Создание собственных определений безопасности

1.Щелкните Сервис > Безопасность > Исправления и проверка соответствия (Tools > Security > Patch and Compliance).

2.В списке Тип (Type) выберите Все типы (All Types) или Пользовательские определения (Custom Definitions). (Кнопка Создать пользовательское определение (Create custom definition) на панели инструментов доступна только в случае выбора одного из этих двух типов или же в случае выбора типа Заблокированные приложения (Blocked Applications), если вы хотите создать пользовательское определение заблокированного приложения.)

3.На панели инструментов нажмите кнопку Создать пользовательское определение (Create custom definition). Открывается диалоговое окно свойств с возможностью изменения, в котором можно сконфигурировать настройки уязвимостей.

4.Введите уникальный идентификатор и заголовок для уязвимости. (Генерируемый системой идентификационный код можно изменить.)

5.Тип (Type) "Пользовательское определение" (Custom Definition) изменить нельзя.

6.Укажите значение Дата публикации (Publish date).

7.Введите описательный заголовок для уязвимости. Это заголовок отображается в списках уязвимостей.

8.Укажите Важность публикации (Published severity). Доступны следующие параметры: "Неизвестно" (Unknown), "Пакет обновлений" (Service Pack), "Критический" (Critical), "Высокий" (High), "Средний" (Medium), "Низкий" (Low) и "Не применяется" (Not Applicable). Вы также можете переопределить опубликованный уровень серьезности, если ваша оценка риска окажется отличной.

9.Укажите Статус (Status) для уязвимости. После указания состояния уязвимость помещается в соответствующую группу в дереве (см. раздел Все элементы (определения в виде дерева)).

10.В качестве языковой настройки для пользовательских уязвимостей автоматически задается INTL (международный или не зависящий от языка, то есть уязвимость можно применять к версиям операционных систем и приложений для любого языка).

11.В списке Правила обнаружения (Detection Rules) отображаются все правила, используемые этой уязвимостью. Если вы создаете новое пользовательское определение уязвимости, нужно настроить хотя бы одно правило обнаружения, которое сканер безопасности будет использовать для сканирования устройств на наличие уязвимости. Чтобы добавить правила обнаружения, щелкните Добавить (Add). (Инструкции см. в описанной ниже процедуре.)

12.Чтобы предоставить дополнительную информацию об этой уязвимости, щелкните Описание (Description) и введите в текстовом поле ваши комментарии или укажите действующий web-адрес, по которому размещена дополнительная информация.

13.Чтобы включить предварительные условия для этого пользовательского определения уязвимости (и посмотреть другие определения, зависящие от этого определения уязвимости), щелкните Зависимости (Dependencies) и настройте определения предварительных условий.

14.Чтобы создать (или изменить) ваши собственные пользовательские переменные для этого пользовательского определения уязвимости, щелкните Пользовательские переменные (Custom Variables) и настройте пользовательские переменные.

15.После указания атрибутов для пользовательского определения уязвимости нажмите OK.

Как и в случае с известными определениями уязвимостей от поставщиков, пользовательские определения уязвимостей должны включать одно или несколько правил обнаружения, по которым сканер обнаружения определяет условия поиска при сканировании управляемых устройств. Чтобы создать правило обнаружения для пользовательского определения уязвимости, выполните описанные ниже действия.

Вы можете делать изменения для пользовательского определения уязвимости аналогично изменениям для любой известной уязвимости, описание которой получено из отраслевого источника. Можно задать для уязвимости состояние "Сканировать" (Scan) или поместить ее в группу "Сканировать" (Scan), чтобы включить в следующую операцию сканирования безопасности, поместить ее в группу "Не сканировать" (Don't Scan) или "Не назначено" (Unassigned), просмотреть список задействованных компьютеров, включить автоисправление, создать задание исправления или очистить состояние сканирования или исправления. Для выбора нужного параметра щелкните правой кнопкой пользовательское определение уязвимости, чтобы открыть контекстное меню.

1.Щелкните правой кнопкой мыши пользовательское определение и выберите Свойства (Properties). (Можно также дважды щелкнуть определение уязвимости.)

2.Нажмите кнопку Добавить (Add) под списком Правила обнаружения (Detection Rules). Открывается версия диалогового окна свойств правил с возможностью внесения изменений на странице общей информации, где можно настроить правило обнаружения.

3.На странице Общая информации правила (Rule general information) введите уникальное имя для правила. Состояние правила здесь изменить нельзя. Чтобы изменить состояние правила обнаружения, щелкните правой кнопкой мыши правило в списке и выберите Включить (Enable) или Отключить (Disable) в зависимости от текущего состояния. Информацию об определении правила здесь изменить нельзя. Но вы можете ввести любую информацию в поле комментариев.

4.С помощью различных страниц диалогового окна свойств правила определите правило обнаружения в соответствии с последующим описанием процедуры.

5.Откройте страницы Логика обнаружения (Detection Logic).

6.На странице Задействованные платформы (Affected Platforms) выберите платформы, на которых должен запускаться сканер безопасности для проверки этого определения правила обнаружения. Список доступных платформ зависит от уязвимостей, определения которых обновлены с помощью утилиты исправлений и проверки соответствия. Чтобы добавить доступные платформы в список, щелкните Загрузить список платформ по умолчанию (Load default platform list). Необходимо выбрать хотя бы одну платформу.

7.На странице Задействованные продукты (Affected Products) ассоциируйте правило с одним или несколькими конкретными программными приложениями. Сначала нажмите Конфигурация (Configure), чтобы открыть диалог Выбранные задействованные продукты (Selected affected products), в котором можно добавлять и удалять продукты в списке Задействованные продукты (Affected products) (этот список при желании можно сократить, установив флажок в нижней части диалогового окна). Список доступных продуктов определяется обновленными данными. У вас не обязательно должен быть в наличии продукт, ассоциированный с правилом обнаружения. Ассоциированные продукты действуют как фильтр во время работы сканера безопасности. Если на устройстве найден указанный ассоциированный продукт, сканирование прекращается. Но если продукт не найден, или продукты не указаны, сканер продолжает проверку файлов.

8.На странице Фильтр запросов (Query filter) вы можете дополнительно указать запрос, который включает только те устройства, для которых вы хотите использовать пользовательское правило обнаружения для результатов поиска.

9.На странице Файлы (Files) настройте условия для файлов, которые должен проверять сканер в соответствии с правилом. Щелкните Добавить (Add), чтобы поля на странице можно было изменить. При настройке условия для файлов в первую очередь следует указать метод проверки. Поля на этой странице зависят от выбранного метода проверки. Чтобы сохранить условие для файлов, щелкните Обновить (Update). Можно добавить сколько угодно условий для файлов. Подробное описание этого параметра см. в разделе Страница "Логика обнаружения: Файлы, используемые для обнаружения".

10.На странице Настройки реестра (Registry Settings) настройте условия для реестра, которые должен проверять сканер в соответствии с правилом. Щелкните Добавить (Add), чтобы поля можно было изменить. Чтобы сохранить условие для реестра, щелкните Обновить (Update). Можно добавить сколько угодно условий для реестра. Подробное описание этого параметра см. в разделе Страница "Логика обнаружения: Настройки реестра, используемые для обнаружения".

11.На странице Специальный сценарий (Custom Script) вы можете создать собственный сценарий Virtual Basic в помощь при выполнении обнаружения для этого правила. Сценарий может иметь доступ к следующим свойствам сканера для отражения данных в отчете: "Обнаружено" (Detected), "Причина" (Reason), "Номинальная" (Expected) и "Найдено" (Found).

12.На странице Patch information Информация об исправлении (Patch Information) укажите, нужно ли уязвимость, ассоциированную с этим правилом обнаружения, исправлять или только обнаруживать на управляемых устройствах. Если выбрать вариант с исправлением, становятся доступными для изменения поля Информация о загрузке исправления (Patch Download Information) и Информация об исправлении (Repair Information).

13.Если возможно устранить нарушение путем развертывания исправления, введите URL-адрес, ведущий к файлу исправления, и укажите, может ли он загружаться автоматически. (Можно попытаться загрузить файл ассоциированного исправления сразу, щелкнув Загрузить (Download), или загрузить его в другое время.)

14.Помимо этого, если можно устранить нарушение путем развертывания исправления, введите уникальное имя файла исправления и укажите, требуется ли перезапуск для завершения исправления и взаимодействие с пользователем во время исправления. (Для правила обнаружения, включающего устранение нарушений, настоятельно рекомендуется создать хэш для файла исправления, щелкнув Создать хэш MD5 (Generate MD5 Hash). Прежде чем создавать хэш, необходимо загрузить сам файл исправления. Для получения дополнительной информации о хэше см. раздел Правило обнаружения: Страница "Общая информация".)

15.Для правила, используемого для исправления, можно настроить дополнительные команды, которые выполняются в процессе исправления на задействованных устройствах. Для конфигурации дополнительных команд перейдите на страницу Команды установки исправлений (Patch Install Commands) и щелкните Добавить (Add), чтобы выбрать тип команды и разрешить изменение полей аргументов команды. Дополнительные команды установки исправления не являются обязательными. Если вы не настраиваете специальные команды, файл исправления выполняется сам собой обычным образом. Для получения подробного описания этого параметра см. раздел Страница "Команды установки исправлений".

1.Щелкните Сервис > Безопасность > Исправления и проверка соответствия (Tools > Security > Patch and Compliance).

2.В списке Тип (Type) выберите Блокируемые приложения (Blocked Applications).

3.На панели инструментов нажмите кнопку Создать пользовательское определение (Create custom definition). Откроется диалог с возможностью изменения, в котором вы можете сконфигурировать настройки.

4.Укажите Имя файла (Filename) для блокируемого приложения. Сканер безопасности будет проверять заголовок файла, и поэтому, даже если имя файла будет изменено, приложение на управляемом устройстве будет блокировано.

5.Введите Заголовок (Title) и Сводка (Summary) для определения. Эти значения указываются для удобства организации определений.

6.Для помещения определения в список Категория (Category) выберите существующую категорию в раскрывающемся списке или введите новую категорию в поле.

7.Если необходимо, укажите конкретную версию или диапазон версий блокируемых приложений. Этот параметр доступен только для устройств под управлением ОС Windows. Он будет игнорироваться, когда будет установлен для устройства с ОС Mac.

8.Выберите Задействованные платформы (Affected platforms) для ограничения числа сканируемых устройств для данного определения.

9.Перейдите на вкладку Статус блокировки (Block status) для установки статуса определения. По умолчанию определение имеет статус Блокировать (глобально) (Block (global)).

10.Нажмите OK.