注意,这个项目支持复杂的值的形式记录。对于简单的看到activedirectory_item(基于字符串)值集合。
子元素 类型 MinOccurs MaxOccurs naming_context win-sc: EntityItemNamingContextType 0 1 每个对象在active directory存在一定的命名上下文(也称为一个分区)。命名上下文被定义为一个对象的目录信息树(DIT)连同树中的每个对象服从它。有三个默认的命名上下文在Active Directory:域,配置,和模式。 relative_dn oval-sc: EntityItemStringType 0 1 relative_dn字段用来唯一地标识一个对象在指定的命名上下文。它包含所有的部分对象的专有名称除命名上下文。如果xsi: nil属性设置为true,那么项目代表的是更高层次的命名上下文。 属性 oval-sc: EntityItemStringType 0 1 指定了一个名为value包含的对象。 object_class oval-sc: EntityItemStringType 0 1 类的名称的对象是一个实例。 adstype win-sc: EntityItemAdstypeType 0 1 指定的信息的类型代表指定的属性。 价值 oval-sc: EntityItemRecordType 0 无限 指定的Active Directory属性的实际值。注意,虽然一个Active Directory属性可以包含结构化数据,需要收集多个相关领域,可以“记录”所描述的数据类型,它并非总是如此。它也可能是一个Active Directory属性只能包含一个值或值的数组。在这些情况下,没有一个名字来唯一地标识对应的字段(s)这是一个“记录”中的要求字段数据类型。因此,Active Directory属性的名称将用于唯一地标识字段(s),满足这一要求。如果Active Directory属性包含一个值,“记录”将有一个字段被Active Directory属性的名称。如果Active Directory属性包含一个数组的值,“记录”将有多个字段所有确定的Active Directory属性的名称
auditeventpolicy项列举不同类型的系统应该审计事件。定义的值出现在窗口的POLICY_AUDIT_EVENT_TYPE枚举和访问时通过LsaQueryInformationPolicy InformationClass PolicyAuditEventsInformation参数设置。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。
注意,当audinting禁用下面列出的每个实体应该设置为“AUDIT_NONE”。
子元素 类型 MinOccurs MaxOccurs account_logon win-sc: EntityItemAuditType 0 1 审计试图登录或注销系统。同时,审计试图建立一个网络连接。 account_management win-sc: EntityItemAuditType 0 1 审计试图创建、删除或更改用户或组帐户。同时,审计密码更改。 detailed_tracking win-sc: EntityItemAuditType 0 1 审计的特定事件,如程序激活,某些形式的处理重复,间接访问对象,进程退出。 directory_service_access win-sc: EntityItemAuditType 0 1 审计试图访问目录服务。 登录 win-sc: EntityItemAuditType 0 1 审计试图登录或注销系统。同时,审计试图建立一个网络连接。 object_access win-sc: EntityItemAuditType 0 1 审计试图访问可获得的对象,如文件。 policy_change win-sc: EntityItemAuditType 0 1 审计试图改变政策对象的规则。 privilege_use win-sc: EntityItemAuditType 0 1 审计试图使用特权。 系统 win-sc: EntityItemAuditType 0 1 审计试图关闭或重新启动计算机。此外,审计事件,影响系统安全或安全日志。
auditeventpolicysubcategories_item是用来保存信息审计事件策略设置在Windows系统。这些设置用于指定要监视的系统和网络活动。例如,如果credential_validation AUDIT_FAILURE元素有一个值,这意味着系统配置来记录所有成功尝试验证系统上的用户帐户。重要的是要注意,这些审计事件策略设置特定于特定版本的Windows。因此,文档版本的Windows应该咨询更多信息在每个设置。它扩展了标准中定义的ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。
注意,当audinting禁用下面列出的每个实体应该设置为“AUDIT_NONE”。
子元素 类型 MinOccurs MaxOccurs credential_validation win-sc: EntityItemAuditType 0 1 审计过程中产生的事件验证用户的登录凭据。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923f - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审核凭证验证 kerberos_authentication_service win-sc: EntityItemAuditType 0 1 审计产生的事件Kerberos身份验证票据授予请求。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9242 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审计Kerboros身份验证服务 kerberos_service_ticket_operations win-sc: EntityItemAuditType 0 1 审计产生的事件Kerberos服务票证请求。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9240 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审计Kerberos服务票操作 kerberos_ticket_events win-sc: EntityItemAuditType 0 1 审计产生的事件在Kerberos票据的验证提供了一个用户帐户登录请求。 other_account_logon_events win-sc: EntityItemAuditType 0 1 审计事件由更改用户帐户,不受其他帐户登录事件的类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9241 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户登录:审计其他帐户登录事件 application_group_management win-sc: EntityItemAuditType 0 1 审计产生的事件改变应用程序组。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9239 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核应用程序组管理 computer_account_management win-sc: EntityItemAuditType 0 1 审计产生的事件改变计算机帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9236 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核计算机帐户管理 distribution_group_management win-sc: EntityItemAuditType 0 1 审计事件分布变化所产生的群体。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9238 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核分配账户管理 other_account_management_events win-sc: EntityItemAuditType 0 1 审计事件由其他用户帐户的变化,不受其他帐户管理事件的类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923a - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核其他帐户管理事件 security_group_management win-sc: EntityItemAuditType 0 1 审计事件由安全组的变化。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9237 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核安全组管理 user_account_management win-sc: EntityItemAuditType 0 1 审计事件产生的更改用户帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9235 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:账户管理:审核用户帐户管理 dpapi_activity win-sc: EntityItemAuditType 0 1 审计事件时产生请求的数据保护应用程序接口。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922d - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计DPAPI活动 process_creation win-sc: EntityItemAuditType 0 1 审计产生的事件当一个进程创建或开始。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922b - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计进程创建 process_termination win-sc: EntityItemAuditType 0 1 审计过程结束时产生的事件。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922c - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计过程终止 rpc_events win-sc: EntityItemAuditType 0 1 审计事件产生的入站连接远程过程调用。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922e - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:详细的跟踪:审计RPC事件 directory_service_access win-sc: EntityItemAuditType 0 1 审计事件时产生一个Active Directory域服务对象访问。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923b - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计目录服务访问 directory_service_changes win-sc: EntityItemAuditType 0 1 审计产生的事件发生更改时,将活动目录域服务对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923c - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计目录服务的变化 directory_service_replication win-sc: EntityItemAuditType 0 1 审计事件时产生两个活动目录域服务域控制器复制。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923d - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计目录服务访问 detailed_directory_service_replication win-sc: EntityItemAuditType 0 1 审计产生的事件详细的活动目录域服务域控制器之间的复制。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce923e - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:DS访问:审计详细目录服务复制 account_lockout win-sc: EntityItemAuditType 0 1 审计产生的事件的一个失败的尝试登录一个锁定帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9217 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计帐户锁定 ipsec_extended_mode win-sc: EntityItemAuditType 0 1 审计产生的事件网络密钥交换和验证网络协议谈判在扩展模式。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921a - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计IPsec扩展模式 ipsec_main_mode win-sc: EntityItemAuditType 0 1 审计产生的事件网络密钥交换和验证网络协议谈判期间的主要模式。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9218 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:Logof /下线:审计IPsec的主要模式 ipsec_quick_mode win-sc: EntityItemAuditType 0 1 审计产生的事件网络密钥交换和验证网络协议在快速模式协商期间。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9219 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计IPsec快速模式 下线 win-sc: EntityItemAuditType 0 1 审计产生的事件关闭一个登录会话。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9216 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计下线 登录 win-sc: EntityItemAuditType 0 1 审计产生的事件的尝试登录一个用户帐户。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9215 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计登录 network_policy_server win-sc: EntityItemAuditType 0 1 审计产生的活动半径和网络访问保护用户访问请求。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9243 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计网络策略服务器 other_logon_logoff_events win-sc: EntityItemAuditType 0 1 审计事件由其他登录/登出事件中未涉及的登录/注销类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921c - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计其他登录/登出事件 special_logon win-sc: EntityItemAuditType 0 1 审计产生的事件特别登录。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921b - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计特殊的登录 logon_claims win-sc: EntityItemAuditType 0 1 审计用户和设备要求信息在用户的登录令牌。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9247 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:登录/注销:审计用户/设备要求 application_generated win-sc: EntityItemAuditType 0 1 审计产生的事件使用Windows审计API的应用程序。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9222 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计应用程序生成的 certification_services win-sc: EntityItemAuditType 0 1 审计产生的事件活动目录的操作证书服务。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9221 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计认证服务 detailed_file_share win-sc: EntityItemAuditType 0 1 审计产生的事件试图访问共享文件夹的文件和文件夹。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9244 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计详细的文件共享 file_share win-sc: EntityItemAuditType 0 1 审计产生的事件试图访问一个共享文件夹。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9224 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计文件共享 file_system win-sc: EntityItemAuditType 0 1 审计事件产生用户试图访问文件系统对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921d - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计文件系统 filtering_platform_connection win-sc: EntityItemAuditType 0 1 审计产生的事件连接允许或被Windows筛选平台。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9226 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计过滤平台连接 filtering_platform_packet_drop win-sc: EntityItemAuditType 0 1 审计产生的事件下降了Windows的数据包过滤平台。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9225 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计过滤平台丢包 handle_manipulation win-sc: EntityItemAuditType 0 1 审计产生的事件处理时打开或关闭。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9223 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:处理操作 kernel_object win-sc: EntityItemAuditType 0 1 审计产生的事件试图访问系统内核。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921f - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:内核对象 other_object_access_events win-sc: EntityItemAuditType 0 1 审计任务调度器的事件产生的管理工作或COM +对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9227 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:其他对象访问的事件 注册表 win-sc: EntityItemAuditType 0 1 审计产生的事件试图访问注册表的对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce921e - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计注册表 山姆 win-sc: EntityItemAuditType 0 1 审计产生的事件试图访问安全帐户管理器对象。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9220 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计山姆 removable_storage win-sc: EntityItemAuditType 0 1 审计事件表明移动存储文件对象访问的图谋。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9245 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:审计移动存储 central_access_policy_staging win-sc: EntityItemAuditType 0 1 审计事件表明许可允许还是拒绝了提议的政策不同于当前中央政策对一个对象的访问。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9246 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:对象访问:中央访问政策阶段 audit_policy_change win-sc: EntityItemAuditType 0 1 审计产生的事件的安全审计政策的改变设置。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922f - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计审计政策变化 authentication_policy_change win-sc: EntityItemAuditType 0 1 审计产生的事件改变身份验证策略。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9230 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计认证政策变化 authorization_policy_change win-sc: EntityItemAuditType 0 1 审计产生的事件改变授权策略。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9231 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计授权策略改变 filtering_platform_policy_change win-sc: EntityItemAuditType 0 1 审计产生的事件改变Windows筛选平台。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9233 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计过滤平台政策变化 mpssvc_rule_level_policy_change win-sc: EntityItemAuditType 0 1 审计策略规则的变化产生的事件所使用的Windows防火墙。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9232 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计MPSSVC规则层面上的政策改变 other_policy_change_events win-sc: EntityItemAuditType 0 1 审计产生的事件未涉及的其他安全政策变化政策变化的其他事件类别。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9234 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:政策变化:审计其他政策变化的事件 non_sensitive_privilege_use win-sc: EntityItemAuditType 0 1 审计产生的事件的使用不敏感的特权。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9229 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:特权使用:审计非敏感的特权使用 other_privilege_use_events win-sc: EntityItemAuditType 0 1 这是目前未使用和保留了微软在未来使用。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce922a - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:特权使用:审计其他特权使用事件 sensitive_privilege_use win-sc: EntityItemAuditType 0 1 审计产生的事件的使用敏感的特权。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9228 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:特权使用:审计敏感的特权使用 ipsec_driver win-sc: EntityItemAuditType 0 1 审计事件产生的IPsec过滤驱动程序。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9213 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计IPsec司机 other_system_events win-sc: EntityItemAuditType 0 1 审计事件产生的启动和关闭,安全策略处理和加密密钥文件和迁移操作的Windows防火墙。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9214 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计其他系统事件 security_state_change win-sc: EntityItemAuditType 0 1 审计产生的事件安全状态的变化。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9210 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计安全状态变化 security_system_extension win-sc: EntityItemAuditType 0 1 审计产生的事件或服务保障体系扩展。这种状态符合以下ntsecapi中指定的GUID。h: cce9211 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计安全系统扩展 system_integrity win-sc: EntityItemAuditType 0 1 审计的事件表明,已经违反了完整性安全子系统。这种状态符合以下ntsecapi中指定的GUID。h: 0 cce9212 - 69 - ae - 11 - d9 bed3 - 505054503030。这种状态符合以下先进的审计政策:系统:审计系统的完整性
PowerShell cmdlet cmdlet_item代表,提供的参数,并返回值。
子元素 类型 MinOccurs MaxOccurs module_name oval-sc: EntityItemStringType 0 1 包含cmdlet模块的名称。 module_id参数 win-sc: EntityItemGUIDType 0 1 模块的全局唯一标识符。 module_version oval-sc: EntityItemVersionType 0 1 模块的版本包含cmdlet主要版本。次要版本。号码的形式 动词 win-sc: EntityItemCmdletVerbType 0 1 cmdlet动词。 名词 oval-sc: EntityItemStringType 0 1 cmdlet名词。 参数 oval-sc: EntityItemRecordType 0 1 一个属性列表(名称和值对)作为输入来调用cmdlet。 选择 oval-sc: EntityItemRecordType 0 1 字段列表(名称和值对)用作输入Select-Object cmdlet选择特定的输出属性。 价值 oval-sc: EntityItemRecordType 0 无限 预期的值表示为一组字段(名称和值对)。
dnscache_item商店信息检索对域名的DNS缓存,它的生存时间,及其对应的IP地址。
子元素 类型 MinOccurs MaxOccurs domain_name oval-sc: EntityItemStringType 0 1 domain_name元素包含一个字符串,该字符串代表一个域名的DNS缓存收集本地系统。 ttl oval-sc: EntityItemIntType 0 1 ttl元素包含一个整数,代表着时间住在秒的DNS缓存条目。 ip_address oval-sc: EntityItemIPAddressStringType 0 无限 ip_address元素包含一个字符串,该字符串代表一个IP地址与指定的域名。注意,可以IPv4和IPv6的IP地址。
这个元素描述文件元数据。_stst时间信息可以检索的功能。Development_class和其他版本信息(公司内部名称语言、original_filename product_name, product_version)可以使用VerQueryValue检索功能。
子元素 类型 MinOccurs MaxOccurs filepath oval-sc: EntityItemStringType 0 1 filepath元素指定的机器上的一个文件的绝对路径。目录不能被指定为一个filepath。 路径 oval-sc: EntityItemStringType 0 1 指定的目录组件的机器上的一个文件的绝对路径。 文件名 oval-sc: EntityItemStringType 0 1 文件的名称。如果xsi: nil属性设置为true,那么条目表示实体所代表的是更高的目录路径。与这个项目相关的其他物品会反映与目录相关联的值。 老板 oval-sc: EntityItemStringType 0 1 一个字符串,该字符串包含所有者的名称。这个名字应该域\用户名格式中指定。 大小 oval-sc: EntityItemIntType 0 1 文件的大小,以字节为单位。 a_time oval-sc: EntityItemIntType 0 1 文件的最后访问时间。有效对NTFS但不是脂肪格式化的磁盘驱动器。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。 c_time oval-sc: EntityItemIntType 0 1 创建文件的时间。有效对NTFS但不是脂肪格式化的磁盘驱动器。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。 m_time oval-sc: EntityItemIntType 0 1 文件的最后修改时间。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。 ms_checksum oval-sc: EntityItemStringType 0 1 文件的校验和是由微软MapFileAndCheckSum函数。 版本 oval-sc: EntityItemVersionType 0 1 版本的文件。 类型 win-sc: EntityItemFileTypeType 0 1 子元素类型标志是否文件条目描述了一个目录,命名管道,标准文件,等。这些类型的返回值是GetFileType,除了FILE_ATTRIBUTE_DIRECTORY看着GetFileAttributesEx获得的。 development_class oval-sc: EntityItemStringType 0 1 development_class元素允许东德开发环境之间的区别和压开发环境。这个领域的文本中发现mmmmmm-nnnn前版本,例如srv03_gdr。 公司 oval-sc: EntityItemStringType 0 1 这个实体定义公司名称版本信息结构内举行。 internal_name oval-sc: EntityItemStringType 0 1 这个实体定义内部名称版本信息结构内举行。 语言 oval-sc: EntityItemStringType 0 1 这个实体定义语言版本信息结构内举行。 original_filename oval-sc: EntityItemStringType 0 1 这个实体定义原始文件名版本信息结构内举行。 product_name oval-sc: EntityItemStringType 0 1 这个实体定义产品名称版本信息结构内举行。 product_version oval-sc: EntityItemVersionType 0 1 这个实体定义产品版本版本信息结构内举行。 windows_view win-sc: EntityItemWindowsViewType 0 1 这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。
这个条目存储审计文件的访问权限,系统访问控制列表(SACL)结构拨款到指定的受托人。受托人的审计访问权限确定检查所有访问控制项(ace) SACL。帮助这个测试看到GetAuditedPermissionsFromAcl () api。
子元素 类型 MinOccurs MaxOccurs filepath oval-sc: EntityItemStringType 0 1 指定一个文件的绝对路径的机器DACL检索。目录不能被指定为一个filepath。 路径 oval-sc: EntityItemStringType 0 1 该元素指定绝对路径的目录组件的机器上的文件DACL检索。 文件名 oval-sc: EntityItemStringType 0 1 文件的名称。如果xsi: nil属性设置为true,那么条目表示实体所代表的是更高的目录路径。与这个项目相关的其他物品会反映与目录相关联的值。 trustee_sid oval-sc: EntityItemStringType 0 1 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。 trustee_name oval-sc: EntityItemStringType 0 1 该元素指定受托人的名字与这个特定的SACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 standard_delete win-sc: EntityItemAuditType 0 1 删除对象的权利。 standard_read_control win-sc: EntityItemAuditType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac win-sc: EntityItemAuditType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner win-sc: EntityItemAuditType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize win-sc: EntityItemAuditType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security win-sc: EntityItemAuditType 0 1 显示访问系统访问控制列表(SACL)。 generic_read win-sc: EntityItemAuditType 0 1 读访问。 generic_write win-sc: EntityItemAuditType 0 1 写访问。 generic_execute win-sc: EntityItemAuditType 0 1 执行访问。 generic_all win-sc: EntityItemAuditType 0 1 读、写和执行访问。 file_read_data win-sc: EntityItemAuditType 0 1 授予的权利从文件读取数据。 file_write_data win-sc: EntityItemAuditType 0 1 授予的权利写入数据文件。 file_append_data win-sc: EntityItemAuditType 0 1 赠款将数据附加到文件的权利。 file_read_ea win-sc: EntityItemAuditType 0 1 授予的权利阅读扩展属性。 file_write_ea win-sc: EntityItemAuditType 0 1 授予的权利写扩展属性。 file_execute win-sc: EntityItemAuditType 0 1 授予的权利执行一个文件。 file_delete_child win-sc: EntityItemAuditType 0 1 删除一个目录和它包含的所有文件(孩子),即使是只读的文件。 file_read_attributes win-sc: EntityItemAuditType 0 1 授予的权利读文件属性。 file_write_attributes win-sc: EntityItemAuditType 0 1 授予的权利更改文件属性。 windows_view win-sc: EntityItemWindowsViewType 0 1 这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。
这个项目存储文件的有效权利,自主访问控制列表(DACL)结构授予指定的受托人。受托人的有效权利确定检查所有令和访问拒绝访问控制项(ace) DACL。帮助这个测试看到GetEffectiveRightsFromAcl () api。
子元素 类型 MinOccurs MaxOccurs filepath oval-sc: EntityItemStringType 0 1 指定一个文件的绝对路径的机器DACL检索。目录不能被指定为一个filepath。 路径 oval-sc: EntityItemStringType 0 1 该元素指定一个文件的绝对路径的机器DACL检索。 文件名 oval-sc: EntityItemStringType 0 1 文件的名称。如果xsi: nil属性设置为true,那么条目表示实体所代表的是更高的目录路径。与这个项目相关的其他物品会反映与目录相关联的值。 trustee_sid oval-sc: EntityItemStringType 0 1 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。 trustee_name oval-sc: EntityItemStringType 0 1 该元素指定受托人的名字与这个DACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 standard_delete oval-sc: EntityItemBoolType 0 1 删除对象的权利。 standard_read_control oval-sc: EntityItemBoolType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac oval-sc: EntityItemBoolType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner oval-sc: EntityItemBoolType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize oval-sc: EntityItemBoolType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security oval-sc: EntityItemBoolType 0 1 显示访问系统访问控制列表(SACL)。 generic_read oval-sc: EntityItemBoolType 0 1 读访问。 generic_write oval-sc: EntityItemBoolType 0 1 写访问。 generic_execute oval-sc: EntityItemBoolType 0 1 执行访问。 generic_all oval-sc: EntityItemBoolType 0 1 读、写和执行访问。 file_read_data oval-sc: EntityItemBoolType 0 1 授予的权利从文件读取数据 file_write_data oval-sc: EntityItemBoolType 0 1 授予的权利写入数据文件。 file_append_data oval-sc: EntityItemBoolType 0 1 赠款将数据附加到文件的权利。 file_read_ea oval-sc: EntityItemBoolType 0 1 授予的权利阅读扩展属性。 file_write_ea oval-sc: EntityItemBoolType 0 1 授予的权利写扩展属性。 file_execute oval-sc: EntityItemBoolType 0 1 授予的权利执行一个文件。 file_delete_child oval-sc: EntityItemBoolType 0 1 删除一个目录和它包含的所有文件(孩子),即使是只读的文件。 file_read_attributes oval-sc: EntityItemBoolType 0 1 授予的权利读文件属性。 file_write_attributes oval-sc: EntityItemBoolType 0 1 授予的权利更改文件属性。 windows_view win-sc: EntityItemWindowsViewType 0 1 这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。
| 弃用的版本:5.11 原因:被group_sid_item所取代。这个项目使用受托人名称识别系统上的账户。受托人姓名和group_sid_item并不罕见,它使用受托人SIDs是独一无二的,应该使用。看到group_sid_item。 备注:这个对象已经弃用,可以在未来版本的语言。 |
窗户group_item允许不同的用户和组,直接属于特定群体(由名称标识),收集。收集到的子组不会找到间接得到解决用户或群成员。如果子组需要解决,它使用sid_object应该做的。注意,用户和组元素可以出现,次数不限。如果一个用户没有找到指定的组,一个用户元素应该存在状态的“不存在”。如果有一个错误确定一组的用户,一个用户元素应该存在一个“错误”的地位。如果小组中没有指定的组,一个组元素应该存在一个“不存在”的地位。如果有一个错误决定的子组,一组,一个组元素应该存在一个“错误”的地位。
子元素 类型 MinOccurs MaxOccurs 集团 oval-sc: EntityItemStringType 0 1 一个字符串代表一个特定的组的名称。在Windows中,组名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,组织应确定的形式:“域\组名称”。为当地团体使用:“计算机名称\组名称”。内置的系统上的账户,没有一个域使用组名。 用户 oval-sc: EntityItemStringType 0 无限 一个字符串,该字符串代表一个特定用户的名字。在Windows中,用户名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,用户应该被识别的形式:“域\用户名”。为本地用户使用:“计算机名称\用户名”。对于内置的系统上的账户,使用用户名没有一个域。如果指定的组有多个用户作为一个成员,那么多个用户元素应该存在。如果指定的组不包含一个用户,然后单个用户元素应该存在状态的“不存在”。如果有一个错误决定的用户组的成员,那么单个用户元素应该包含在“错误”的地位。 子群 oval-sc: EntityItemStringType 0 无限 一个字符串,该字符串代表一个特定的子群的名称在指定的组。在Windows中,组名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,首先应确定子组的形式:“域\组名称”。在当地环境中,首先应确定子组的形式:“计算机名称\组名称”。如果子组内建组,首先应确定子组的形式:“组名”没有一个域组件。如果指定的组有超过一个小组成员,那么多个群元素应该存在。如果指定的组不包含一个群,然后一群元素应该存在状态的“不存在”。如果有一个错误决定的子组的成员,那么一个群元素应该包含在“错误”的地位。
窗户group_sid_item允许不同的用户和组,直接属于特定群体(SID),收集。收集到的子组不会找到间接得到解决用户或群成员。如果子组需要解决,它使用sid_sid_object应该做的。注意,用户和组元素可以出现,次数不限。如果一个用户没有找到指定的组,一个用户元素应该存在状态的“不存在”。如果有一个错误确定一组的用户,一个用户元素应该存在一个“错误”的地位。如果小组中没有指定的组,一个组元素应该存在一个“不存在”的地位。如果有一个错误决定的子组,一组,一个组元素应该存在一个“错误”的地位。
子元素 类型 MinOccurs MaxOccurs group_sid oval-sc: EntityItemStringType 0 1 一个字符串代表一个特定的SID组。 user_sid oval-sc: EntityItemStringType 0 无限 一个字符串,该字符串代表一个特定用户的SID。如果指定的组有多个用户作为一个成员,那么多个user_sid实体应该存在。如果指定的组不包含单个用户,那么一个user_sid实体应该存在状态的“不存在”。如果有一个错误决定的用户组的成员,那么一个user_sid实体应该包含在“错误”的地位。 subgroup_sid oval-sc: EntityItemStringType 0 无限 一个字符串,该字符串代表一个特定的子群的SID。如果指定的组有超过一个小组成员,那么多个subgroup_sid实体应该存在。如果指定的组不包含一个群,一个subgroup_sid实体应该存在状态的“不存在”。如果有一个错误决定的子组的成员,那么一个subgroup_sid实体应该包含在“错误”的地位。
列举各种属性的接口系统上。
子元素 类型 MinOccurs MaxOccurs 的名字 oval-sc: EntityItemStringType 0 1 该元素指定一个接口的名称。 指数 oval-sc: EntityItemIntType 0 1 该元素指定索引标识接口。 类型 win-sc: EntityItemInterfaceTypeType 0 1 该元素指定了类型的接口,仅限于特定的值。 hardware_addr oval-sc: EntityItemStringType 0 1 该元素指定硬件或物理网卡的MAC地址。MAC地址应该显示格式化的IEEE 802 - 2001标准即一个MAC地址是六个八位字节的序列值,由连字符分隔,每个八隅体由两个十六进制数字。还应使用大写字母来表示十六进制数字A到F。 inet_addr oval-sc: EntityItemIPAddressStringType 0 1 该元素指定了特定的接口的IP地址。注意,可以IPv4和IPv6的IP地址。如果IPv6地址的IP地址,这个实体应该表示为IPv6地址前缀使用CIDR标记和子网掩码实体不应该收集。 broadcast_addr oval-sc: EntityItemIPAddressStringType 0 1 该元素指定了广播地址。一个广播地址通常是IP地址的主机部分设置为0或1。注意,可以IPv4和IPv6的IP地址。 子网掩码 oval-sc: EntityItemIPAddressStringType 0 1 该元素指定IP地址的子网掩码。注意,如果inet_addr实体包含一个IPv6地址前缀,这个实体不应该收集。 addr_type win-sc: EntityItemAddrTypeType 0 无限 该元素指定一个特定接口的地址类型或状态。每个接口可以与多个值关联意义addr_type元素可以发生很多次了。
license_item元素存储不同的信息,可以发现在Windows许可证注册表值。请参阅模式中各个元素的更多细节每一个代表什么。
子元素 类型 MinOccurs MaxOccurs 的名字 oval-sc: EntityItemStringType 0 1 这个元素描述许可条目的名称。 类型 win-sc: EntityItemRegistryTypeType 0 1 指定许可证存储的数据条目的类型。有效值是REG_BINARY REG_DWORD REG_SZ。有关更多信息,请参阅EntityItemRegistryTypeType不同可能的类型。 价值 oval-sc: EntityItemAnySimpleType 0 1 价值实体持有指定的许可条目的实际价值。值的表示以及相关的数据类型属性取决于类型的数据存储在许可条目。如果指定的许可条目REG_BINARY类型,然后数据类型属性应该设置为“二进制”和数据所代表的价值实体应该遵循xsd: hexBinary形式。(每个二进制八隅体编码为两个十六进制数字)如果REG_DWORD类型的注册表键,然后数据类型属性值应该设置为“int”和实体应该将数据表示为一个整数。如果指定的注册表键的类型是REG_SZ,然后数据类型应该“字符串”和实体价值应该是字符串的一个副本。
lockoutpolicy项列举了各种属性与锁定信息为用户和全球组织在安全数据库。
子元素 类型 MinOccurs MaxOccurs force_logoff oval-sc: EntityItemIntType 0 1 在几秒钟内,指定的时间之间有效的登录时间和结束时间当用户被迫注销网络。值TIMEQ_FOREVER表明用户永远不会被迫注销。零值表明,用户将被迫注销时立即有效的登录时间到期。看到调用返回的USER_MODALS_INFO_0结构NetUserModalsGet ()。 lockout_duration oval-sc: EntityItemIntType 0 1 指定,在几秒钟内,锁定账户仍然锁多久之前自动解锁。看到调用返回的USER_MODALS_INFO_3结构NetUserModalsGet ()。 lockout_observation_window oval-sc: EntityItemIntType 0 1 指定的最长时间,以秒为单位,可以在任意两个之间流逝停摆发生之前失败的登录尝试。看到调用返回的USER_MODALS_INFO_3结构NetUserModalsGet ()。 lockout_threshold oval-sc: EntityItemIntType 0 1 指定了无效的密码身份验证的数量可以发生在一个帐户被标记“锁定”。看到调用返回的USER_MODALS_INFO_3结构NetUserModalsGet ()。
这个项目收集信息从指定metabase钥匙。
子元素 类型 MinOccurs MaxOccurs 关键 oval-sc: EntityItemStringType 0 1 这个元素描述了metabase收集的关键。 id oval-sc: EntityItemIntType 0 1 下的id元素指定一个特定对象metabase键。如果xsi: nil属性设置为true,然后要代表的项目是更高层次metabase关键。使用xsi: nil这里将导致“不收集”的状态与此项目相关的其他实体,因为这些实体本身没有相关联的键。 的名字 oval-sc: EntityItemStringType 0 1 这个元素描述metabase指定对象的名称。 user_type oval-sc: EntityItemStringType 0 1 user_type元素是一个32位无符号整数(字),指定数据的用户类型。看到METADATA_RECORD结构。 data_type oval-sc: EntityItemStringType 0 1 data_type元素标识metabase条目的类型的数据。看到METADATA_RECORD结构。 数据 oval-sc: EntityItemAnySimpleType 0 无限 命名的实际数据项下指定metabase关键。如果指定的metabase关键是多种类型的字符串,那么多个值应该存在描述字符串的数组元素。
windows ntuser_item指定可以从特定ntuser收集的信息。dat文件。
子元素 类型 MinOccurs MaxOccurs 关键 oval-sc: EntityItemStringType 0 1 这个元素描述了一个注册表键通常HKCU蜂巢中进行测试。 的名字 oval-sc: EntityItemStringType 0 1 这个元素描述了注册表键的名称。如果xsi: nil属性设置为true,然后要代表的项目是更高层次的关键。这里使用xsi: nil将导致“不存在”的状态类型,因为这些实体和价值实体本身没有相关联的键。 sid oval-sc: EntityItemStringType 0 1 这个元素有一个字符串,该字符串代表一个特定用户的SID。 用户名 oval-sc: EntityItemStringType 0 1 用户名实体持有一个字符串,该字符串代表一个特定用户的名字。在Windows中,用户名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,用户应该被识别的形式:“域\用户名”。为本地用户使用:“计算机名称\用户名”。 account_type win-sc: EntityItemNTUserAccountTypeType 0 1 account_type元素描述了如果用户帐户是本地帐户或域帐户。 logged_on oval-sc: EntityItemBoolType 0 1 logged_on元素描述了如果用户帐户目前登录到计算机。 启用 oval-sc: EntityItemBoolType 0 1 启用元素描述了如果用户帐户启用或禁用。 date_modified oval-sc: EntityItemIntType 0 1 文件的最后修改时间。字符串应该表示FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。 days_since_modified oval-sc: EntityItemIntType 0 1 ntuser以来的天数。dat文件最后修改。值应该是围捕到下一个整数。 filepath oval-sc: EntityItemStringType 0 1 这个元素描述了filepath ntuser。dat文件。 last_write_time oval-sc: EntityItemIntType 0 1 最后一次的关键或任何它的值被修改的条目。这个实体的值代表了FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。最后写时间可以查询在一个蜂巢,钥匙,或名称。当只收集信息注册表项最后写时间将蜂巢或它的任何entiries写入。当只收集信息注册表项和关键最后写时间将键或它的任何entiries写入。当只收集信息注册表的名字最后写时间将名字写入的时候。看到RegQueryInfoKey lpftLastWriteTime函数。 类型 win-sc: EntityItemRegistryTypeType 0 1 指定注册表键存储的数据的类型。有关更多信息,请参阅EntityItemRegistryTypeType不同可能的类型。 价值 oval-sc: EntityItemAnySimpleType 0 无限 价值实体持有指定的注册表键的实际价值。值的表示以及相关的数据类型属性取决于类型的数据存储在注册表键。如果指定的注册表键的类型是REG_BINARY,然后数据类型属性应该设置为“二进制”和数据所代表的价值实体应该遵循xsd: hexBinary形式。(每个二进制八隅体编码为两个十六进制数字)如果注册表键的类型是REG_DWORD或REG_QWORD,然后数据类型属性值应该设置为“int”和实体应该将数据表示为一个整数。如果指定的注册表键的类型是REG_EXPAND_SZ,然后数据类型属性应该设置为“字符串”和pre-expanded字符串应该值所代表的实体。如果指定的注册表键的类型是REG_MULTI_SZ,那么多个价值实体应该存在描述字符串的数组,每个元素包含一个字符串值。最后,应该有相同数量的价值实体作为reg_multi_sz有字符串数组。如果指定的注册表键的类型是REG_SZ,然后数据类型应该“字符串”和实体价值应该是字符串的一个副本。
具体政策与密码有关的物品。重要的是要注意,这些政策是特定于特定版本的Windows。因此,文档的版本的Windows应该咨询更多的信息。信息存储在山姆或Active Directory但加密或隐藏所以registry_item activedirectory_item毫无用处。如果这可以算出,那么password_policy项目不需要。
子元素 类型 MinOccurs MaxOccurs max_passwd_age oval-sc: EntityItemIntType 0 1 指定,在几秒钟内,最大允许密码时代。值TIMEQ_FOREVER(1)表明,密码永不过期。这个元素的最小有效值是一天(86400)。 min_passwd_age oval-sc: EntityItemIntType 0 1 指定了最低的秒数,可以间隔时间密码更改,当它可以改变了。值0表示不需要延迟之间的密码更新。 min_passwd_len oval-sc: EntityItemIntType 0 1 指定了最小允许密码长度。通过PWLEN有效值为这个元素为零。 password_hist_len oval-sc: EntityItemIntType 0 1 指定密码的长度保持历史。新密码不匹配任何以前的usrmod0_password_hist_len密码。通过DEF_MAX_PWHIST有效值为这个元素为零。 password_complexity oval-sc: EntityItemBoolType 0 1 一个布尔值,表示是否密码必须符合复杂性要求提出的操作系统。 reversible_encryption oval-sc: EntityItemBoolType 0 1 确定密码是否使用可逆加密存储。
peheader_item描述与体育相关的元数据文件头。有关更多信息,请参见文档IMAGE_FILE_HEADER和IMAGE_OPTIONAL_HEADER结构。
子元素 类型 MinOccurs MaxOccurs filepath oval-sc: EntityItemStringType 0 1 filepath元素指定绝对路径的PE文件的机器上。目录不能被指定为一个filepath。 路径 oval-sc: EntityItemStringType 0 1 元素指定目录的路径组件PE文件的绝对路径。 文件名 oval-sc: EntityItemStringType 0 1 文件名元素指定的名称PE文件来评估。 header_signature oval-sc: EntityItemStringType 0 1 header_signature实体头的签名。 target_machine_type win-sc: EntityItemPeTargetMachineType 0 1 target_machine_type实体是一个16位无符号整数(词),指定目标文件是用于建筑。 number_of_sections oval-sc: EntityItemIntType 0 1 number_of_sections实体是一个16位无符号整数(词)指定的部分文件。 time_date_stamp oval-sc: EntityItemIntType 0 1 time_date_stamp实体是一个32位无符号整数(字)指定的时间产生的链接器文件。该值表示为1月1日以来的秒数1970,就是。 pointer_to_symbol_table oval-sc: EntityItemIntType 0 1 pointer_to_symbol_table实体是一个32位无符号整数(字),指定COFF文件偏移量的符号表。 number_of_symbols oval-sc: EntityItemIntType 0 1 number_of_symbols实体是一个32位无符号整数(字),指定COFF符号表中符号的数量。 size_of_optional_header oval-sc: EntityItemIntType 0 1 size_of_optional_header实体是一个32位无符号整数(字),指定一个可选的header的大小字节。 image_file_relocs_stripped oval-sc: EntityItemBoolType 0 1 image_file_relocs_stripped实体是一个布尔值,用于指定是否剥夺了从文件搬迁信息。 image_file_executable_image oval-sc: EntityItemBoolType 0 1 image_file_executable_image实体是一个布尔值,用于指定是否可执行文件。 image_file_line_nums_stripped oval-sc: EntityItemBoolType 0 1 image_file_line_nums_stripped实体是一个布尔值,用于指定是否剥夺了从文件的行号。 image_file_local_syms_stripped oval-sc: EntityItemBoolType 0 1 image_file_local_syms_stripped实体是一个布尔值,用于指定是否剥夺了从文件本地符号。 image_file_aggresive_ws_trim oval-sc: EntityItemBoolType 0 1 image_file_aggressive_ws_trim实体是一个布尔值,指定工作集应该积极地削减。 image_file_large_address_aware oval-sc: EntityItemBoolType 0 1 image_file_large_address_aware实体是一个布尔值,用于指定应用程序可以处理地址大于2 gb。 image_file_16bit_machine oval-sc: EntityItemBoolType 0 1 image_file_16bit_machine实体是一个布尔值,用于指定计算机支持16位字。 image_file_bytes_reversed_lo oval-sc: EntityItemBoolType 0 1 image_file_bytes_reversed_lo实体是一个布尔值,用于指定的字节字是相反的。 image_file_32bit_machine oval-sc: EntityItemBoolType 0 1 image_file_32bit_machine实体是一个布尔值,用于指定计算机支持32位的字。 image_file_debug_stripped oval-sc: EntityItemBoolType 0 1 image_file_debug_stripped实体是一个布尔值,用于指定的调试信息分别存储.dbg文件。 image_file_removable_run_from_swap oval-sc: EntityItemBoolType 0 1 image_file_removable_run_from_swap实体是一个布尔值,指定图像在可移动媒体,从交换文件复制和运行。 image_file_system oval-sc: EntityItemBoolType 0 1 image_file_system实体是一个布尔值,指定图像是一个系统文件。 image_file_dll oval-sc: EntityItemBoolType 0 1 image_file_dll实体是一个布尔值,指定的图像是一个DLL。 image_file_up_system_only oval-sc: EntityItemBoolType 0 1 image_file_up_system_only实体是一个布尔值,用于指定文件只能在单处理器的计算机上运行。 image_file_bytes_reveresed_hi oval-sc: EntityItemBoolType 0 1 image_file_bytes_reversed_hi实体是一个布尔值,用于指定的字节字是相反的。 magic_number oval-sc: EntityItemIntType 0 1 值的magic_number实体是一个16位无符号整数(词),指定图像文件的状态。 major_linker_version oval-sc: EntityItemIntType 0 1 major_linker_version实体是一个指定的字节产生的主要版本的链接器文件。 minor_linker_version oval-sc: EntityItemIntType 0 1 minor_linker_version实体是一个字节,指定链接器产生的小版本文件。 size_of_code oval-sc: EntityItemIntType 0 1 size_of_code实体是一个32位无符号整数(字)指定的所有代码部分的总大小。 size_of_initialized_data oval-sc: EntityItemIntType 0 1 size_of_initialized_data实体是一个32位无符号整数(字)指定的所有部分的总大小是由初始化数据。 size_of_uninitialized_data oval-sc: EntityItemIntType 0 1 size_of_uninitialized_data实体是一个32位无符号整数(字)指定的所有部分的总大小是未初始化的数据组成。 address_of_entry_point oval-sc: EntityItemIntType 0 1 address_of_entry_point实体是一个32位无符号整数(字)指定的地址加载程序将开始执行。 base_of_code oval-sc: EntityItemIntType 0 1 base_of_code实体是一个32位无符号整数(字),指定文件的相对虚拟地址的代码部分就开始了。 base_of_data oval-sc: EntityItemIntType 0 1 base_of_data实体是一个32位无符号整数(字),指定文件的数据部分的相对虚拟地址开始。 image_base_address oval-sc: EntityItemIntType 0 1 image_base_address实体是一个32位无符号整数(字),指定首选地址fo图像的第一个字节时被加载到内存中。 section_alignment oval-sc: EntityItemIntType 0 1 section_alignment实体是一个32位无符号整数(字)指定的对齐部分加载到内存中。 file_alignment oval-sc: EntityItemIntType 0 1 file_alignment实体是一个32位无符号整数(字)指定的部分原始数据的对齐图像文件。 major_operating_system_version oval-sc: EntityItemIntType 0 1 major_operating_system_version实体是一个16位无符号整数(词),指定所需的主要版本的操作系统使用这个可执行文件。 minor_operating_system_version oval-sc: EntityItemIntType 0 1 minor_operating_system_version实体是一个16位无符号整数(词),指定所需的小版本的操作系统使用这个可执行文件。 major_image_version oval-sc: EntityItemIntType 0 1 major_image_version实体是一个16位无符号整数(词),指定图像的主版本号。 minor_image_version oval-sc: EntityItemIntType 0 1 minor_image_version实体是一个32位无符号整数(字),指定图像的小版本号。 major_subsystem_version oval-sc: EntityItemIntType 0 1 major_subsystem_version实体是一个16位无符号整数(词),指定所需的子系统的主要版本运行可执行文件。 minor_susbsystem_version oval-sc: EntityItemIntType 0 1 minor_subsystem_version实体是一个16位无符号整数(词),指定所需的子系统的小版本运行可执行文件。 size_of_image oval-sc: EntityItemIntType 0 1 size_of_image实体是一个32位无符号整数(字),指定图像的总大小包括所有的标题。 size_of_headers oval-sc: EntityItemIntType 0 1 size_of_headers实体是一个32位无符号整数(字)指定的总结合大小ms - dos存根,PE头,节标题。 校验和 oval-sc: EntityItemIntType 0 1 校验和实体是一个32位无符号整数(字),指定图像文件的校验和。 子系统 win-sc: EntityItemPeSubsystemType 0 1 子系统的实体是一个32位无符号整数(字),指定类型的子系统可执行文件使用的用户界面。 dll_characteristics oval-sc: EntityItemIntType 0 无限 dll_characteristics实体是一个32位无符号整数(字)指定的标记表明在何种情况下一个DLL的初始化函数将调用. . size_of_stack_reserve oval-sc: EntityItemIntType 0 1 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为堆栈储备。 size_of_stack_commit oval-sc: EntityItemIntType 0 1 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为堆栈提交。 size_of_heap_reserve oval-sc: EntityItemIntType 0 1 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为本地堆储备。 size_of_heap_commit oval-sc: EntityItemIntType 0 1 time_date_stamp实体是一个32位无符号整数(字)指定的字节数为本地堆。 loader_flags oval-sc: EntityItemIntType 0 1 loader_flags实体是一个32位无符号整数(字),指定标题的装载机旗帜。 number_of_rva_and_sizes oval-sc: EntityItemIntType 0 1 number_of_rva_and_sizes实体是一个32位无符号整数(字)指定的目录条目数量的剩余部分可选头。 real_number_of_directory_entries oval-sc: EntityItemIntType 0 1 real_number_of_directory_entries实体数据目录条目的实数在剩余的可选头计算列举目录条目。
打开听端口信息。
子元素 类型 MinOccurs MaxOccurs local_address oval-sc: EntityItemIPAddressStringType 0 1 该元素指定监听端口绑定到本地IP地址。注意,可以IPv4和IPv6的IP地址。 local_port oval-sc: EntityItemIntType 0 1 该元素指定分配给本地监听端口的数量。 协议 win-sc: EntityItemProtocolType 0 1 该元素指定监听端口的类型。它被限制为TCP或UDP。 pid oval-sc: EntityItemIntType 0 1 id的过程与指定的监听端口。 foreign_address oval-sc: EntityItemIPAddressStringType 0 1 这是程序的IP地址是沟通,或与它交流,听力的情况下服务器。注意,可以IPv4和IPv6的IP地址。 foreign_port oval-sc: EntityItemStringType 0 1 这是TCP或UDP端口的程序进行通信。
这个项存储的有效权利打印机,可自由支配的访问控制列表(DACL)结构拨款到指定的受托人。受托人的有效权利确定检查所有令和访问拒绝访问控制项(ace) DACL。帮助这个测试看到GetEffectiveRightsFromAcl () api。
子元素 类型 MinOccurs MaxOccurs printer_name oval-sc: EntityItemStringType 0 1 的printer_name enitity指定打印机的名称。 trustee_sid oval-sc: EntityItemStringType 0 1 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。 standard_delete oval-sc: EntityItemBoolType 0 1 删除对象的权利。 standard_read_control oval-sc: EntityItemBoolType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac oval-sc: EntityItemBoolType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner oval-sc: EntityItemBoolType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize oval-sc: EntityItemBoolType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security oval-sc: EntityItemBoolType 0 1 显示访问系统访问控制列表(SACL)。 generic_read oval-sc: EntityItemBoolType 0 1 读访问。 generic_write oval-sc: EntityItemBoolType 0 1 写访问。 generic_execute oval-sc: EntityItemBoolType 0 1 执行访问。 generic_all oval-sc: EntityItemBoolType 0 1 读、写和执行访问。 printer_access_administer oval-sc: EntityItemBoolType 0 1 printer_access_use oval-sc: EntityItemBoolType 0 1 job_access_administer oval-sc: EntityItemBoolType 0 1 job_access_read oval-sc: EntityItemBoolType 0 1
正在运行的进程的信息。
子元素 类型 MinOccurs MaxOccurs command_line oval-sc: EntityItemStringType 0 1 command_line实体是字符串用于启动过程。这包括任何参数的命令行。 pid oval-sc: EntityItemIntType 0 1 id创建的过程,给指定的命令行。 ppid oval-sc: EntityItemIntType 0 1 的id给父进程创建指定的命令行 优先级 oval-sc: EntityItemStringType 0 1 的基本优先级的过程。 image_path oval-sc: EntityItemStringType 0 1 image_path实体代表流程的可执行文件的名称。 current_dir oval-sc: EntityItemStringType 0 1 current_dir实体表示当前路径的可执行文件的过程。 creation_time oval-sc: EntityItemIntType 0 1 creation_time实体代表进程的创建时间。这个实体的值代表了FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。看到GetProcessTimes lpCreationTime函数。 dep_enabled oval-sc: EntityItemBoolType 0 1 dep_enabled实体代表数据执行预防(DEP)是否启用。看到GetProcessDEPPolicy lpFlags函数。 primary_window_text oval-sc: EntityItemStringType 0 1 primary_window_text实体代表过程的主窗口的标题。看到GetWindowText函数。 的名字 oval-sc: EntityItemStringType 0 1 的名称的过程。
windows注册表项指定的信息可以收集的关于一个特定的注册表键。
子元素 类型 MinOccurs MaxOccurs 蜂巢 win-sc: EntityItemRegistryHiveType 0 1 注册表键属于的蜂巢。 关键 oval-sc: EntityItemStringType 0 1 这个元素描述了一个注册表键聚集。注意字符串的蜂巢部分不应包括在内,这些数据可以发现蜂巢下元素。如果xsi: nil属性设置为true,则代表的是项目名称的更高级别的蜂巢或更低水平。使用xsi: nil这将导致“不收集”这个实体的地位因为项目是特定于一个蜂巢或名字。 的名字 oval-sc: EntityItemStringType 0 1 这个元素描述了注册表键的名称。如果xsi: nil属性设置为true,则代表的是项键或蜂巢的更高水平。这里使用xsi: nil将导致“不收集”的状态,因为项目是特定于一个键或蜂巢。 last_write_time oval-sc: EntityItemIntType 0 1 最后一次的关键或任何它的值被修改的条目。这个实体的值代表了FILETIME结构,这是一个64位的值代表的数量100纳秒间隔自1月1日,1601 (UTC)。最后写时间可以查询任意键,蜂箱被归类为一种键。当只收集信息注册表项或关键最后写时间将被修改键或它的任何条目。当只收集信息注册表的名字最后写时间将包含键被修改的时间。因此,当收集信息注册表名称,最后写时间并不直接关联到指定名称。看到RegQueryInfoKey lpftLastWriteTime函数。 类型 win-sc: EntityItemRegistryTypeType 0 1 指定注册表键存储的数据的类型。有关更多信息,请参阅EntityItemRegistryTypeType不同可能的类型。 价值 oval-sc: EntityItemAnySimpleType 0 无限 价值实体持有指定的注册表键的实际价值。值的表示以及相关的数据类型属性取决于类型的数据存储在注册表键。如果被测试的值的类型是REG_BINARY,然后数据类型属性应该设置为“二进制”和数据所代表的价值实体应该遵循xsd: hexBinary形式。(每个二进制八隅体编码为两个十六进制数字)如果被测试的值的类型是REG_DWORD, REG_QWORD, REG_DWORD_LITTLE_ENDIAN, REG_DWORD_BIG_ENDIAN或REG_QWORD_LITTLE_ENDIAN数据类型属性值应该设置为“int”和实体应该代表的数据作为一个无符号整数。字和QWORD值表示无符号32位和64位整数,分别。如果被测试的值的类型是REG_EXPAND_SZ,然后数据类型属性应该设置为“字符串”和pre-expanded字符串应该值所代表的实体。如果被测试的值的类型是REG_MULTI_SZ,然后只有一个字符串(多个字符串之一)应该测试使用价值实体的数据类型属性设置为“字符串”。为了测试多个值,应该使用多个椭圆注册测试。如果指定的注册表键的类型是REG_SZ,然后数据类型应该“字符串”和实体价值应该是字符串的一个副本。如果被测试的值的类型是REG_LINK,然后数据类型属性应该设置为“字符串”和以null结尾Unicode字符串应该值所代表的实体。 windows_view win-sc: EntityItemWindowsViewType 0 1 这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。
这个条目存储审计的注册表键,系统的访问权限访问控制列表(SACL)结构拨款到指定的受托人。受托人的审计访问权限确定检查所有访问控制项(ace) SACL。帮助这个测试看到GetAuditedPermissionsFromAcl () api。
子元素 类型 MinOccurs MaxOccurs 蜂巢 win-sc: EntityItemRegistryHiveType 0 1 该元素指定注册表键的蜂巢的机器上SACL检索。 关键 oval-sc: EntityItemStringType 0 1 该元素指定的注册表键机器上SACL检索。注意字符串的蜂巢部分不应参展商品,这个数据应该发现蜂巢下元素。 trustee_sid oval-sc: EntityItemStringType 0 1 安全标识符(SID)指定受托人的名字。 trustee_name oval-sc: EntityItemStringType 0 1 该元素指定受托人的名字与这个DACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 standard_delete win-sc: EntityItemAuditType 0 1 删除对象的权利。 standard_read_control win-sc: EntityItemAuditType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac win-sc: EntityItemAuditType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner win-sc: EntityItemAuditType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize win-sc: EntityItemAuditType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security win-sc: EntityItemAuditType 0 1 显示访问系统访问控制列表(SACL)。 generic_read win-sc: EntityItemAuditType 0 1 读访问。 generic_write win-sc: EntityItemAuditType 0 1 写访问。 generic_execute win-sc: EntityItemAuditType 0 1 执行访问。 generic_all win-sc: EntityItemAuditType 0 1 读、写和执行访问。 key_query_value win-sc: EntityItemAuditType 0 1 key_set_value win-sc: EntityItemAuditType 0 1 key_create_sub_key win-sc: EntityItemAuditType 0 1 key_enumerate_sub_keys win-sc: EntityItemAuditType 0 1 key_notify win-sc: EntityItemAuditType 0 1 key_create_link win-sc: EntityItemAuditType 0 1 key_wow64_64key win-sc: EntityItemAuditType 0 1 key_wow64_32key win-sc: EntityItemAuditType 0 1 key_wow64_res win-sc: EntityItemAuditType 0 1 windows_view win-sc: EntityItemWindowsViewType 0 1 这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。
这个项目存储的有效权利注册表键,可自由支配的访问控制列表(DACL)结构拨款到指定的受托人。受托人的有效权利确定检查所有令和访问拒绝访问控制项(ace) DACL。帮助这个测试看到GetEffectiveRightsFromAcl () api。
子元素 类型 MinOccurs MaxOccurs 蜂巢 win-sc: EntityItemRegistryHiveType 0 1 注册表键属于的蜂巢。 关键 oval-sc: EntityItemStringType 0 1 这个元素描述了一个注册表键聚集。注意,字符串的蜂巢部分不应参展,这些数据可以发现在蜂巢的元素。如果xsi: nil属性设置为true,那么项表示的是更高层次的蜂巢。 trustee_sid oval-sc: EntityItemStringType 0 1 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。 trustee_name oval-sc: EntityItemStringType 0 1 该元素指定受托人的名字与这个DACL有关。受托人可以是一个用户、组或程序(如Windows服务)。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 standard_delete oval-sc: EntityItemBoolType 0 1 删除对象的权利。 standard_read_control oval-sc: EntityItemBoolType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac oval-sc: EntityItemBoolType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner oval-sc: EntityItemBoolType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize oval-sc: EntityItemBoolType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security oval-sc: EntityItemBoolType 0 1 显示访问系统访问控制列表(SACL)。 generic_read oval-sc: EntityItemBoolType 0 1 读访问。 generic_write oval-sc: EntityItemBoolType 0 1 写访问。 generic_execute oval-sc: EntityItemBoolType 0 1 执行访问。 generic_all oval-sc: EntityItemBoolType 0 1 读、写和执行访问。 key_query_value oval-sc: EntityItemBoolType 0 1 key_set_value oval-sc: EntityItemBoolType 0 1 key_create_sub_key oval-sc: EntityItemBoolType 0 1 key_enumerate_sub_keys oval-sc: EntityItemBoolType 0 1 key_notify oval-sc: EntityItemBoolType 0 1 key_create_link oval-sc: EntityItemBoolType 0 1 key_wow64_64key oval-sc: EntityItemBoolType 0 1 key_wow64_32key oval-sc: EntityItemBoolType 0 1 key_wow64_res oval-sc: EntityItemBoolType 0 1 windows_view win-sc: EntityItemWindowsViewType 0 1 这个椭圆形的窗口视图价值项目收集。这是用来表示从视图(32位或64位),收集相关项目。值为“32 _bit”从32位视图显示项目收集。值“64位”显示的项目收集64位视图。省略该实体删除任何断言项目收集哪些观点,因此强烈建议该实体被设置。
这个项目存储信息Windows系统上存在的服务。
子元素 类型 MinOccurs MaxOccurs service_name oval-sc: EntityItemStringType 0 1 service_name元素指定服务的名称中指定服务控制管理器(SCM)数据库。 display_name oval-sc: EntityItemStringType 0 1 display_name元素指定的名称中指定的服务工具,如控制面板- >管理工具- >服务。 描述 oval-sc: EntityItemStringType 0 1 description元素指定了服务的描述。 service_type win-sc: EntityItemServiceTypeType 0 无限 service_type元素指定类型的服务。 start_type win-sc: EntityItemServiceStartTypeType 0 1 start_type元素指定当服务应该开始。 current_state win-sc: EntityItemServiceCurrentStateType 0 1 current_state元素指定服务的当前状态。 controls_accepted win-sc: EntityItemServiceControlsAcceptedType 0 无限 controls_accepted元素指定控制规范,服务将接受和处理。 start_name oval-sc: EntityItemStringType 0 1 start_name元素指定的账户应该运行过程。 路径 oval-sc: EntityItemStringType 0 1 路径元素指定服务的二进制文件的路径。 pid oval-sc: EntityItemIntType 0 1 pid元素指定了服务的进程ID。 service_flag oval-sc: EntityItemBoolType 0 1 service_flag元素指定如果服务是在一个系统的过程,必须始终运行(1)或非系统的过程中如果服务不运行(0)。如果服务没有运行,将pid 0。否则,将pid零。 依赖关系 oval-sc: EntityItemStringType 0 无限 依赖元素指定服务之间的依赖关系。
这个项目存储服务的有效权利,自主访问控制列表(DACL)结构授予指定的受托人。受托人的有效权利决定通过检查所有令和访问拒绝访问控制项(ace) DACL。帮助这个测试看到GetEffectiveRightsFromAcl () api。
子元素 类型 MinOccurs MaxOccurs service_name oval-sc: EntityItemStringType 0 1 service_name元素指定了一个服务检索DACL的机器上。注意,service_name元素应该包含的实际名称服务,而不是其显示名称,在控制面板- >管理工具- >服务。例如,如果你想检查的有效权利自动更新服务指定为service_name wuauserv元素不会“自动更新”。 trustee_sid oval-sc: EntityItemStringType 0 1 trustee_sid元素指定了SID与一个用户相关联,集团系统或程序(如Windows服务)。 standard_delete oval-sc: EntityItemBoolType 0 1 需要这个权限调用DeleteService函数删除服务。 standard_read_control oval-sc: EntityItemBoolType 0 1 需要这个权限调用QueryServiceObjectSecurity函数查询服务对象的安全描述符。 standard_write_dac oval-sc: EntityItemBoolType 0 1 需要这个权限调用SetServiceObjectSecurity函数修改Dacl成员服务对象的安全描述符。 standard_write_owner oval-sc: EntityItemBoolType 0 1 需要这个权限调用SetServiceObjectSecurity函数修改所有者和组的成员服务对象的安全描述符。 generic_read oval-sc: EntityItemBoolType 0 1 读访问权(STANDARD_RIGHTS_READ SERVICE_QUERY_CONFIG、SERVICE_QUERY_STATUS SERVICE_INTERROGATE, SERVICE_ENUMERATE_DEPENDENTS)。 generic_write oval-sc: EntityItemBoolType 0 1 写访问(STANDARD_RIGHTS_WRITE SERVICE_CHANGE_CONFIG)。 generic_execute oval-sc: EntityItemBoolType 0 1 执行访问(STANDARD_RIGHTS_EXECUTE SERVICE_START、SERVICE_STOP SERVICE_PAUSE_CONTINUE, SERVICE_USER_DEFINED_CONTROL)。 service_query_conf oval-sc: EntityItemBoolType 0 1 需要这个权限调用QueryServiceConfig和QueryServiceConfig2功能查询服务配置。 service_change_conf oval-sc: EntityItemBoolType 0 1 需要这个权限调用ChangeServiceConfig或ChangeServiceConfig2函数改变服务配置。 service_query_stat oval-sc: EntityItemBoolType 0 1 需要这个权限调用QueryServiceStatusEx函数来询问服务控制管理器服务的状态。 service_enum_dependents oval-sc: EntityItemBoolType 0 1 需要这个权限调用EnumDependentServices函数枚举所有的服务依赖于服务。 service_start oval-sc: EntityItemBoolType 0 1 这个权限需要调用由StartService函数来启动该服务。 service_stop oval-sc: EntityItemBoolType 0 1 需要这个权限调用ControlService函数停止服务。 service_pause oval-sc: EntityItemBoolType 0 1 需要这个权限调用ControlService函数暂停或继续服务。 service_interrogate oval-sc: EntityItemBoolType 0 1 需要这个权限调用ControlService函数问服务立即报告其状态。 service_user_defined oval-sc: EntityItemBoolType 0 1 需要这个权限调用ControlService函数指定一个用户定义的控制代码。
子元素 类型 MinOccurs MaxOccurs 网络 oval-sc: EntityItemStringType 0 1 资源的共享名。 shared_type win-sc: EntityItemSharedResourceTypeType 0 1 共享资源的类型。 max_uses oval-sc: EntityItemIntType 0 1 共享资源的最大并发连接数可以容纳。 current_uses oval-sc: EntityItemIntType 0 1 当前连接的数量的共享资源。 local_path oval-sc: EntityItemStringType 0 1 共享资源的本地路径。 access_read_permission oval-sc: EntityItemBoolType 0 1 从资源和权限读取数据,默认情况下,执行资源。 access_write_permission oval-sc: EntityItemBoolType 0 1 写入数据到资源的权限。 access_create_permission oval-sc: EntityItemBoolType 0 1 允许创建一个实例的资源(例如文件);数据可以写入创建资源的资源。 access_exec_permission oval-sc: EntityItemBoolType 0 1 执行资源的权限。 access_delete_permission oval-sc: EntityItemBoolType 0 1 删除资源的权限。 access_atrib_permission oval-sc: EntityItemBoolType 0 1 允许修改资源的属性(如文件最后修改日期和时间)。 access_perm_permission oval-sc: EntityItemBoolType 0 1 允许修改权限(读、写、创建、执行和删除)分配给一个用户或应用程序的资源。 access_all_permission oval-sc: EntityItemBoolType 0 1 允许读、写、创建、执行和删除资源,并修改它们的属性和权限。
这个条目存储审计系统的共享资源的访问权限访问控制列表(SACL)结构拨款到指定的受托人。受托人的审计访问权限确定检查所有访问控制项(ace) SACL。
子元素 类型 MinOccurs MaxOccurs 网络 oval-sc: EntityItemStringType 0 1 网络名实体指定名称与特定共享资源相关联。 trustee_sid oval-sc: EntityItemStringType 0 1 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。 standard_delete win-sc: EntityItemAuditType 0 1 删除对象的权利。 standard_read_control win-sc: EntityItemAuditType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac win-sc: EntityItemAuditType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner win-sc: EntityItemAuditType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize win-sc: EntityItemAuditType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security win-sc: EntityItemAuditType 0 1 显示访问系统访问控制列表(SACL)。 generic_read win-sc: EntityItemAuditType 0 1 读访问。 generic_write win-sc: EntityItemAuditType 0 1 写访问。 generic_execute win-sc: EntityItemAuditType 0 1 执行访问。 generic_all win-sc: EntityItemAuditType 0 1 读、写和执行访问。
这个项目存储的有效权利共享资源,自主访问控制列表(DACL)结构授予指定的受托人。受托人的有效权利确定检查所有令和访问拒绝访问控制项(ace) DACL。
子元素 类型 MinOccurs MaxOccurs 网络 oval-sc: EntityItemStringType 0 1 网络名实体指定名称与特定共享资源相关联。 trustee_sid oval-sc: EntityItemStringType 0 1 trustee_sid实体指定SID,相关用户,组,系统或程序(如Windows服务)。 standard_delete oval-sc: EntityItemBoolType 0 1 删除对象的权利。 standard_read_control oval-sc: EntityItemBoolType 0 1 正确的阅读对象的安全描述符的信息,不包括SACL中的信息。 standard_write_dac oval-sc: EntityItemBoolType 0 1 正确的修改DACL对象的安全描述符。 standard_write_owner oval-sc: EntityItemBoolType 0 1 改变对象的所有者的权利的安全描述符。 standard_synchronize oval-sc: EntityItemBoolType 0 1 正确的使用对象同步。这使一个线程等待的对象是表示状态。一些对象类型不支持这个访问。 access_system_security oval-sc: EntityItemBoolType 0 1 显示访问系统访问控制列表(SACL)。 generic_read oval-sc: EntityItemBoolType 0 1 读访问。 generic_write oval-sc: EntityItemBoolType 0 1 写访问。 generic_execute oval-sc: EntityItemBoolType 0 1 执行访问。 generic_all oval-sc: EntityItemBoolType 0 1 读、写和执行访问。
子元素 类型 MinOccurs MaxOccurs trustee_name oval-sc: EntityItemStringType 0 1 该元素指定受托人的名字与一个特定的SID。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 trustee_sid oval-sc: EntityItemStringType 0 1 安全标识符(SID)指定受托人的名字。 trustee_domain oval-sc: EntityItemStringType 0 1 受托人指定的域的名称。
子元素 类型 MinOccurs MaxOccurs trustee_sid oval-sc: EntityItemStringType 0 1 安全标识符(SID)指定受托人的名字。 trustee_name oval-sc: EntityItemStringType 0 1 该元素指定受托人的名字与一个特定的SID。在Windows中,受托人的名字是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,受托人的名字应该是确定的:“域\受托人的名字”。为当地的受托人的名字使用:“计算机名称\受托人名称”。对于内置的系统上的账户,使用委托人的名字没有一个域。 trustee_domain oval-sc: EntityItemStringType 0 1 受托人指定的域的名称。
系统指标项存储特定的Windows系统的价值指标。
子元素 类型 MinOccurs MaxOccurs 指数 win-sc: EntityItemSystemMetricIndexType 0 1 这个元素描述了一个系统的指数指标条目。 价值 oval-sc: EntityItemIntType 0 1 价值实体持有指定系统的实际价值度量指标。
uac_item是用来保存相关信息设置在Windows用户访问控制。
子元素 类型 MinOccurs MaxOccurs admin_approval_mode oval-sc: EntityItemBoolType 0 1 为内置管理员帐户管理员批准模式。 elevation_prompt_admin oval-sc: EntityItemStringType 0 1 行为的高度提示管理员以管理员批准模式。 elevation_prompt_standard oval-sc: EntityItemStringType 0 1 行为的高度为标准用户提示。 detect_installations oval-sc: EntityItemBoolType 0 1 检测应用程序安装并提示高程。 elevate_signed_executables oval-sc: EntityItemBoolType 0 1 只有提高签名和验证的可执行文件。 elevate_uiaccess oval-sc: EntityItemBoolType 0 1 只有提升UIAccess应用程序安装在安全的位置。 run_admins_aam oval-sc: EntityItemBoolType 0 1 所有管理员以管理员批准模式运行。 secure_desktop oval-sc: EntityItemBoolType 0 1 提示海拔时切换到安全桌面。 virtualize_write_failures oval-sc: EntityItemBoolType 0 1 虚拟化文件和注册表写失败到每个用户的位置。
| 弃用的版本:5.11 原因:被user_sid_item所取代。这个项目使用受托人名称识别系统上的账户。受托人姓名和user_sid_item并不罕见,它使用受托人SIDs是独一无二的,应该使用。看到user_sid_item。 备注:这个对象已经弃用,可以在未来版本的语言。 |
windows user_item允许不同的团体(由名称来标识),一个用户属于收集。
子元素 类型 MinOccurs MaxOccurs 用户 oval-sc: EntityItemStringType 0 1 一个字符串代表一个特定用户的名字。在Windows中,用户名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,用户应该被识别的形式:“域\用户名”。为本地用户使用:“computer_name \ user_name”。对于内置的系统上的账户,使用用户名没有一个域。 启用 oval-sc: EntityItemBoolType 0 1 一个布尔值表示是否启用了特定用户。 集团 oval-sc: EntityItemStringType 0 无限 一个字符串,该字符串代表一个特定的组的名称。在Windows中,组名是不区分大小写的。因此,建议不区分大小写的操作用于这个实体。在域环境中,组织应确定的形式:“域\组名称”。为当地团体使用:“计算机名称\组名称”。内置的系统上的账户,没有一个域使用组名。如果指定的用户属于多个组,那么多个组元素应该存在。如果指定的用户不是一个组的成员,那么一个组元素应该存在状态的“不存在”。如果有一个错误确定用户所属的组,然后一组元素应该包含在一个“错误”的地位。 last_logon oval-sc: EntityItemIntType 0 1 最后一次登录发生时的日期和时间。这个值是存储为运行就是的秒数,格林尼治时间1970年1月1日。
windows user_sid_item允许不同群体(SID)确定用户属于收集。
子元素 类型 MinOccurs MaxOccurs user_sid oval-sc: EntityItemStringType 0 1 一个字符串代表一个特定用户的SID。 启用 oval-sc: EntityItemBoolType 0 1 一个布尔值表示是否启用了特定用户。 group_sid oval-sc: EntityItemStringType 0 无限 一个字符串,该字符串代表一个特定的SID。如果指定的用户属于多个组,那么多个group_sid元素应该存在。如果指定的用户不是一个组的成员,那么一个group_sid元素应该存在状态的“不存在”。如果有一个错误确定用户所属的组,那么一个group_sid元素应该包含在“错误”的地位。 last_logon oval-sc: EntityItemIntType 0 1 最后一次登录发生时的日期和时间。这个值是存储为运行就是的秒数,格林尼治时间1970年1月1日。
子元素 类型 MinOccurs MaxOccurs userright win-sc: EntityItemUserRightType 0 1 userright实体持有一个字符串,该字符串代表一个特定用户的名字/右特权。 trustee_sid oval-sc: EntityItemStringType 0 无限 trustee_sid元素标识的SID授予指定的用户/右特权。多次trustee_sid元素可以包含在系统特征项为了记录用户/右特权被授予SIDs。注意entity_check属性与EntityStateStringType指南评估实体像trustee_sid指可能发生一个无界的次数的物品。
体积项列举了各种属性对一个特定的卷装一台机器。这包括各种系统返回的旗帜GetVolumeInformation ()。重要的是要注意,这些旗帜是特定于特定版本的Windows系统。因此,文档的版本的Windows应该咨询更多的信息。
子元素 类型 MinOccurs MaxOccurs rootpath oval-sc: EntityItemStringType 0 1 一个字符串,该字符串包含的根目录体积被描述。需要一个落后于反斜杠。例如,您将指定\ \ MyServer \ MyShare作为“\ \ MyServer \ MyShare \”,或C:驱动器作为“C: \”。 file_system oval-sc: EntityItemStringType 0 1 文件系统的类型。例如脂肪或NTFS。 的名字 oval-sc: EntityItemStringType 0 1 量的名字。 drive_type win-sc: EntityItemDriveTypeType 0 1 体积的驱动器类型。 volume_max_component_length oval-sc: EntityItemIntType 0 1 volume_max_component_length元素指定的最大长度,在TCHARs文件名指定文件系统支持的组件。一个文件名组件反斜杠之间是一个文件名的一部分。的值存储在变量* lpMaximumComponentLength指的是用来表明一个指定文件系统支持长名称。例如,脂肪文件系统支持长名字,255年函数存储值,而不是之前的8.3指标。长名字也可以使用NTFS文件系统的支持系统。 serial_number oval-sc: EntityItemIntType 0 1 卷序列号。 file_case_sensitive_search oval-sc: EntityItemBoolType 0 1 文件系统支持区分大小写的文件名。 file_case_preserved_names oval-sc: EntityItemBoolType 0 1 文件系统保存的文件名时,磁盘上的一个名字的地方。 file_unicode_on_disk oval-sc: EntityItemBoolType 0 1 文件系统支持Unicode文件名,因为他们出现在磁盘上。 file_persistent_acls oval-sc: EntityItemBoolType 0 1 文件系统保存和执行acl。例如,NTFS保存和执行acl,脂肪不。 file_file_compression oval-sc: EntityItemBoolType 0 1 文件系统支持文件的压缩。 file_volume_quotas oval-sc: EntityItemBoolType 0 1 文件系统支持磁盘配额。 file_supports_sparse_files oval-sc: EntityItemBoolType 0 1 文件系统支持稀疏文件。 file_supports_reparse_points oval-sc: EntityItemBoolType 0 1 文件系统支持重新解析点。 file_supports_remote_storage oval-sc: EntityItemBoolType 0 1 文件系统支持远程存储。 file_volume_is_compressed oval-sc: EntityItemBoolType 0 1 指定的卷一个压缩卷;例如,一个DoubleSpace体积。 file_supports_object_ids oval-sc: EntityItemBoolType 0 1 文件系统支持对象标识符。 file_supports_encryption oval-sc: EntityItemBoolType 0 1 文件系统支持加密文件系统(EFS)。 file_named_streams oval-sc: EntityItemBoolType 0 1 文件系统支持命名流。 file_read_only_volume oval-sc: EntityItemBoolType 0 1 指定的卷是只读的。 file_sequential_write_once oval-sc: EntityItemBoolType 0 1 文件系统支持按顺序一次写道。 file_supports_transactions oval-sc: EntityItemBoolType 0 1 文件系统支持事务处理。 file_supports_hard_links oval-sc: EntityItemBoolType 0 1 文件系统支持直接链接到其他设备和分区。 file_supports_extended_attributes oval-sc: EntityItemBoolType 0 1 文件系统支持扩展属性。 file_supports_open_by_file_id oval-sc: EntityItemBoolType 0 1 文件系统支持文件标识。 file_supports_usn_journal oval-sc: EntityItemBoolType 0 1 文件系统支持更新序列号期刊。
| 弃用的版本:5.7 原因:被wmi57_item所取代。这个项目允许单个字段从WMI被选中。创建一个新项,允许多个字段在一个声明中被选中。看到wmi57_item。 备注:这个对象已经弃用,可以在未来版本的语言。 |
wmi_item概述了信息检查通过微软的WMI接口。
子元素 类型 MinOccurs MaxOccurs 名称空间 oval-sc: EntityItemStringType 0 1 WMI名称空间的具体对象。 wql oval-sc: EntityItemStringType 0 1 WQL查询用于识别指定的对象(s)。任何有效WQL查询允许有一个例外,最多允许一个字段中选择查询的一部分。例如选择名字从…是有效的,选择“真正的”…,但选择的名字,从…不是有效的。这是因为结果元素数据部分只是用来对一个领域工作。 结果 oval-sc: EntityItemAnySimpleType 0 无限 结果元素指定如何测试对象在结果集中指定WQL的声明。只能填报一个类似的领域。所以如果WQL语句看起来像选择名字从…”,然后结果元素值的弗雷德的测试,对返回的名字WQL声明。如果WQL语句返回指定字段的多个实例,那么多个结果元素应该描述每个实例存在。
wmi57_item概述了信息检查通过微软的WMI接口。
子元素 类型 MinOccurs MaxOccurs 名称空间 oval-sc: EntityItemStringType 0 1 WMI名称空间的具体对象。 wql oval-sc: EntityItemStringType 0 1 WQL查询用于识别指定的对象(s)。允许有一个例外,任何有效WQL查询所有字段必须命名。例如选择名字,年龄从……是有效的,但SELECT *……不是有效的。这是因为实体只支持命名字段的记录。 结果 oval-sc: EntityItemRecordType 0 无限 结果实体持有WQL指定语句的结果。
wuaupdatesearcher_item轮廓信息通过搜索方法IUpdateSearcher接口中定义的一部分,微软的WUA (Windows更新代理)API。这个信息与当前的补丁级别在Windows环境。测试中定义扩展了标准ItemType oval-system-characteristics模式和应该参考ItemType描述的更多信息。
子元素 类型 MinOccurs MaxOccurs search_criteria oval-sc: EntityItemStringType 0 1 update_id oval-sc: EntityItemStringType 0 无限 update_id实体指定一个字符串,该字符串代表一个revision-independent标识符的一个更新。这个信息是IUpdateIdentity接口的一部分,由于IUpdateSearcher接口的一部分的搜索方法。注意,多个更新标识符可以被关联到一个搜索条件,从而为这个项目可以存在多个实体。
EntityItemAddrTypeType限制一个字符串值的一组特定的值,描述了不同地址的接口类型。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 MIB_IPADDR_DELETED
表示IP地址被删除。无符号短x0040值,这对应于0
MIB_IPADDR_DISCONNECTED
表示IP地址是断开连接的接口。无符号短x0008值,这对应于0。
MIB_IPADDR_DYNAMIC
表示IP地址是一个动态的IP地址。无符号短值对应的是0 x0004。
MIB_IPADDR_PRIMARY
表示IP地址是一个主要的IP地址。无符号短x0001值,这对应于0。
MIB_IPADDR_TRANSIENT
表示IP地址是一个短暂的IP地址。无符号短x0080值,这对应于0
空字符串值允许在这里允许详细的错误报告。
EntityItemAdstypeType限制一个字符串值的一组特定的值,描述可能的类型与一个Active Directory属性相关联。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 ADSTYPE_INVALID
的数据类型无效。
ADSTYPE_DN_STRING
专有名称的字符串(路径)目录服务的对象。
ADSTYPE_CASE_EXACT_STRING
区分大小写的字符串类型。
ADSTYPE_CASE_IGNORE_STRING
不区分大小写的字符串类型。
ADSTYPE_PRINTABLE_STRING
在屏幕上可显示的字符串或打印。
ADSTYPE_NUMERIC_STRING
数值的字符串被解释为文本。
ADSTYPE_BOOLEAN
一个布尔值的数据。
ADSTYPE_INTEGER
一个整数值的数据。
ADSTYPE_OCTET_STRING
字符串的字节数组。
ADSTYPE_UTC_TIME
世界时的数据表达的协调世界时(UTC)。
ADSTYPE_LARGE_INTEGER
长整数的数据值。
ADSTYPE_PROV_SPECIFIC
特定于提供程序的字符串的字符串。
ADSTYPE_OBJECT_CLASS
不习惯。
ADSTYPE_CASEIGNORE_LIST
的数据是不分大小写字符串的列表。
ADSTYPE_OCTET_LIST
的数据是一个八位字节字符串列表。
ADSTYPE_PATH
一个目录路径的字符串。
ADSTYPE_POSTALADDRESS
邮政地址的字符串类型。
ADSTYPE_TIMESTAMP
数据的时间戳在秒。
ADSTYPE_BACKLINK
返回的字符串是链接。
ADSTYPE_TYPEDNAME
输入名称的字符串。
ADSTYPE_HOLD
保存数据的数据结构。
ADSTYPE_NETADDRESS
网络地址的字符串。
ADSTYPE_REPLICAPOINTER
副本的数据指针。
ADSTYPE_FAXNUMBER
一个传真号码的字符串。
ADSTYPE_EMAIL
电子邮件的数据。
ADSTYPE_NT_SECURITY_DESCRIPTOR
Windows NT / 2000的数据安全描述符由一个字节数组。
ADSTYPE_UNKNOWN
未定义的数据类型。
ADSTYPE_DN_WITH_BINARY
ADS_DN_WITH_BINARY用于映射的数据是一个非专有名称不同的GUID。
ADSTYPE_DN_WITH_STRING
ADS_DN_WITH_STRING用于映射的数据是一个专有名称non-varying字符串值。
空字符串值允许在这里允许详细的错误报告。
EntityItemAuditType限制一个字符串值的一组特定的价值观:AUDIT_NONE, AUDIT_SUCCESS AUDIT_FAILURE, AUDIT_SUCCESS_FAILURE。这些值应该生成审计记录的描述。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 AUDIT_FAILURE
审计类型AUDIT_FAILURE用于执行审计在所有成功启用审计时出现的指定事件。
AUDIT_NONE
审计类型AUDIT_NONE取消所有审计选项用于指定的事件。
AUDIT_SUCCESS
审计类型AUDIT_SUCCESS用于执行审计所有成功启用审计时出现的指定的事件。
AUDIT_SUCCESS_FAILURE
审计类型AUDIT_SUCCESS_FAILURE用于执行审计所有成功和不成功启用审计时出现的指定的事件。
空字符串值允许在这里允许详细的错误报告。
EntityItemDriveTypeType复杂类型定义了不同的值是有效的drive_type实体win-sc: volume_item。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 DRIVE_UNKNOWN
DRIVE_UNKNOWN类型意味着驱动类型不能确定。使用UINT的值,这个对应的是0。
DRIVE_NO_ROOT_DIR
DRIVE_NO_ROOT_DIR类型意味着根路径无效。使用UINT的值,这个对应的是1。
DRIVE_REMOVABLE
DRIVE_REMOVABLE类型意味着驱动包含可移动媒体。这个对应的是2的单位价值。
DRIVE_FIXED
DRIVE_FIXED类型意味着驱动包含固定的媒体。使用UINT值对应的是3。
DRIVE_REMOTE
DRIVE_REMOTE类型意味着驱动是一个远程驱动(即网络驱动器)。使用UINT值对应的是4。
DRIVE_CDROM
DRIVE_CDROM类型意味着驱动器是一个cd - rom驱动器。使用UINT值对应的是5。
DRIVE_RAMDISK
DRIVE_RAMDISK类型意味着驱动器是一个RAM磁盘。使用UINT值对应的是6。
空字符串值允许在这里允许详细的错误报告。
EntityItemFileTypeType限制一个字符串值的一组特定的值,描述了不同类型的文件。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 FILE_ATTRIBUTE_DIRECTORY
处理标识一个目录。
FILE_TYPE_CHAR
指定的文件是一个字符文件,通常一个并口设备或一个控制台。
FILE_TYPE_DISK
指定的文件是一个磁盘文件。
FILE_TYPE_PIPE
指定的文件是一个套接字,命名管道或匿名管道。
FILE_TYPE_REMOTE
未使用的。
FILE_TYPE_UNKNOWN
指定文件的类型是未知的,或函数失败。
空字符串值允许在这里允许详细的错误报告。
EntityItemInterfaceTypeType限制一个字符串值的一组特定的值,描述了不同类型的接口。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 MIB_IF_TYPE_ETHERNET
MIB_IF_TYPE_ETHERNET类型是用来描述以太网接口。
MIB_IF_TYPE_FDDI
MIB_IF_TYPE_FDDI类型是用来描述光纤分布式数据接口(FDDI)。
MIB_IF_TYPE_LOOPBACK
MIB_IF_TYPE_LOOPBACK类型是用来描述环回接口。
MIB_IF_TYPE_OTHER
MIB_IF_TYPE_OTHER类型是用来描述未知的接口。
MIB_IF_TYPE_PPP
MIB_IF_TYPE_PPP类型是用来描述的点对点协议(PPP)的接口。
MIB_IF_TYPE_SLIP
MIB_IF_TYPE_SLIP类型是用来描述串行线互联网协议接口(滑)。
MIB_IF_TYPE_TOKENRING
MIB_IF_TYPE_TOKENRING类型是用来描述令牌环接口. .
空字符串值允许在这里允许详细的错误报告。
EntityItemNamingContextType限制一个字符串值的一组特定的价值观:域,配置,和模式。这些值描述的不同命名上下文发现在Active Directory。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 域
域命名上下文包含Active Directory对象出现在指定的领域(如用户、计算机、组和其他对象)。
配置
配置命名上下文包含配置数据操作所需的Active Directory目录服务。
模式
模式命名上下文包含所有活动目录对象的定义。
空字符串值允许在这里允许详细的错误报告。
EntityItemNTUserAccountTypeType限制一个字符串值的一组特定的值,描述了不同类型的账户。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 当地的
本地账户直接在机器上创建的帐户被测试的形式,应该machinename \用户名
域
域帐户创建的帐户在一个域控制器的形式,应该域\用户名
空字符串值允许在这里允许详细的错误报告。
EntityItemPeTargetMachineType枚举识别有效的机器可以指定目标的PE文件头。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 IMAGE_FILE_MACHINE_UNKNOWN
IMAGE_FILE_MACHINE_UNKNOWN类型是用来表示一个未知的机器。
IMAGE_FILE_MACHINE_ALPHA
IMAGE_FILE_MACHINE_ALPHA类型用于指示一个αAPX型机器。
IMAGE_FILE_MACHINE_ARM
IMAGE_FILE_MACHINE_ARM类型是用来表示一只胳膊小端字节序的机器。
IMAGE_FILE_MACHINE_ALPHA64
IMAGE_FILE_MACHINE_ALPHA64类型是用来表示一个64位的αAPX型机器。
IMAGE_FILE_MACHINE_I386
IMAGE_FILE_MACHINE_I386类型是用来表示一个英特尔386机器。
IMAGE_FILE_MACHINE_IA64
IMAGE_FILE_MACHINE_IA64类型是用来表示一个英特尔安腾机器。
IMAGE_FILE_MACHINE_M68K
IMAGE_FILE_MACHINE_M68K类型是用来指示一个M68K机器。
IMAGE_FILE_MACHINE_MIPS16
IMAGE_FILE_MACHINE_MIPS16类型用于指示MIPS16机器。
IMAGE_FILE_MACHINE_MIPSFPU
IMAGE_FILE_MACHINE_MIPSFPU类型是用来表示一个MIPS FPU的机器。
IMAGE_FILE_MACHINE_MIPSFPU16
IMAGE_FILE_MACHINE_MIPSFPU16类型用于指示MIPS16 FPU的机器。
IMAGE_FILE_MACHINE_POWERPC
IMAGE_FILE_MACHINE_POWERPC类型是用来表示一个权力电脑小端字节序的机器。
IMAGE_FILE_MACHINE_R3000
IMAGE_FILE_MACHINE_R3000类型是用来表示一个MIPS小端字节序,0 x160 big endian机器。
IMAGE_FILE_MACHINE_R4000
IMAGE_FILE_MACHINE_R4000类型用于指示MIPS小端字节序的机器。
IMAGE_FILE_MACHINE_R10000
IMAGE_FILE_MACHINE_10000类型用于指示MIPS小端字节序的机器。
IMAGE_FILE_MACHINE_SH3
IMAGE_FILE_MACHINE_SH3类型用于指示日立SH3机器。
IMAGE_FILE_MACHINE_SH4
IMAGE_FILE_MACHINE_SH4类型用于指示日立SH4机器。
IMAGE_FILE_MACHINE_THUMB
IMAGE_FILE_MACHINE_THUMB类型是用来表示一个胳膊或拇指(“智能网”)机。
空字符串值允许在这里允许详细的错误报告。
EntityItemPeSubsystemType枚举确定有效的子系统可以指定类型的PE文件头。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 IMAGE_SUBSYSTEM_UNKNOWN
IMAGE_SUBSYSTEM_UNKNOWN类型是用来表示一个未知的子系统。
IMAGE_SUBSYSTEM_NATIVE
IMAGE_SUBSYSTEM_NATIVE类型是用来表明不需要子系统。
IMAGE_SUBSYSTEM_WINDOWS_GUI
IMAGE_SUBSYSTEM_WINDOWS_GUI类型是用来表示一个Windows图形用户界面(GUI)子系统。
IMAGE_SUBSYSTEM_WINDOWS_CUI
IMAGE_SUBSYSTEM_WINDOWS_CUI类型是用来表示一个Windows字符方式用户界面(崔)子系统。
IMAGE_SUBSYSTEM_OS2_CUI
IMAGE_SUBSYSTEM_OS2_CUI类型是用来表示一个OS / 2崔子系统。
IMAGE_SUBSYSTEM_POSIX_CUI
崔IMAGE_SUBSYSTEM_POSIX_CUI类型是用来表示一个POSIX子系统。
IMAGE_SUBSYSTEM_WINDOWS_CE_GUI
IMAGE_SUBSYSTEM_WINDOWS_CE_GUI类型是用来表示一个Windows CE体系。
IMAGE_SUBSYSTEM_EFI_APPLICATION
IMAGE_SUBSYSTEM_EFI_APPLICATION类型是用来表示一个可扩展固件接口(EFI)应用程序。
IMAGE_SUBSYSTEM_EFI_BOOT_SERVICE_DRIVER
IMAGE_SUBSYSTEM_EFI_BOOT_SERVICE_DRIVER类型用于指示EFI司机提供引导服务。
IMAGE_SUBSYSTEM_EFI_RUNTIME_DRIVER
IMAGE_SUBSYSTEM_EFI_RUNTIME_DRIVER类型用于指示EFI司机与运行时服务子系统。
IMAGE_SUBSYSTEM_EFI_ROM
IMAGE_SUBSYSTEM_EFI_ROM类型是用来表示一个EFI ROM镜像。
IMAGE_SUBSYSTEM_XBOX
IMAGE_SUBSYSTEM_XBOX类型是用来表示一个Xbox系统。
IMAGE_SUBSYSTEM_WINDOWS_BOOT_APPLICATION
IMAGE_SUBSYSTEM_WINDOWS_BOOT_APPLICATION类型用于指示一个启动应用程序。
空字符串值允许在这里允许详细的错误报告。
EntityItemProtocolType限制一个字符串值的一组特定的值,描述了不同的可用的协议。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 TCP
端口使用传输控制协议(TCP)。
UDP
端口使用用户数据报协议(UDP)。
空字符串值允许在这里允许详细的错误报告。
EntityItemRegistryHiveType限制一个字符串值的一组特定的值来描述不同的注册表蜂巢。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 HKEY_CLASSES_ROOT
这个注册表子树包含信息,将文件类型与项目,并为自动化配置数据(例如COM对象和Visual Basic程序)。
HKEY_CURRENT_CONFIG
这个注册表子树包含当前硬件配置文件的配置数据。
HKEY_CURRENT_USER
这个注册表子树包含了用户配置文件的用户正在登录到系统。
HKEY_LOCAL_MACHINE
这个注册表子树包含本地系统的信息。
HKEY_USERS
这个注册表子树包含特定于用户的数据。
空字符串值允许在这里允许详细的错误报告。
EntityItemRegistryTypeType定义了不同类型实体的值是有效的注册表项。这些值描述的类型的数据存储在一个注册表键。限制字符串值描述一组特定的值不同的注册表类型。空字符串也可以作为一个有效的值来支持空emlements与错误条件有关。请注意,类型的值确定实体和无效数据类型属性的值。椭圆形的信息如何编码注册表数据为每个不同的类型,请访问registry_item文档。
限制:oval-sc: EntityItemStringType
价值 描述 reg_binary
reg_binary类型使用注册表键值,指定任何形式的二进制数据。
reg_dword
reg_dword类型使用注册表键值,指定一个32位无符号整数。
reg_dword_little_endian
reg_dword_little_endian类型使用注册表键,低位优先指定一个32位无符号整数。它的目的是低位优先的计算机体系结构上运行。
reg_dword_big_endian
reg_dword_big_endian类型使用注册表键值,指定一个无符号32位大端整数。它的目的是大端法计算机体系结构上运行。
reg_expand_sz
reg_expand_sz类型使用注册表键以null结尾的字符串来指定包含未展开的环境变量的引用(例如,“% %”)。
reg_link
reg_link类型使用的注册表键以null结尾unicode字符串。它与目标路径RegCreateKeyEx创建一个符号链接的功能。
reg_multi_sz
reg_multi_sz类型使用注册表键值,指定一个以null结尾的字符串数组,由两个空字符结束。
reg_none
reg_none类型使用注册表键值没有定义的值类型。
reg_qword
reg_qword类型使用注册表键值指定64位无符号整数。
reg_qword_little_endian
reg_qword_little_endian类型使用注册表键值,指定一个未签名的64位整数在低位优先的计算机体系结构。
reg_sz
reg_sz类型使用注册表键值指定一个以null结尾的字符串。
空字符串值允许在这里允许详细的错误报告。
EntityItemServiceAcceptedControlsType复杂类型定义了不同的值是有效的controls_accepted实体服务的。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 SERVICE_ACCEPT_NETBINDCHANGE
SERVICE_ACCEPT_NETBINDCHANGE类型意味着服务是一个网络组件和可以接受改变绑定不停止或重新启动。的DWORD值对应的是0 x00000010。
SERVICE_ACCEPT_PARAMCHANGE
SERVICE_ACCEPT_PARAMCHANGE类型意味着服务可以重读启动参数不停止或重新启动。的DWORD值对应的是0 x00000008。
SERVICE_ACCEPT_PAUSE_CONTINUE
SERVICE_ACCEPT_PAUSE_CONTINUE类型意味着服务可以被暂停或继续。的DWORD值对应的是0 x00000002。
SERVICE_ACCEPT_PRESHUTDOWN
SERVICE_ACCEPT_PRESHUTDOWN类型意味着服务可以接收关闭前通知。的DWORD值对应的是0 x00000100。
SERVICE_ACCEPT_SHUTDOWN
SERVICE_ACCEPT_SHUTDOWN类型意味着服务可以接收关闭通知。的DWORD值对应的是0 x00000004。
SERVICE_ACCEPT_STOP
SERVICE_ACCEPT_STOP类型意味着服务可以停止了。的DWORD值对应的是0 x00000001。
SERVICE_ACCEPT_HARDWAREPROFILECHANGE
SERVICE_ACCEPT_HARDWAREPROFILECHANGE类型意味着服务可以系统的硬件配置文件变更时接收通知。的DWORD值对应的是0 x00000020。
SERVICE_ACCEPT_POWEREVENT
SERVICE_ACCEPT_POWEREVENT类型意味着服务可以接收通知当系统的权力地位已经改变了。的DWORD值对应的是0 x00000040。
SERVICE_ACCEPT_SESSIONCHANGE
SERVICE_ACCEPT_SESSIONCHANGE类型意味着服务时可以接收通知系统的会话状态发生了变化。的DWORD值对应的是0 x00000080。
SERVICE_ACCEPT_TIMECHANGE
SERVICE_ACCEPT_TIMECHANGE类型意味着服务可以接收通知,当系统时间的变化。的DWORD值对应的是0 x00000200。
SERVICE_ACCEPT_TRIGGEREVENT
SERVICE_ACCEPT_TRIGGEREVENT类型意味着服务时可以接收通知事件发生在系统注册的服务。的DWORD值对应的是0 x00000400。
空字符串值允许在这里允许空元素与错误条件有关。
EntityItemServiceCurrentStateType复杂类型定义了不同的值,为current_state实体的服务是有效的。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 SERVICE_CONTINUE_PENDING
SERVICE_CONTINUE_PENDING类型意味着服务发送一个命令继续,然而,尚未执行的命令。的DWORD值对应的是0 x00000005。
SERVICE_PAUSE_PENDING
SERVICE_PAUSE_PENDING类型意味着服务发送一个命令暂停,但尚未执行的命令。的DWORD值对应的是0 x00000006。
SERVICE_PAUSED
SERVICE_PAUSED类型意味着服务暂停。的DWORD值对应的是0 x00000007。
SERVICE_RUNNING
SERVICE_RUNNING类型意味着服务正在运行。的DWORD值对应的是0 x00000004。
SERVICE_START_PENDING
SERVICE_START_PENDING类型意味着服务发送一个命令开始,然而,尚未执行的命令。的DWORD值对应的是0 x00000002。
SERVICE_STOP_PENDING
SERVICE_STOP_PENDING类型意味着服务发送一个命令停止,但尚未执行的命令。的DWORD值对应的是0 x00000003。
SERVICE_STOPPED
SERVICE_STOPPED类型意味着停止服务。的DWORD值对应的是0 x00000001。
空字符串值允许在这里允许空元素与错误条件有关。
EntityItemServiceStartTypeType复杂类型定义了不同的值是有效的start_type实体服务的。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 SERVICE_AUTO_START
SERVICE_AUTO_START类型意味着服务自动启动服务控制管理器(SCM)在启动。的DWORD值对应的是0 x00000002。
SERVICE_BOOT_START
SERVICE_BOOT_START类型意味着司机服务系统启动加载程序。的DWORD值对应的是0 x00000000。
SERVICE_DEMAND_START
SERVICE_DEMAND_START类型意味着服务是由服务控制管理器(SCM)当StartService ()。的DWORD值对应的是0 x00000003。
SERVICE_DISABLED
SERVICE_DISABLED类型意味着服务无法启动。的DWORD值对应的是0 x00000004。
SERVICE_SYSTEM_START
SERVICE_SYSTEM_START类型意味着服务是一个设备驱动程序由IoInitSystem ()。的DWORD值对应的是0 x00000001。
空字符串值允许在这里允许空元素与错误条件有关。
EntityItemServiceTypeType复杂类型定义了不同的值是有效的service_type实体服务的。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 SERVICE_FILE_SYSTEM_DRIVER
SERVICE_FILE_SYSTEM_DRIVER类型意味着服务是一个文件系统驱动程序。的DWORD值对应的是0 x00000002。
SERVICE_KERNEL_DRIVER
SERVICE_KERNEL_DRIVER类型意味着服务是一个司机。的DWORD值对应的是0 x00000001。
SERVICE_WIN32_OWN_PROCESS
SERVICE_WIN32_OWN_PROCESS类型意味着服务运行在自己的过程。的DWORD值对应的是0 x00000010。
SERVICE_WIN32_SHARE_PROCESS
SERVICE_WIN32_SHARE_PROCESS类型意味着一个进程中运行服务和其他服务。的DWORD值对应的是0 x00000020。
SERVICE_INTERACTIVE_PROCESS
SERVICE_WIN32_SHARE_PROCESS类型意味着一个进程中运行服务和其他服务。的DWORD值对应的是0 x00000100。
空字符串值允许在这里允许空元素与错误条件有关。
EntityItemSharedResourceTypeType复杂类型定义了不同的值是有效的共享资源的类型实体项目。注意,Windows API返回一个DWORD值和椭圆形使用常数的名称,通常是为这些定义返回值。这样做是为了增加可读性和可维护性的椭圆的定义。空字符串也可以支持空元素与错误条件有关。
同样重要的是要注意,特殊的共享资源是用于远程管理,进程间通信和管理股票。
限制:oval-sc: EntityItemStringType
价值 描述 STYPE_DISKTREE
STYPE_DISKTREE类型意味着共享资源是一个磁盘驱动器。的DWORD值对应的是0 x00000000。
STYPE_DISKTREE_SPECIAL
STYPE_DISKTREE_SPECIAL类型意味着共享资源是一种特殊的磁盘驱动器。的DWORD值对应的是0 x80000000。
STYPE_DISKTREE_TEMPORARY
STYPE_DISKTREE_TEMPORARY类型意味着共享资源是一个临时磁盘驱动器。的DWORD值对应的是0 x40000000。
STYPE_DISKTREE_SPECIAL_TEMPORARY
STYPE_DISKTREE_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的磁盘驱动器。的DWORD值对应的是0 xc0000000。
STYPE_PRINTQ
STYPE_PRINTQ类型意味着共享资源是一个打印队列。的DWORD值对应的是0 x00000001。
STYPE_PRINTQ_SPECIAL
STYPE_PRINTQ_SPECIAL类型意味着共享资源是一种特殊的打印队列。的DWORD值对应的是0 x80000001。
STYPE_PRINTQ_TEMPORARY
STYPE_PRINTQ_TEMPORARY类型意味着共享资源是一个临时打印队列。的DWORD值对应的是0 x40000001。
STYPE_PRINTQ_SPECIAL_TEMPORARY
STYPE_PRINTQ_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的打印队列。的DWORD值对应的是0 xc0000001。
STYPE_DEVICE
STYPE_DEVICE类型意味着共享资源是一个交流工具。的DWORD值对应的是0 x00000002。
STYPE_DEVICE_SPECIAL
STYPE_DEVICE_SPECIAL类型意味着共享资源是一种特殊的通信设备。的DWORD值对应的是0 x80000002。
STYPE_DEVICE_TEMPORARY
STYPE_DEVICE_TEMPORARY类型意味着共享资源是一个临时通信设备。的DWORD值对应的是0 x40000002。
STYPE_DEVICE_SPECIAL_TEMPORARY
STYPE_DEVICE_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的通信设备。的DWORD值对应的是0 xc0000002。
STYPE_IPC
STYPE_IPC类型意味着共享资源是一种进程间通信。的DWORD值对应的是0 x00000003。
STYPE_IPC_SPECIAL
STYPE_IPC_SPECIAL类型意味着共享资源是一个特殊的进程间通信。的DWORD值对应的是0 x80000003。
STYPE_IPC_TEMPORARY
STYPE_IPC_TEMPORARY类型意味着共享资源是一个临时的进程间通信。的DWORD值对应的是0 x40000003。
STYPE_IPC_SPECIAL_TEMPORARY
STYPE_IPC_SPECIAL_TEMPORARY类型意味着共享资源是一个暂时的,特殊的进程间通信。的DWORD值对应的是0 xc0000003。
空字符串也可以支持空元素与错误条件有关。
EntityItemSystemMetricIndexType复杂类型定义了不同的值是有效的索引实体system_metric项目。这些值描述检索系统指标或配置设置。空字符串也可以支持空元素与错误条件有关。请注意,指数的值确定实体和无效数据类型属性的值。
限制:oval-sc: EntityItemStringType
价值 描述 SM_ARRANGE
标志指定系统如何安排最小化窗口。
SM_CLEANBOOT
的值指定了系统是如何开始的。
SM_CMONITORS
在桌面显示监视器的数量。
SM_CMOUSEBUTTONS
鼠标上的按钮数量或零如果没有鼠标安装。
SM_CXBORDER
一个窗口边界的宽度,以像素为单位。这相当于SM_CXEDGE值为windows的三维外观。
SM_CXCURSOR
一个游标的宽度,以像素为单位。其它尺寸的系统不能创建游标。
SM_CXDLGFRAME
这个值是SM_CXFIXEDFRAME一样。
SM_CXDOUBLECLK
矩形的宽度在第一次点击的位置双击序列,以像素为单位。
SM_CXDRAG
两边的像素数量的鼠标点下时,鼠标指针拖拽操作开始前可以移动。
SM_CXEDGE
3 d边界的宽度,以像素为单位。这个指标指的是SM_CXBORDER的3 d对应。
SM_CXFIXEDFRAME
框架的厚度的四周的窗口标题但不是相当大,在像素。
SM_CXFOCUSBORDER
左和右边缘的宽度的焦点矩形DrawFocusRect吸引。
SM_CXFRAME
这个值是SM_CXSIZEFRAME一样。
SM_CXFULLSCREEN
全屏窗口的客户区域的宽度在主显示屏,以像素为单位。
SM_CXHSCROLL
箭头位图的宽度在一个水平滚动条,以像素为单位。
SM_CXHTHUMB
拇指的宽度框在一个水平滚动条,以像素为单位。
SM_CXICON
一个图标的默认宽度,以像素为单位。
SM_CXICONSPACING
物品的网格单元的宽度大图标视图,以像素为单位。
SM_CXMAXIMIZED
默认的宽度,以像素为单位,最大化的顶级窗口在主显示屏上。
SM_CXMAXTRACK
默认最大宽度的一个窗口,有一个标题和规模边界,以像素为单位。
SM_CXMENUCHECK
默认菜单可选位图的宽度,以像素为单位。
SM_CXMENUSIZE
菜单栏按钮的宽度,如子窗口关闭按钮在多个文档中使用的接口,以像素为单位。
SM_CXMIN
一个窗口的最小宽度,以像素为单位。
SM_CXMINIMIZED
最小化窗口的宽度,以像素为单位。
SM_CXMINSPACING
一个网格单元最小化窗口的宽度,以像素为单位。
SM_CXMINTRACK
最小的跟踪窗口的宽度,以像素为单位。
SM_CXPADDEDBORDER
标题窗口的边界填充量,像素。
SM_CXSCREEN
主显示器屏幕的宽度,以像素为单位。
SM_CXSIZE
一个按钮的宽度在一个窗口标题或标题栏,以像素为单位。
SM_CXSIZEFRAME
上浆的四周边界的厚度可以调整窗口大小,以像素为单位。
SM_CXSMICON
推荐的一个小图标的宽度,以像素为单位。
SM_CXSMSIZE
小标题按钮的宽度,以像素为单位。
SM_CXVIRTUALSCREEN
虚拟屏幕的宽度,以像素为单位。
SM_CXVSCROLL
垂直滚动条的宽度,以像素为单位。
SM_CYBORDER
一个窗口边界的高度,以像素为单位。
SM_CYCAPTION
标题区域的高度,以像素为单位。
SM_CYCURSOR
一个游标的高度,以像素为单位。
SM_CYDLGFRAME
这个值是SM_CYFIXEDFRAME一样。
SM_CYDOUBLECLK
矩形的高度在第一次点击的位置双击序列,以像素为单位。
SM_CYDRAG
像素的数量上下一个鼠标点下时,鼠标指针拖拽操作开始前可以移动。
SM_CYEDGE
3 d边界的高度,以像素为单位。这是3 d SM_CYBORDER同行。
SM_CYFIXEDFRAME
框架的厚度的四周的窗口标题但不是相当大,在像素。
SM_CYFOCUSBORDER
顶部和底部的高度由DrawFocusRect边缘的焦点矩形。这个值是在像素。
SM_CYFRAME
这个值是SM_CYSIZEFRAME一样。
SM_CYFULLSCREEN
全屏窗口的客户区域的高度在主显示屏,以像素为单位。
SM_CYHSCROLL
一个水平滚动条的高度,以像素为单位。
SM_CYICON
默认的图标的高度,以像素为单位。
SM_CYICONSPACING
一个网格单元的高度的物品在大图标视图中,在像素。
SM_CYKANJIWINDOW
对于双字节字符集版本的系统,这是汉字的高度窗口在屏幕的底部,以像素为单位。
SM_CYMAXIMIZED
默认的高度,以像素为单位,最大化的顶级窗口在主显示屏上。
SM_CYMAXTRACK
默认最大高度的一个窗口,有一个标题和规模边界,以像素为单位。
SM_CYMENU
一个单行的菜单栏的高度,以像素为单位。
SM_CYMENUCHECK
默认的菜单可选位图的高度,以像素为单位。
SM_CYMENUSIZE
菜单栏按钮的高度,如子窗口关闭按钮在多个文档中使用的接口,以像素为单位。
SM_CYMIN
一个窗口的最小高度,以像素为单位。
SM_CYMINIMIZED
最小化窗口的高度,以像素为单位。
SM_CYMINSPACING
最小化窗口的网格单元的高度,以像素为单位。
SM_CYMINTRACK
最低跟踪窗口的高度,以像素为单位。
SM_CYSCREEN
主显示器屏幕的高度,以像素为单位。
SM_CYSIZE
一个按钮的高度在一个窗口标题或标题栏,以像素为单位。
SM_CYSIZEFRAME
上浆的四周边界的厚度可以调整窗口大小,以像素为单位。
SM_CYSMCAPTION
一个小标题的高度,以像素为单位。
SM_CYSMICON
推荐一个小图标的高度,以像素为单位。
SM_CYSMSIZE
小标题按钮的高度,以像素为单位。
SM_CYVIRTUALSCREEN
虚拟屏幕的高度,以像素为单位。虚拟屏幕的边界矩形显示监视器。
SM_CYVSCROLL
箭头的高度位图在一个垂直滚动条,以像素为单位。
SM_CYVTHUMB
拇指盒子的高度在一个垂直滚动条,以像素为单位。
SM_DBCSENABLED
如果User32非零。dll支持DBCS;否则,0。
SM_DEBUG
非零如果调试版本的用户。exe安装;否则,0。
SM_DIGITIZER
非零如果当前操作系统Windows 7或Windows Server 2008 R2和平板电脑输入服务启动;否则,0。返回值是一个指定的位掩码数字化仪输入的类型支持的设备。
SM_IMMENABLED
非零如果输入法管理器/输入法编辑器功能启用;否则,0。
SM_MAXIMUMTOUCHES
非零如果有数字化仪的系统;否则,0。
SM_MEDIACENTER
非零如果当前操作系统是Windows XP,媒体中心版,如果不是0。
SM_MENUDROPALIGNMENT
非零如果下拉菜单右对齐,对应的菜单栏项目;0如果菜单左对齐。
SM_MIDEASTENABLED
非零如果系统是支持希伯来语和阿拉伯语语言,如果不是0。
SM_MOUSEPRESENT
非零如果鼠标安装;否则,0。
SM_MOUSEHORIZONTALWHEELPRESENT
非零如果鼠标水平滚动轮安装;否则0。
SM_MOUSEWHEELPRESENT
非零如果鼠标垂直滚动轮安装;否则0。
SM_NETWORK
最低有效位设置如果网络存在;否则,它将被清除。
SM_PENWINDOWS
非零的Microsoft Windows笔计算扩展安装;否则为0。
SM_REMOTECONTROL
这个系统指标中使用终端服务环境来确定当前终端服务器会话被远程控制。它的值是零,如果当前会话是远程控制;否则,0。
SM_REMOTESESSION
这个系统指标中使用终端服务环境。如果调用过程与终端服务客户端会话相关联时,返回值是零。如果调用过程与终端服务控制台会话,返回值是0。
SM_SAMEDISPLAYFORMAT
非零如果所有显示监视器有相同的颜色格式,否则,0。
SM_SECURE
这个系统指标应该被忽略;它总是返回0。
SM_SERVERR2
构建数字如果系统是Windows Server 2003 R2;否则,0。
SM_SHOWSOUNDS
非零如果用户需要一个应用程序呈现信息可视化在它原本存在的信息的情况下只以声音形式;否则,0。
SM_SHUTTINGDOWN
非零如果当前会话关闭;否则,0。
SM_SLOWMACHINE
非零如果计算机有一个低端的处理器(慢);否则,0。
SM_STARTER
非零如果当前操作系统Windows 7 Starter版本,Windows Vista起动器,或Windows XP Starter版本;否则,0。
SM_SWAPBUTTON
非零的含义左和右鼠标按键交换;否则,0。
SM_TABLETPC
非零如果当前操作系统Windows XP平板电脑版或如果当前操作系统Windows Vista和Windows 7平板电脑输入服务启动;否则,0。
SM_XVIRTUALSCREEN
左边的坐标虚拟屏幕上。
SM_YVIRTUALSCREEN
虚拟屏幕的顶部的坐标。
空字符串值允许在这里允许详细的错误报告。
EntityItemGUIDType限制GUID的表示一个字符串值,用于模块ID。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
模式 (\ {[a-fA-F0-9] {8} - {4} [a-fA-F0-9] [a-fA-F0-9] {4} - {4} [a-fA-F0-9] [a-fA-F0-9] {12} \}) {0}
EntityItemCmdletVerbType限制一个字符串值的一组允许cmdlet动词。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 批准
通过动词确认或同意一个资源的状态或过程。
断言
断言动词肯定一个资源的状态。
比较
比较动词评估数据从一个资源与数据从另一个资源。
确认
确认动词承认,验证或验证,资源的状态或过程。
找到
找到动词寻找一个对象在一个容器,是未知的,隐含的、可选的,或指定。
得到
把动词指定检索资源的行动。
进口
导入动词创建一个资源从数据存储在一个持久数据存储(如文件)或在一个交换格式。
测量
测量动词识别资源被指定的操作,或者检索统计信息资源。
读
读动词获得信息从源。
请求
动词要求资源的请求或要求权限。
解决
解决动词的速记表示资源映射到一个更完整的表示。
搜索
搜索动词一个容器中创建一个引用的资源。
选择
选择动词定位资源的容器。
显示
展示动词使资源对用户可见。
测试
测试动词验证操作或资源的一致性。
跟踪
跟踪动词追踪资源的活动。
看
看动词不断检查或监视资源的变化。
空字符串也可以支持空元素与错误条件有关。
EntityItemWindowsViewType限制一个字符串值的一组特定的价值观:32位和64位。这些值描述不同的值的窗口视图的行为。
限制:oval-sc: EntityItemStringType
价值 描述 32 _bit
表明32 _bit窗口视图。
64年_bit
表明64 _bit windows视图。
空字符串值允许在这里允许空元素与错误条件有关。
EntityItemUserRightType限制一个字符串值的一组特定的值,描述了不同的用户权利或特权。空字符串也可以支持空元素与错误条件有关。
限制:oval-sc: EntityItemStringType
价值 描述 SE_ASSIGNPRIMARYTOKEN_NAME
这种特权必须分配过程的主要标记。
SE_AUDIT_NAME
这种特权必须生成审核日志条目。
SE_BACKUP_NAME
这种特权必须执行备份操作。
SE_CHANGE_NOTIFY_NAME
这种特权必须接收通知的更改文件或目录。
SE_CREATE_GLOBAL_NAME
这种特权必须创建命名文件映射对象的全局名称空间在终端服务会话。
SE_CREATE_PAGEFILE_NAME
这种特权必须创建一个分页文件。
SE_CREATE_PERMANENT_NAME
这种特权必须创建一个永久对象。
SE_CREATE_SYMBOLIC_LINK_NAME
这种特权必须创建一个符号链接。
SE_CREATE_TOKEN_NAME
这种特权必须创建一个主令牌。
SE_DEBUG_NAME
这种特权必须调试和调整过程被另一个账户拥有的记忆。
SE_ENABLE_DELEGATION_NAME
这种特权必须马克用户和计算机账户作为代表团的信任。
SE_IMPERSONATE_NAME
这种特权必须模仿。
SE_INC_BASE_PRIORITY_NAME
这种特权必须增加流程的基础优先。
SE_INCREASE_QUOTA_NAME
这种特权必须增加配额分配给一个过程。
SE_INC_WORKING_SET_NAME
这种特权需要分配更多的内存的应用程序运行在用户的上下文中。
SE_LOAD_DRIVER_NAME
这种特权必须加载和卸载设备驱动程序。
SE_LOCK_MEMORY_NAME
这种特权必须锁定在内存中物理页。
SE_MACHINE_ACCOUNT_NAME
这种特权必须创建一个计算机帐户。
SE_MANAGE_VOLUME_NAME
这种特权必须启用卷管理特权。
SE_PROF_SINGLE_PROCESS_NAME
这种特权必须收集剖析信息为一个过程。
SE_RELABEL_NAME
这种特权必须修改强制完整性级别的一个对象。
SE_REMOTE_SHUTDOWN_NAME
这种特权必须关闭一个系统使用一个网络请求。
SE_RESTORE_NAME
这种特权必须执行恢复操作。
SE_SECURITY_NAME
这种特权必须执行一些与安全相关的功能,如控制和查看审计信息。
SE_SHUTDOWN_NAME
这种特权必须关闭本地系统。
SE_SYNC_AGENT_NAME
这种特权域控制器需要使用轻量级目录访问协议目录同步服务。
SE_SYSTEM_ENVIRONMENT_NAME
这种特权必须修改系统的非易失性RAM使用这种类型的内存来存储配置信息。
SE_SYSTEM_PROFILE_NAME
这种特权必须对整个系统收集分析信息。
SE_SYSTEMTIME_NAME
这种特权必须修改系统时间。
SE_TAKE_OWNERSHIP_NAME
这需要特权没有被授予全权访问一个对象的所有权。
SE_TCB_NAME
这种特权标识其持有人作为可信计算机基础的一部分。
SE_TIME_ZONE_NAME
这种特权必须调整时区与计算机相关的内部时钟。
SE_TRUSTED_CREDMAN_ACCESS_NAME
需要这个特权访问凭据经理为受信任的调用方。
SE_UNDOCK_NAME
这种特权号需要一台笔记本电脑。
SE_UNSOLICITED_INPUT_NAME
这种特权必须阅读主动输入从一个终端设备。
SE_BATCH_LOGON_NAME
这个账户需要一个帐户登录使用批处理登录类型。
SE_DENY_BATCH_LOGON_NAME
这个账户明确否认一个帐户登录使用批处理登录类型。
SE_DENY_INTERACTIVE_LOGON_NAME
这个账户明确否认一个帐户登录使用交互式登录类型。
SE_DENY_NETWORK_LOGON_NAME
这个账户明确否认一个帐户登录使用网络登录的权利类型。
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
这个帐户正确的明确否认一个帐户正确的远程登录使用交互式登录类型。
SE_DENY_SERVICE_LOGON_NAME
这个账户明确否认一个帐户登录使用服务登录的权利类型。
SE_INTERACTIVE_LOGON_NAME
这个账户需要一个帐户登录使用交互式登录类型。
SE_NETWORK_LOGON_NAME
这个账户需要一个帐户登录使用网络登录类型。
SE_REMOTE_INTERACTIVE_LOGON_NAME
这个账户需要一个帐户登录远程使用交互式登录类型。
SE_SERVICE_LOGON_NAME
这个账户需要一个帐户登录使用服务登录类型。
空字符串值允许在这里允许详细的错误报告。