問題:私はVMを構築してクライアントにオンサイトで提供し、ドメインコントローラーのスキャンのような「SCAP」を実行できるようにしたいと思います。パッチの欠落などの観点から脆弱性スキャンは必要ありません。エクスプロイト。グループポリシー設定やDoD(または他の有名な標準エンティティ)による「ベストプラクティス」のようなものにもっと興味があります。STIGSがすべてではなく、コンプライアンスやセキュリティのすべてであるとは思いませんが、オンサイトでクライアントに提供できるものにもう1つ似ています。私は、クライアントに提供できるものを常に探しています。これは、私が本当にできることの1つです。
背景:私は元現役空軍で、現在は予備役です。私の民間の仕事は、クライアントのアイデンティティリスク分析を行うことです。 DoD SCAPスキャナーと私の会社のNessusライセンスに技術的にアクセスできます。ただし、NessusプラットフォームはPenTestチームによって使用されており、私よりも大きなニーズがあります。私の仕事はVulScannerを必要としないので、別のライセンスを購入することを正当化できます。ただし、プラットフォームを利用している場合や、クライアントがインターネットから内部ネットワークへのリモートスキャンを許可していない場合は、別のオフィスで待つ必要もありません。 SCAPスキャナーはDoD製品であり、商用市場がアクセスできないことを確認しているため、私はSCAPスキャナーを使用するのは適切ではないと感じています。私がまだクライアントCACを持っているという理由だけで彼らのプロセスを回避することは、クライアントのためにコンサルティングを行っているときに間違っているようです。
調査した内容:OpenSCAPとOpenVASを使用して調べました。 OpenSCAPは、Windowsのスキャン機能がないことを直接教えてくれたのでやめましょう。はい、SCAPデータをインポートできますが、Windowsマシンに対してスキャンを実行できません。 OpenVASを調査して、完全な脆弱性スキャンではなく、スキャンを調整してSTIG/SCAPコンテンツのみを実行できるかどうかを確認しています。最後に、Microsoftベストプラクティスアナライザーを他に何も存在しない場合の妥協案として検討します(つまり、MSが最良と考えるものに夢中になっています)。
JovalCM.comを使用することもできますが、OpenSCAPやovaldiも機能しない理由は正直にわかりません。 OpenVASは、高度な構成で設定した場合、チェックでovaldiの統合をサポートします。
SCAPは資格情報を必要とし、OpenVASからの出力も資格情報と適切な構成なしで実行されると疑わしい(たとえば、多くの誤検知、誤検知、その他のエラー)。 CIS-CATは、これらのツールに代わる優れた商用の代替手段ですが、さらに優れたツールもあります。私のお気に入りはSymantec Control Compliance Suiteです。
私の提案は、できる限り多くのセキュリティベースラインを実装することです。