Guía del usuario de Configuration Management
Anuncio
Guía del usuario de IBM Endpoint
Manager for Configuration
Management
ii
Guía del usuario de IBM Endpoint Manager for Configuration Management
Contenido
Guía del usuario de Configuration
Management . . . . . . . . . . . . . 1
Configuración de la gestión de configuración . . . 1
Requisitos del sistema . . . . . . . . . . 2
Utilización de comprobaciones y listas de
comprobación . . . . . . . . . . . . . . 3
Comprobar los Fixlets . . . . . . . . . . 3
Modificación de parámetros de comprobación . . 6
Activación del análisis de valor medido . . . . 6
Creación y gestión de listas de comprobación
personalizadas . . . . . . . . . . . . . 7
Utilización del asistente Sincronizar
comprobaciones personalizadas . . . . . . . 9
Realización de una acción de reparación . . . . 11
Configuración de listas de comprobación de
Windows . . . . . . . . . . . . . . . 12
Visualización de comprobaciones . . . . . . 12
Activación de las tareas de fixlet de requisito
previo . . . . . . . . . . . . . . . 12
Modificación de los parámetros de comprobación
de Windows . . . . . . . . . . . . . 13
Reparación de valores de configuración de
Windows . . . . . . . . . . . . . .
Configuración de listas de comprobación de UNIX
Configuración de listas de comprobación . . .
Análisis. . . . . . . . . . . . . . .
Utilización del asistente Crear contenido SCM de
relevancia personalizada . . . . . . . . .
Creación de contenido de Gestión de la
configuración de seguridad de UNIX . . . . .
Importación de contenido de SCAP . . . . . .
Más información sobre SCAP . . . . . . .
Listas de comprobación de SCAP . . . . . .
Utilización del asistente Importar SCAP de
Windows . . . . . . . . . . . . . .
Utilización del asistente Creación de informes . .
Utilización de OVALDI . . . . . . . . .
Informes de gestión de configuración . . . . . .
Preguntas más frecuentes . . . . . . . . . .
Glosario . . . . . . . . . . . . . . .
Soporte . . . . . . . . . . . . . . . .
Avisos . . . . . . . . . . . . . . . .
13
13
14
25
25
26
27
27
30
31
33
33
34
34
35
40
40
iii
iv
Guía del usuario de IBM Endpoint Manager for Configuration Management
Guía del usuario de Configuration Management
Esta guía describe una cartera de contenido de configuración de seguridad
denominada Gestión de configuración. Este contenido se organiza a través de listas
de comprobación, que evalúa y administra las configuraciones de ordenadores de
sobremesa, portátiles y servidores. La solución Gestión de configuración ha
otorgado certificación de validación de Protocolo de automatización de contenido
de seguridad (SCAP) con el Instituto nacional de estándares y tecnología (NIST)
para la evaluación y solución de problemas de configuración. Al ofrecer una
amplia biblioteca de comprobaciones técnicas, la Gestión de configuración detecta
y aplica las políticas de configuración de seguridad a la vez que utiliza las mejores
prácticas del sector.
Esta guía sirve de recurso para el personal de TI responsable de gestionar y hacer
cumplir las políticas empresariales de configuración de sistemas en puntos finales.
Las listas de comprobación de Gestión de configuración permiten a los equipos de
seguridad definir los parámetros de seguridad y las configuraciones que requiere
la política empresarial. Los directores de TI utilizan las listas de comprobación de
Gestión de configuración para aplicar políticas de seguridad y documentar el
estado actual del cumplimiento de las políticas empresariales. Los operadores de la
consola de Tivoli Endpoint Manager se centran en los detalles de la gestión diaria
de la configuración de todos los sistemas para utilizar la información detallada de
cada punto final. Los auditores utilizan las listas de comprobación de la Gestión de
configuración para determinar el estado actual de cumplimiento de sistemas dentro
de la organización.
Configuración de la gestión de configuración
Siga estos pasos para configurar la implementación de gestión de la configuración.
Siga estos pasos para configurar la gestión de la configuración
1. Planifique la implementación de gestión de la configuración.
2. Suscríbase a los sitios SCM externos.
3. Cree listas de comprobación personalizadas o sitios personalizados.
Planificación de la implementación de la gestión de la
configuración
Tenga en cuenta los pasos siguientes cuando planifique la implementación de la
gestión de la configuración.
1. Identifique qué equipos ejecutará el contenido de gestión de la configuración.
2. Agrupe los equipos por sistema operativo.
3. Cree subgrupos en cada sistema operativo que deba cumplir los distintos
estándares.
Suscripción a los sitios
Cada lista de comprobación de gestión de configuración se ofrece como un sitio
único y representa un estándar y plataforma únicos. El contenido se actualiza
continuamente y se entrega automáticamente cuando se añade a una
implementación de IBM Endpoint Manager. Los equipos deben estar suscritos al
1
sitio para recoger los datos desde los clientes de Endpoint Manager. Estos datos se
utilizan para la creación de informes y el análisis.
El proceso de suscripción del sitio depende de la versión de la consola de
Endpoint Manager que ha instalado. Para obtener más información, consulte la
Guía del usuario del administrador.
También puede utilizar un aislante de seguridad "air-gap" para separar el servidor
de Endpoint Manager y el servidor de Fixlet de Internet. Para obtener más
información, consulte la publicación Installing in an Air-Gapped Network.
Los Fixlets de este sitio se pueden utilizar tal cual o de manera personalizada para
que se adecuen a sus políticas de seguridad propias. Los cálculos de conformidad
se evalúan de manera local en cada punto final y la solución de la gestión de
configuración es escalable y puede acomodar grandes números de equipos.
Puede elegir copiar el contenido de la gestión de configuración en sitios
personalizados, para que pueda personalizar el contenido.
Creación de sitios personalizados
Como cada lista de comprobación de gestión de configuración se ofrece como un
sitio único, cuando crea un sitio personalizado, de hecho está creando una lista de
comprobación personalizada.
Utilice las listas de comprobación personalizadas para ajustar los valores
supervisados en la implementación. Puede personalizar los parámetros de gestión
de configuración y excluir equipos específicos de un análisis. Las listas de
comprobación personalizadas están dirigidas a conjuntos específicos de equipos
con contenido adaptado con el uso del mecanismo de suscripción.
La creación de listas de comprobación personalizadas implica los pasos siguientes
1. Cree una lista de comprobación personalizada desde una lista de comprobación
externa existente.
2. Personalice los Fixlets utilizando la parametrización incorporada.
3. Suscriba los equipos correctos a la lista de comprobación personalizada.
Puede utilizar el asistente Crear lista de comprobación personalizada para crear
nuevas listas de comprobación personalizadas que se basan en las listas de
comprobación externas suscritas actualmente. Para obtener más información,
consulte Creación de listas de comprobación personalizadas.
Requisitos del sistema
Configure la implementación de acuerdo con los requisitos del sistema para
implementar satisfactoriamente la gestión de configuración.
La implementación de IBM Endpoint Manager se debe configurar según los
requisitos siguientes:
Tabla 1. Componentes soportados y requisitos del sistema para implementar la
configuración de gestión
2
Componentes
Requisitos
Versiones de navegador soportadas
Internet Explorer 7.0 o posterior
Versión de Adobe Flash Player
Flash Player 9.0 o posterior
Guía del usuario de IBM Endpoint Manager for Configuration Management
Tabla 1. Componentes soportados y requisitos del sistema para implementar la
configuración de gestión (continuación)
Componentes
Requisitos
Versiones de componente de IBM
Endpoint Manager
v Console 8.0 o posterior
v Cliente de Windows 8.0
v Cliente de UNIX:
– Versión reemplazada: IBM Endpoint Manager
UNIX Client 7.2
– Versión no reemplazada: IBM Endpoint
Manager UNIX Client versión 8.1.551.0
Utilización de comprobaciones y listas de comprobación
La comprobación de Fixlets en listas de comprobación de gestión de configuración
evalúa un punto de destino en un estándar de configuración. Muchos Fixlets de
comprobación tienen un análisis correspondiente, que a veces se denomina valores
medidos, que informa del valor del elemento que evalúa el Fixlet de comprobación.
Comprobar los Fixlets
Un Fixlet de comprobación adquiere relevancia cuando un equipo cliente no
cumple una norma de configuración. Mediante la visualización de los Fixlets de
gestión de configuración, puede identificar equipos que no cumplen las normas y
las normas correspondientes.
Para empezar a utilizar las listas de comprobación de Gestión de configuración,
obtenga una cabecera para el sitio Gestión de configuración apropiado y ábrala
dentro de la consola del Tivoli Endpoint Manager. Cuando el sitio se haya reunido
en la consola, siga los pasos siguientes para ver las comprobaciones:
1. Seleccione una lista de comprobación de Gestión de configuración en el árbol
de navegación.
Guía del usuario de Configuration Management
3
2. Expanda una lista de comprobación y haga clic en Fixlets y tareas.
4
Guía del usuario de IBM Endpoint Manager for Configuration Management
3. Haga clic en uno de los Fixlets que se muestran en la lista. El Fixlet se abre con
las siguientes fichas: Descripción, Detalles, Equipos aplicables e Historial de acciones.
Haga clic en la ficha Descripción para ver el texto que describe el Fixlet.
La ventana Fixlet normalmente contiene una descripción de la comprobación, las
opciones para personalizar el valor de configuración y una acción relacionada para
reparar uno o varios sistemas para que tengan el valor de configuración esperado.
Guía del usuario de Configuration Management
5
El Fixlet es aplicable a un subconjunto de puntos finales de su red. El tamaño de
este subconjunto se muestra en la ficha Equipos aplicables.
Nota: Los controles UNIX proporcionan parametrización personalizada, pero a
través de un mecanismo diferente. Para obtener más información, consulte la Guía
de listas de comprobación de gestión de configuración para Windows y UNIX.
Modificación de parámetros de comprobación
Además de supervisar el estado de conformidad y los valores de reparación que
no están en conformidad, también puede modificar los parámetros utilizados para
determinar la conformidad de las comprobaciones. Por ejemplo, puede establecer
la longitud mínima de la contraseña en un punto final en 14 caracteres. Puede
personalizar el parámetro de longitud de contraseña con su política específica.
Para obtener más información sobre la modificación de los parámetros de
comprobación, consulte la Guía de listas de comprobación de Gestión de configuración
para Windows y UNIX.
Activación del análisis de valor medido
Haga clic en el subnodo Análisis en una lista de comprobación para buscar análisis
de valor medido.
Además de comprobar Fixlets, algunas listas de comprobación incluyen análisis
que proporcionan los valores reales de los elementos que se están comprobando.
Los valores medidos se recuperan utilizando propiedades de análisis. Encontrará
análisis de valor medido haciendo clic en el subnodo Análisis en cualquier lista de
comprobación.
6
Guía del usuario de IBM Endpoint Manager for Configuration Management
Nota: Para obtener un mejor rendimiento, active únicamente los análisis que
necesite para la implementación. Sólo son visibles los análisis activados en SCA.
Creación y gestión de listas de comprobación personalizadas
La capacidad de personalizar parámetros de gestión de configuración y de excluir
equipos específicos de un análisis le proporciona control sobre su estado de
seguridad. Sin embargo, también puede utilizar listas de comprobación
personalizadas para ajustar los valores supervisados en la implementación. Las
listas de comprobación personalizadas apuntan a conjuntos específicos de equipos
con contenido personalizado mediante el mecanismo de suscripción. Esto permite
que las estadísticas se recopilen con mayor granularidad. Para crear su propia lista
de comprobación con sitios personalizados, realice los pasos siguientes.
v Paso 1: Cree una lista de comprobación personalizada desde una lista de
comprobación externa existente
v Paso 2: Personalice Fixlets utilizando la parametrización incorporada
v Paso 3: Suscriba los equipos correctos a la lista de comprobación personalizada
Creación de listas de comprobación personalizadas
Utilice este asistente para crear listas de comprobación personalizadas.
Debe estar suscrito al sitio externo de SCM Reporting.
1. En Dominio de configuración de seguridad, vaya a Gestión de la
configuración > Herramientas de lista de comprobación > Crear lista de
comprobación personalizada.
Guía del usuario de Configuration Management
7
2. Escriba el nombre de la nueva lista de comprobación.
3. Seleccione la plataforma de destino.
4. Haga clic en el menú desplegable para seleccionar de qué lista de
comprobación externa copiará las comprobaciones. A medida que selecciona las
comprobaciones, se muestran en la lista por etapas en la parte inferior de la
ventana.
5. Haga clic en Crear lista de comprobación.
La consola empieza copiando las comprobaciones en las listas seleccionadas a la
nueva lista de comprobación personalizada. El proceso puede tardar varios
minutos, según el número y el tamaño de las listas de comprobación seleccionadas.
Nota: Tenga cuidado cuando suscriba equipos a listas de comprobación
personalizadas. Las listas de comprobación personalizadas no dan soporte a la
relevancia de sitio, que le protege contra suscripciones incorrectas.
Personalización de contenido
Ahora que tiene una lista de comprobación personalizada llena con contenido
copiado de listas de comprobación externas, puede configurar la lista de
comprobación por alguna de las siguientes formas:
v Configurar los parámetros de comprobación para controlar la reparación
v Suprimir comprobaciones no necesarias o no deseadas
Nota: En Console versiones 8.0 y posteriores, la suscripción de equipos a un sitio
personalizado de lista de comprobación se maneja de la misma forma que las
suscripciones de la lista de comprobación externa.
8
Guía del usuario de IBM Endpoint Manager for Configuration Management
Utilización del asistente Sincronizar comprobaciones
personalizadas
Utilice el asistente Sincronizar comprobaciones personalizadas de SCM para
actualizar las comprobaciones personalizadas cuyos orígenes externos hayan sido
actualizados por IBM. Puede utilizar cualquier funcionalidad adicional o arreglos
de errores proporcionados por IBM (en forma de actualizaciones de sitios externos)
desde que se han realizado las copias personalizadas.
Para sincronizar una lista de comprobación personalizada, debe tener la última
versión del asistente Crear lista de comprobación personalizada (SCM Reporting
versión 36 o posterior). La última versión del asistente añade los metadatos
necesarios a las comprobaciones copiadas, que permiten al asistente de
sincronización determinar si se ha modificado el origen externo actual desde que
se realizó la copia.
v Usuario de SCM de primera vez
La asignación de Endpoint Manager no tiene listas de comprobación
personalizadas que se hayan creado antes del release del asistente de
sincronización, y las listas de comprobación que cree a partir de ahora serán
compatibles con el asistente Sincronizar comprobaciones personalizadas.
v El usuario de SCM existente y usted han utilizado la versión anterior del
asistente Sincronizar comprobaciones personalizadas.
Si ya tiene una o más listas de comprobación personalizadas creadas con una
versión anterior del asistente Crear lista de comprobación personalizada,
primero deberá volver a crear estas y cualquier otra lista de comprobación
personalizada que desee que tenga posibilidades de sincronización utilizando la
última versión del asistente Crear lista de comprobación personalizada.
Exploración para buscar comprobaciones obsoletas
Puede realizar exploraciones globales básicas o exploraciones de destino detalladas
para buscar comprobaciones obsoletas.
La lista de comprobación personalizada que sincronizará debe crearse con la última
versión del asistente Crear lista de comprobación personalizada (SCM Reporting
versión 36 o posterior).
Este asistente explora todas las listas de comprobación personalizadas SCM para
buscar las actualizaciones externas y muestra las listas de comprobación que
necesitan una actualización o una sincronización en la tabla. Tenga en cuenta que
esta exploración no detectará las comprobaciones que se hayan añadido o
eliminado de un sitio externo.
La exploración de destino detallada requiere que el usuario seleccione una lista de
comprobación de origen (externa) y una lista de comprobación de destino
(personalizada) antes de realizar la exploración. Esta exploración ejecuta una
exploración limitada que realiza una comparación de las listas de comprobación de
origen y destino para determinar si hay: comprobaciones personalizadas obsoletas,
comprobaciones externas que se acaban de añadir o comprobaciones externas que
se han eliminado recientemente.
Esta exploración se ha diseñado para utilizarse únicamente en aquellos casos en los
que el usuario desea mantener una copia actualizada de una lista de comprobación
externa completa. Si el destino no se ha creado originalmente como una copia del
origen, los resultados de esta exploración pueden ser confusos o engañosos; sin
Guía del usuario de Configuration Management
9
embargo, no hay restricciones estrictas a este objetivo y el usuario puede realizar
una comparación de exploración de destino detallada entre cualquier par de listas
de comprobación externa y personalizada.
1. Seleccione la ficha correspondiente.
v Exploración global básica
v Exploración de destino detallada
a. Seleccione el origen de las listas de comprobación externas.
b. Seleccione el destino de la lista de comprobación personalizada.
c. Opcional: haga clic en el menú desplegable Sólo mostrar para seleccionar
una de las opciones de filtro.
2. Haga clic en Explorar para buscar las comprobaciones desincronizadas.
Sincronización de comprobaciones obsoletas
Las parametrizaciones personalizadas se conservarán automáticamente.
1. En la ventana Comprobaciones desincronizadas, seleccione las casillas de
verificación en la columna más a la izquierda.
2. Haga clic en Sincronizar en la esquina superior izquierda. Un cuadro de
indicador de progreso muestra el porcentaje completado y el tiempo restante
estimado para completar la operación de sincronización. También puede
cancelar la operación en cualquier momento desde esta ventana.
Nota: El proceso de sincronización puede tardar varios segundos por
comprobación. Tenga esto en cuenta cuando sincronice grandes conjuntos de
comprobaciones a la vez.
Conservación de acciones de reparación personalizadas
Siga estos pasos para conservar los scripts de acción de reparación editados
manualmente para las comprobaciones de las listas de comprobación
personalizadas.
Normalmente, la sincronización de una comprobación personalizada sobrescribe la
acción de reparación existente, si existe, con la última del origen externo. No
obstante, si ha editado manualmente el script de acción de reparación para las
comprobaciones de las listas de comprobación personalizadas, puede conservar
esta acción personalizada después de la sincronización.
Nota: La conservación de una acción personalizada de esta forma impide a la
comprobación recibir actualizaciones y arreglos de errores en la porción de la
acción de reparación de la comprobación. Esta opción sólo se recomienda en
aquellos casos en los que el usuario está seguro de que la acción de la
comprobación de origen falta o es incorrecta, o si la política de seguridad requiere
la reparación de la comprobación de forma personalizada.
1. En el asistente Sincronizar comprobaciones personalizadas, haga clic en el
nombre de la comprobación personalizada. Se abre el Fixlet correspondiente.
2. Haga clic en Editar en la parte superior de la ventana Fixlet. En la ventana que
se abre, haga clic en la ficha Acciones.
3. Seleccione la acción que desee en la primera lista. En la mayoría de los casos,
sólo hay una.
4. Añada / SCMSyncManager: NO_SYNC a la primera línea del cuadro de texto
Script de acción.
10
Guía del usuario de IBM Endpoint Manager for Configuration Management
Realización de una acción de reparación
Muchos controles de Fixlet llevan acciones incorporadas para solucionar un
problema. Para iniciar el proceso de reparación, haga clic en el enlace del cuadro
Acciones.
Se abrirá el diálogo Llevar a cabo una acción, donde puede seleccionar los equipos
que desea reparar. Para obtener más información sobre el diálogo Llevar a cabo
una acción, consulte la Guía del operador de la consola de Tivoli Endpoint
Manager.
Las acciones de reparación normalmente establecen un valor en un archivo o en el
registro de Windows. La mayoría de las reparaciones de UNIX ejecutan el archivo
runme.sh para la comprobación adecuada. Esta acción aplica el valor recomendado
que se incluye con el producto o el parámetro personalizado que ha establecido de
acuerdo con su propia política empresarial.
Después de haya seleccionado un conjunto de puntos finales, haga clic en Aceptar e
introduzca su contraseña de clave privada para enviar la acción a los puntos
finales adecuados. Mientras que las acciones se ejecutan en los puntos finales y el
valor se repara, puede ver el progreso de las acciones en la consola.
Cuando cada punto final de un despliegue se pone en conformidad, el Fixlet de
comprobación ya no será relevante y se eliminará de la lista de Fixlets relevantes.
Aunque los Fixlets ya no están listados, continúan seleccionando equipos que no
alcanzan el nivel especificado de cumplimiento. Para su visualización, haga clic en
la ficha "Mostrar contenido no relevante" situada en la parte superior de la ventana
de la consola.
Guía del usuario de Configuration Management
11
Configuración de listas de comprobación de Windows
Las listas de comprobación de Configuration Management para sistemas Windows
se entregan como un conjunto de Fixlets y tareas que pueden ayudar a encontrar la
información necesaria para gestionar la implementación.
Visualización de comprobaciones
Un Fixlet de comprobación adquiere relevancia cuando un equipo cliente no
cumple una norma de configuración. Mediante la visualización de los Fixlets de
gestión de configuración, puede identificar equipos que no cumplen las normas y
las normas correspondientes.
Necesita una cabecera para el sitio de Gestión de configuración correspondiente.
Para obtener una lista de listas de comprobación de SCM, consulte la Wiki de listas
de comprobación de SCM. En la consola de Endpoint Manager, recopile el sitio y
realice los siguientes pasos para ver las comprobaciones.
1. Seleccione una lista de comprobación de Gestión de configuración en el árbol
de navegación.
2. Expanda una lista de comprobación.
3. Haga clic en Fixlets y tareas. La sección Fixlets y tareas se abre a la derecha.
4. Haga clic en uno de los Fixlets que se muestra en la lista. El Fixlet se abre con
las siguientes fichas: Descripción, Detalles, Equipos aplicables e Historial de
acciones.
5. Haga clic en la ficha Descripción para ver el texto que describe el Fixlet. La
ventana Fixlet normalmente contiene los siguientes detalles: una descripción de
la comprobación, las opciones para personalizar el valor de configuración y una
acción relacionada para reparar uno o varios sistemas para que tengan el valor
de configuración esperado. El Fixlet es aplicable a un subconjunto de puntos
finales de su red. El tamaño de este subconjunto se muestra en la ficha Equipos
aplicables.
Activación de las tareas de fixlet de requisito previo
Algunos fixlets requieren la activación previa de tareas para poder utilizarlos.
Algunos fixlets requieren la activación previa de una tarea para poder utilizarlos.
Puede identificar estas tareas mediante la palabra 'Task' que se añade al nombre de
fixlet. Por ejemplo, si el nombre de fixlet es Accounts: Rename Administrator
Account, la tarea asociada con el fixlet se denominará Task - Accounts: Rename
Administrator Account.
1. En el dominio de configuración de seguridad, vaya a Configuración de toda la
seguridad > Sitios.
2. Seleccione el sitio.
3. Seleccione la tarea. La palabra Task se añade a las tareas asociadas con los
fixlets que requieren tareas de requisito previo para poder utilizarlos.
4. Puede realizar cualquiera de los pasos siguientes:
v Haga clic en Llevar a cabo una acción.
v En la ficha Descripción, vaya a Acciones y haga clic en el enlace Acción
correspondiente.
5. Haga clic en Aceptar.
Aplique el fixlet que requería inicialmente la tarea para poder activarse.
12
Guía del usuario de IBM Endpoint Manager for Configuration Management
Modificación de los parámetros de comprobación de Windows
Modifique los parámetros de comprobación cambiando el valor deseado en la
descripción de comprobación.
Sólo puede modificar los parámetros de las comprobaciones en los sitios
personalizados.
Nota: No se pueden parametrizar todas las comprobaciones en los sitios
personalizados.
En algunos casos, puede modificar los parámetros utilizados para determinar la
conformidad de las comprobaciones. Por ejemplo, puede establecer la longitud
mínima de la contraseña en un punto final que sea de 14 caracteres. Puede
personalizar el parámetro de longitud de contraseña con su política específica.
No se pueden parametrizar todas las comprobaciones. Sólo se pueden parametrizar
las copias de comprobaciones ubicadas en sitios personalizados.
1. Abra la comprobación y haga clic en la ficha Descripción.
2. Desplácese hasta el campo Valor deseado para este parámetro: y escriba el
valor.
3. Haga clic en Guardar.
Reparación de valores de configuración de Windows
Siga estos pasos para reparar los valores de configuración.
Puede auditar, evaluar y reparar valores de configuración utilizando Tivoli
Endpoint Manager Configuration Management. Para las comprobaciones de Fixlets
que se pueden reparar automáticamente, recibirá una acción que se mostrará en el
Fixlet relevante. No todos los Fixlets tienen una acción de reparación.
1. En Dominio de configuración de seguridad, vaya a Configuración de toda la
seguridad > Fixlets y tareas.
2. Expanda las subcarpetas para buscar el Fixlet que desea habilitar.
3. En la ventana Fixlet, haga clic en la ficha Descripción y desplácese hacia abajo
hasta el cuadro Acciones.
4. Haga clic en el enlace del cuadro Acciones para reparar el problema de política
concreto.
5. Defina los parámetros en el diálogo Llevar a cabo una acción y haga clic en
Aceptar.
Configuración de listas de comprobación de UNIX
Puede configurar listas de comprobación para el contenido de UNIX reemplazado
y no reemplazado.
Diferencias entre el contenido de UNIX reemplazado y no
reemplazado
El contenido de UNIX de gestión de la configuración tiene versiones reemplazadas
y no reemplazadas para cada sitio. En el panel de control Vista general de la
licencia, el contenido reemplazado tiene 'Superseded' añadido al nombre de sitio.
Por ejemplo, el nombre de sitio del contenido anterior de DISA STIG for Red Hat
Enterprise Linux 6 es 'SCM Checklist for DISA STIG on RHEL 6 (superseded)'.
Guía del usuario de Configuration Management
13
El contenido reemplazado o anterior utiliza valores de cliente para los valores de
parámetro, de forma que puede establecer distintos valores en distintos puntos
finales. El contenido no reemplazado o posterior tiene los valores de parámetro con
el ámbito en la suscripción del sitio, de forma que todos los puntos finales
suscritos a ese sitio deben utilizar los mismos valores de parámetro.
Tabla 2. Comparación entre el contenido de UNIX reemplazado y no reemplazado
Contenido reemplazado o
anterior
Establecimiento de
parámetros
Contenido
Contenido no reemplazado
o más nuevo
Establece distintos valores en Almacena parámetros para
distintos puntos finales
cada fixlet
Requiere fixlets de
aplicabilidad que están en el
sitio de SCM Reporting.
Todos los puntos finales
deben suscribirse al sitio de
SCM Reporting.
Requiere un fixlet de
aplicabilidad en el sitio
personalizado para funcionar
con SCA.
Descarga los scripts
relacionados
Cada fixlet contiene el script
de shell relacionado
Se coloca en distintos
directorios
Sincronización
Se sincroniza de la misma
forma que otros sitios como,
por ejemplo, los sitios de
Patch Management o el sitio
de BES Support
Se ejecuta desde un sitio
personalizado y utiliza el
asistente de sincronización
Configuración de listas de comprobación
Utilice IBM Endpoint Manager for Configuration Management para configurar las
listas de comprobación utilizando la opción -F en los scripts de acción o
parametrizando las comprobaciones desde la consola o en el nivel del sistema.
Selección de las comprobaciones mediante una tarea
Siga estos pasos para ejecutar los subconjuntos de las comprobaciones en su propia
planificación.
El comportamiento predeterminado para una implementación de UNIX
Configuration Management es ejecutar los scripts como un lote único. Sin embargo,
también puede ejecutar un subconjunto de las comprobaciones en su propia
planificación definida. Cada vez que lo haga, el lote que implemente sobrescribirá
cualquier lote de mandatos anteriores. El script maestro runme.sh dispone de una
opción ‘-F’, que toma como argumento un nombre de archivo. Tiene el formato
siguiente:
./runme.sh -F <FILE>
Este mandato hace que runme.sh ejecute sólo el conjunto de comprobaciones
especificadas en <FILE>. Es un archivo ASCII de 7 bits con líneas nuevas UNIX
que contienen la lista de las comprobaciones específicas que desea ejecutar, de la
siguiente forma:
GEN000020
GEN000480
GEN000560
14
Guía del usuario de IBM Endpoint Manager for Configuration Management
Esta función permite ejecutar únicamente los scripts que necesite, cuando los
necesite. Para habilitar esta función, cree una acción personalizada. Esta acción crea
el archivo que contiene la lista de comprobaciones y lo implementa en los clientes
de Endpoint Manager que desee. Esta acción es similar a la creación de un archivo
de parámetros personalizado.
1. En la consola de Endpoint Manager, vaya a Herramientas > Llevar a cabo una
acción personalizada. Se abrirá el diálogo Llevar a cabo una acción.
2. Haga clic en la ficha Destino y seleccione los puntos finales en los que desee
crear comprobaciones.
3. Haga clic en la ficha Aplicabilidad y haga clic en el segundo botón para
ejecutar esta acción en equipos que tengan una cláusula de relevancia
personalizada.
4. En el cuadro de texto, especifique una cláusula de relevancia para identificar un
subconjunto de equipos que desee marcar como objetivo. Por ejemplo, para
restringir la acción a los sistemas Solaris 10, escriba la expresión siguiente:
name of operating system = “SunOS 5.10” (not exists last
active time of it or (now - last active time of it) > (15
*minute)) of action
5. Haga clic en la ficha Script de acción para crear un script que copie el archivo
en los sistemas de destino. Haga clic en el segundo botón y, a continuación,
especifique un script. El script crea el directorio de destino con el archivo que
contiene las comprobaciones que se van a ejecutar y, a continuación, mueve el
archivo al directorio correspondiente. El siguiente script de ejemplo, que puede
copiar y pegar, especifica tres comprobaciones: GEN000020, GEN000480 y
GEN000560.
// create a script that will create the necessary directory
delete __appendfile
appendfile #!/bin/sh
appendfile mkdir –p ../../scm_preserve/SunOS/5.10
delete createdir.sh
move __appendfile createdir.sh
wait /bin/sh ./createdir.sh
// create the file containing the checks that you wish to run
delete __appendfile
appendfile GEN000020
appendfile GEN000480
appendfile GEN000560
delete ../../scm_preserve/SunOS/5.10/daily.txt
move __appendfile ../../scm_preserve/SunOS/5.10/daily.txt
Parametrización de comprobaciones de contenido de UNIX
Utilice la tarea que está asociada con un determinado Fixlet para modificar el
contenido de los parámetros desde la consola.
Puede personalizar las políticas de seguridad y cambiar los valores de
configuración definidos para cumplir políticas específicas de la empresa. Utilice
Endpoint Manager para personalizar el contenido en el sitio de Fixlet
predeterminado mediante el establecimiento especial de destinos, la
personalización de parámetros y la inhabilitación de comprobaciones. Los sitios
personalizados ofrecen una mayor flexibilidad.
Las comprobaciones de Fixlets se pueden parametrizar para adaptarse a cada
situación. Puesto que los parámetros se almacenan como valores del sitio, puede
parametrizar la misma comprobación de manera distinta en cada sitio que
contenga una copia de la comprobación.
Guía del usuario de Configuration Management
15
1. Para abrir una tarea, haga clic en el enlace Comprobar parametrización en la
ficha Descripción.
2. Vaya al cuadro Acciones y vea las dos acciones que están asociadas con la
tarea. Utilice la primera acción para conmutar la evaluación y la segunda
acción para modificar el parámetro que está asociado con la comprobación.
3. Haga clic en el segundo enlace para configurar el parámetro para la
comprobación. El parámetro recomendado es el valor predeterminado o el
último valor que ha especificado si ha personalizado previamente el parámetro.
Especifique un valor nuevo y haga clic en Aceptar para aceptar el valor
existente.
4. Seleccione los parámetros de la acción en el diálogo Llevar a cabo una acción y
haga clic en Aceptar.
Ahora tiene un conjunto de parámetros para el Fixlet especificado, que se propaga
a los equipos seleccionados para alinearlos con su política empresarial.
Ejecución de listas de comprobación
Cuando ejecute Implementar y ejecutar la lista de comprobación de seguridad, el
script de ejecución maestro runme.sh ejecuta todos los scripts de comprobación de
Endpoint Manager. Cuando ejecuta la tarea Implementar y ejecutar la lista de
comprobación de seguridad, el script de ejecución maestro ejecuta los scripts de
comprobación individuales que se encuentran en el sistema UNIX.
Puede modificar este comportamiento utilizando la opción –F para planificar
comprobaciones específicas. Utilice -G para ejecutar comprobaciones globales. El
script de ejecución maestro también crea un archivo denominado
/var/opt/BESClient/SCM/mytmp/results/master.results que contiene los
resultados generales de la ejecución de varios scripts específicos de SO.
Información sobre la salida:
Con el contenido de UNIX, una serie de scripts de shell Bourne de UNIX realiza
exploraciones de punto final que proporcionan una mayor accesibilidad a los
administradores del sistema UNIX.
Con la mayoría del contenido de Endpoint Manager, los Fixlets evalúan
constantemente las condiciones en cada punto final. La consola muestra los
resultados cuando la cláusula de relevancia del Fixlet se evalúa en true.
Con el contenido de UNIX, una tarea inicia una exploración de los puntos finales,
que puede ejecutarse de forma ad hoc cada vez que se requiere una exploración.
También puede ejecutarse como una política recurrente desde la consola.
La exploración de punto final se realiza mediante una serie de scripts de shell
Bourne de UNIX. Cuando se ejecuta cada script, detecta un valor o una condición.
El script graba la información en un archivo de salida que está disponible para su
evaluación en la comprobación de Fixlet correspondiente. Cuando los archivos de
registro se graban en el disco, los Fixlets leen cada archivo de registro y muestran
los resultados en la consola. Aunque el resultado es similar, este método de
detección proporciona una mayor accesibilidad a los administradores del sistema
UNIX.
Después de ejecutar la tarea Implementar y ejecutar la lista de comprobación de
seguridad, los scripts están en un directorio en /var/opt/BESClient/SCM.
16
Guía del usuario de IBM Endpoint Manager for Configuration Management
La imagen siguiente es una representación gráfica de la estructura de directorios.
Tabla 3. Descripción de los directorios, subdirectorios y archivos
Directorio/script
Descripción
<Carpeta de cliente de BES> / SCM
Este directorio es el directorio base de los
scripts de comprobación específicos del SO y
del script maestro (runme.sh). El contenido
de este directorio se sobrescribe cada vez
que se ejecuta la tarea ‘Implementar y
ejecutar la lista de comprobación de
seguridad’ desde la consola de Endpoint
Manager.
../SCM/util
Subdirectorio del directorio Carpeta de
cliente de BES / SCM, este subdirectorio
contiene scripts de programa de utilidad que
se utiliza en el script maestro y en los scripts
individuales de detección y reparación. El
programa de utilidad primario que se
encuentra en este directorio es el script
‘globalfind’.
Guía del usuario de Configuration Management
17
Tabla 3. Descripción de los directorios, subdirectorios y archivos (continuación)
18
Directorio/script
Descripción
../SCM/$OS/$OS_version
Este directorio es específico de la plataforma
en la que se ejecuta, como se especifica en la
versión de $OS y $OS. Por ejemplo, Red Hat
Enterprise Linux 4 se muestra como
(../SCM/Linux/4). Esta vía de acceso del
directorio contiene los scripts de detección
específicos, los scripts de reparación y el
archivo de parámetros base que se utiliza en
los scripts. Cada script de comprobación se
nombra con el ID de control correspondiente
que se utiliza para describir la
comprobación. Cada Fixlet correspondiente
también hace referencia al ID de
comprobación.
../SCM/runme.sh
Este script es el script maestro que invoca la
tarea Implementar y ejecutar la lista de
comprobación de seguridad en la consola de
Endpoint Manager. Este script ejecuta el
script ‘globalfind’ y los scripts de
comprobación individuales.
../SCM/mytmp/results
Esta carpeta es donde los scripts de
detección específicos de SO escriben sus
archivos de registro. Los Fixlets examinan
estos registros que se utilizan para
determinar si una comprobación es
compatible o no. Cada archivo de registro se
corresponde con el ID de comprobación para
la comprobación específica.
../SCM/mytmp/data
Esta carpeta contiene el archivo find.out.
Este archivo lo genera el script globalfind y
contiene un listado de directorios de todos
los sistemas de archivos locales y otra
información. Este archivo lo utilizan muchos
scripts específicos del SO y se actualiza sólo
cuando se ejecuta el script globalfind.
<Carpeta de cliente de BES>/scm_preserve
Este directorio es el directorio base que se
utiliza para retener los scripts de
desinstalación, las comprobaciones
personalizadas, los parámetros y otra
información que no debe sobrescribirse cada
vez que se ejecuta la tarea ‘Implementar y
ejecutar la lista de comprobación de
seguridad’.
../scm_preserve/backup/rollback
Cada vez que se ejecuta un script de
solución de problemas, se crea el script de
desinstalación correspondiente. Este script
permite al administrador retrotraer al valor
anterior asociado con la comprobación
específica.
Guía del usuario de IBM Endpoint Manager for Configuration Management
Tabla 3. Descripción de los directorios, subdirectorios y archivos (continuación)
Directorio/script
Descripción
../scm_preserve/$OS/$OS_version
Este directorio puede contener scripts
personalizados producidos por el
administrador que no están proporcionados
por Endpoint Manager. Los scripts que hay
en este directorio deben cumplir las
especificaciones de entrada o de salida y se
ejecutan con comprobaciones predefinidas
cuando se ejecuta la tarea ‘Implementar y
ejecutar la lista de comprobación de
seguridad’.
../scm_preserve/$OS/$OS_version
Este archivo se utiliza para almacenar
parámetros personalizados que define el
administrador. Los parámetros que se
definen en este archivo sobrescribirán los
parámetros predeterminados especificados
en el archivo params, que está guardado en
<Carpeta del cliente de BES>/SCM/$OS/
$OS_version/params).
/customer_params
Cada script específico del sistema operativo graba dos archivos en
/var/opt/BESClient/mytmp/results. Los nombres de archivos se corresponden con
el nombre del script específico de SO. Por ejemplo, GEN000020.detect grabará dos
archivos: GEN000020.detect.log y GEN000020.results.
El archivo con la extensión .log contiene el STDOUT y STDERR del script
específico del sistema operativo. En condiciones normales, este archivo estará
vacío. Cuando se ejecuta runme.sh con la opción –t, este archivo contiene la salida
de seguimiento del script específico del sistema operativo.
Cuando se crean, un Fixlet lee los archivos con la extensión .results y el resultado
está disponible mediante la consola de Endpoint Manager. Los Fixlets examinan la
sección [STATUS] para determinar la relevancia.
A continuación se muestra un ejemplo del archivo de resultados:
[RUN_DATE]
01 Apr 2008
[RUN_DATE_EOF]
[DESCRIPTION]
The UNIX host is configured to require a password for access to single-user
and maintenance modes
[DESCRIPTION_EOF]
[FIXLET_DESCRIPTION]
This UNIX host is not configured to require a password for access to single-user
and maintenance modes
[FIXLET_DESCRIPTION_EOF]
[CHECK_COVERAGE]
DISA-STIG-GEN000020
[CHECK_COVERAGE_EOF]
[STATUS]
PASS
[STATUS_EOF]
[PARAMETERS]
CONFIG_FILE=/etc/default/sulogin;SETTING=PASSREQ;OP=’=’;VALUE=NO
[PARAMETERS_EOF]
[TIMETAKEN]
0
[TIMETAKEN_EOF]
Guía del usuario de Configuration Management
19
[REASON]
The /etc/default/sulogin file does not exist, the system will default to
requiring a password for single-user and maintenance modes
[REASON_EOF]
Cada una de las secciones que se encuentran en la salida del archivo de registro se
describe en la tabla siguiente:
Tabla 4. Descripciones de las secciones encontradas en la salida del archivo de registro
Nombre de sección
Descripción
[RUN_DATE]
Contiene la fecha en la que se ejecutó el
script.
[DESCRIPTION] y [Fixlet_DESCRIPTION]
Obsoleto
Ya no está en uso. Archivo obsoleto
[CHECK_COVERAGE]
Contiene los nombres de las regulaciones a
las que se aplica el Fixlet. (Ya no está en uso.
Archivo obsoleto)
[STATUS]
Utilizada por el Fixlet asociado para
determinar la relevancia. Contiene una de
las secuencias de mandatos siguientes: PASS,
FAIL o NA. Si en esta sección se incluye la
secuencia de mandatos FAIL, el Fixlet
asociado es relevante.
[PARAMETERS]
Contiene los parámetros asociados con el
script. Los espacios se muestran como un
punto y coma. Al salir en este archivo, los
espacios se convierten en puntos y comas a
efectos de visualización. Esto no representa
cómo se establecen los parámetros.
[TIMETAKEN]
Contiene el número de segundos que el
script tardó en ejecutarse.
[REASON]
Se describe la razón por la cual el script
funcionó o falló. Esta sección proporciona la
información necesaria para construir
propiedades de análisis y devolver
información específica a la consola de
Endpoint Manager.
El script runme.sh también crea un archivo que contiene los resultados generales
de la ejecución de varios scripts específicos de SO.
Este archivo, denominado /var/opt/BESClient/SCM/mytmp/results/master.results,
aparece como se muestra a continuación:
TOTAL_SCRIPTLETS_RUN:69
TOTAL_SCRIPTLETS_PASS:33
TOTAL_SCRIPTLETS_FAIL:36
TOTAL_SCRIPTLETS_NA:0
TOTAL_SCRIPTLETS_ERR:0
TOTAL_TIME_TAKEN:1367
Modificación de las opciones de exploración globales:
Puede controlar el comportamiento de la exploración global mediante la tarea
Configurar las opciones de exploración de los sistemas de archivos.
20
Guía del usuario de IBM Endpoint Manager for Configuration Management
El contenido UNIX incluye un script de exploración global que se utiliza para
realizar una exploración completa del sistema. Los resultados de este análisis se
utilizan en varios scripts. Este script elimina la necesidad de ejecutar una
exploración completa del sistema varias veces cuando está evaluando un conjunto
de comprobaciones en un único sistema. Esta característica permite a Endpoint
Manager ser más eficiente y tiene menos impacto en el sistema durante una
exploración de configuración.
El script de exploración global se ejecuta de forma predeterminada cuando utiliza
la tarea Implementar y ejecutar la lista de comprobación de seguridad de Endpoint
Manager. El script de ejecución maestro lo utiliza con la opción –g. El
comportamiento del script de exploración global se puede controlar mediante la
tarea Configurar las opciones de exploración de los sistemas de archivos.
Guía del usuario de Configuration Management
21
Tabla 5. Parámetros y sus descripciones
Parámetro
Descripción
EXCLUDEFS
Una lista de los sistemas de archivos
específicos que se van a excluir del análisis.
Esta lista debe ser una lista separada por
espacios de todos los tipos de sistemas de
archivos que se van a excluir de la
búsqueda.
De forma predeterminada, el script de
búsqueda global excluye los siguientes tipos
de sistemas de archivos de la búsqueda:
v cdrfs
v procfs
v ctfs
v fd
v hsfs
v proc
v mntfs
v smbfs
v iso9660
v nfs
v msdos
EXCLUDEMOUNTS
Una lista de los puntos de montaje
específicos que se van a excluir del análisis.
Este parámetro debe ser una lista separada
por espacios de todos los montajes del
sistema de archivos que se van a excluir de
la búsqueda. Esto impide que el sistema de
archivos compartidos se explore desde
varios sistemas.
Por ejemplo, si varios sistemas montan un
directorio compartido en una red de área de
almacenamiento denominada /san, puede
excluirlos con un parámetro como este:
EXCLUDEMOUNTS=”/san”
De forma predeterminada, este parámetro no
se utiliza y se representa como un valor
vacío.
EXCLUDEDIRS
Lista de los directorios que se van a excluir
del análisis. Los nombres de directorio
especificados en EXCLUDEDIRS se omitirán
de la lista de directorios.
De forma predeterminada, este parámetro no
incluye el directorio lost+found.
Nota: Cuando excluye un directorio, excluye también todos los directorios con
nombres similares. Por ejemplo, si especifica EXCLUDEDIRS=”foo/”, excluirá
también /foo/usr/foo y /usr/local/foo.
22
Guía del usuario de IBM Endpoint Manager for Configuration Management
Planificación de comprobaciones específicas:
Puede crear una acción personalizada para ejecutar un subconjunto de
comprobaciones en su propia planificación.
El comportamiento predeterminado para una implementación de UNIX es la
ejecución de scripts como un lote único. Sin embargo, también puede ejecutar un
subconjunto de las comprobaciones en su propia planificación definida. Cada vez
que lo haga, el lote que implemente sobrescribirá cualquier lote de mandatos
anteriores. El script maestro runme.sh dispone de una opción ‘-F’, que toma como
argumento un nombre de archivo. Tiene el formato siguiente:
./runme.sh -F <FILE>
Este mandato hace que runme.sh ejecute sólo el conjunto de comprobaciones que se
han especificado en <FILE>. Es un archivo ASCII de 7 bits con líneas nuevas UNIX
que contienen la lista de las comprobaciones específicas que desea ejecutar, de la
siguiente forma:
GEN000020
GEN000480
GEN000560
Para seleccionar un script específico y ejecutar una planificación, cree una acción
personalizada. Esta acción crea el archivo que contiene la lista de comprobaciones
y lo implementa en los clientes de Endpoint Manager. Esta acción es similar a la
creación de un archivo de parámetros personalizado.
1. En la consola, vaya a Herramientas > Llevar a cabo una acción personalizada
para acceder al diálogo Llevar a cabo una acción.
2. Para ejecutar la acción en equipos con una cláusula de relevancia
personalizada, haga clic en la ficha Aplicabilidad y seleccione ...la cláusula de
relevancia siguiente se evalúa con el valor True.
3. En el cuadro de texto, especifique una cláusula de relevancia para identificar el
subconjunto de equipos que desee marcar como objetivo. Por ejemplo, para
restringir la acción a los sistemas Solaris 10, escriba la expresión siguiente:
name of operating system = “SunOS 5.10” (not exists
last active time of it or (now - last active time of
it) > (15 *minute)) of action
4. Haga clic en la ficha Script de acción para crear un script que copie el archivo
en los sistemas objetivos. Haga clic en el segundo botón y especifique un script
como el que se muestra en la captura de pantalla siguiente.
Guía del usuario de Configuration Management
23
5. Este script crea un directorio de destino con el archivo que contiene las
comprobaciones que desea ejecutar y mueve el archivo al directorio
correspondiente. Puede copiar y pegar el siguiente script de ejemplo que
especifica tres comprobaciones: GEN000020, GEN000480 y GEN000560.
// create a script that will create the necessary directory
delete __appendfile
appendfile #!/bin/sh
appendfile mkdir –p ../../scm_preserve/SunOS/5.10
delete createdir.sh
move __appendfile createdir.sh
wait /bin/sh ./createdir.sh
// create the file containing the checks that you wish to run
delete __appendfile
appendfile GEN000020
appendfile GEN000480
appendfile GEN000560
delete ../../scm_preserve/SunOS/5.10/daily.txt
move __appendfile ../../scm_preserve/SunOS/5.10/daily.txt
6. Ejecute el script runme.sh con la opción –F. Modifique la tarea Implementar y
ejecutar la lista de comprobación de seguridad para ejecutar el script.
24
Guía del usuario de IBM Endpoint Manager for Configuration Management
a. Busque y seleccione la tarea Implementar y ejecutar la lista de
comprobación de seguridad.
b. Haga clic en Llevar a cabo una acción.
c. En la ficha Destino, seleccione los puntos finales.
7. Haga clic en la ficha Script de acción. Modifique el script de acción para que
runme.sh utilice la opción –F y apunte al archivo que contiene la lista de
comprobación. El archivo en el ejemplo se denomina daily.txt.
8. Puede copiar, pegar y modificar el siguiente script de ejemplo.
prefetch DISA.zip sha1:99c90759cc496c506222db55bd864eba4063b955 size:108089
http://software.bigfix.com/download/SCM/SunOS-20080417.zip
delete __appendfile
delete run_SCM.sh
appendfile #!/bin/sh
if {exists folder ((pathname of parent folder of parent folder of folder
(pathname of client folder of current site)) & "/SCM")}
appendfile rm -rf {((pathname of parent folder of parent folder of folder
(pathname of client folder of current site)) & "/SCM")}
endif
appendfile mv __Download/DISA.zip {((pathname of parent folder of parent
folder of folder (pathname of client folder of current site)))}
appendfile cd {((pathname of parent folder of parent folder of folder
(pathname of client folder of current site)))}
appendfile gzip -dvS .zip DISA.zip
appendfile FILE=`ls -1 DISA* | grep -v zip`
appendfile tar xf $FILE
appendfile rm -rf $FILE
appendfile cd {((pathname of parent folder of parent folder of folder
(pathname of client folder of current site)) & "/SCM")}
appendfile ./runme.sh -F ../scm_preserve/SunOS/5.10/daily.txt
move __appendfile run_SCM.sh
wait sh ./run_SCM.sh
Análisis
Cada Fixlet de selección del contenido de UNIX de DISA tiene un análisis
asociado. Los Fixlets de selección muestran el estado de conformidad y los análisis
muestran el estado de cada elemento de configuración.
Estos análisis se proporcionan para habilitar la visualización de valores medidos en
IBM Endpoint Manager Security and Compliance Analytics. Si utiliza sólo un
subconjunto de los Fixlets de selección disponibles para su implementación, active
sólo los análisis que estén asociados con los Fixlets de selección que utiliza.
Utilización del asistente Crear contenido SCM de relevancia
personalizada
Siga estos pasos para incorporar comprobaciones personalizadas en un sitio
personalizado SCM existente.
v Debe tener un sitio personalizado creado mediante el asistente Crear lista de
comprobación personalizada en el sitio de SCM Reporting.
v Compruebe que las comprobaciones personalizadas estén actualizadas y que se
hayan instalado arreglos de errores con el asistente Sincronizar comprobaciones
personalizadas.
Utilice este panel de control para incorporar las comprobaciones personalizadas en
un sitio personalizado de SCM existente.
Guía del usuario de Configuration Management
25
1. En Dominio de configuración de seguridad, vaya a Configuración de toda la
seguridad > Asistentes > Crear contenido SCM de relevancia personalizada.
Se abrirá el asistente Crear comprobaciones de SCM de relevancia
personalizada.
2. Especifique la siguiente información necesaria:
v Sitio
v Fixlet de aplicabilidad
v
v
v
v
v
Título de Fixlet
ID de origen
Origen
Fecha de release de origen
Categoría
v Gravedad
3. Especifique la descripción del Fixlet. Puede utilizar el formato HTML simple
para crear la descripción.
4. Especifique la relevancia de conformidad.
5. Especifique la relevancia de análisis.
a. Opcional: seleccione el cuadro si desea incluir el valor deseado.
b. Especifique el título del valor deseado.
c. Especifique el valor que desee.
6. Especifique el script de acción de reparación.
7. Haga clic en Crear Fixlet.
Creación de contenido de Gestión de la configuración de
seguridad de UNIX
Siga estos pasos para crear comprobaciones personalizadas para la Gestión de la
configuración de seguridad de UNIX.
v Debe tener un sitio personalizado creado mediante el asistente Crear lista de
comprobación personalizada en el sitio de SCM Reporting.
v Compruebe que las comprobaciones personalizadas estén actualizadas y que se
hayan instalado arreglos de errores con el asistente Sincronizar comprobaciones
personalizadas.
Utilice este panel de control para incorporar las comprobaciones personalizadas en
un sitio personalizado de SCM existente basándose en un script de shell Bourne
arbitrario.
1. Vaya a Asistentes > Crear contenido SCM de Unix personalizado. Se abrirá el
panel de control Crear comprobaciones de SCM de Unix personalizadas.
2. Especifique la siguiente información necesaria:
v Sitio
v Fixlet de aplicabilidad
v Título de Fixlet
v ID de origen
v Origen
v Fecha de release de origen
v Categoría
v Gravedad
26
Guía del usuario de IBM Endpoint Manager for Configuration Management
3. Especifique la descripción del Fixlet. Puede utilizar el formato HTML simple
para crear la descripción.
4. Especifique la relevancia de conformidad.
5. Especifique la relevancia de análisis.
a. Opcional: seleccione el cuadro si desea incluir el valor deseado.
b. Especifique el título del valor deseado.
c. Especifique el valor que desee.
6. Especifique el script de acción de reparación.
7. Haga clic en Crear Fixlet.
Una vez completada la exploración, los clientes pueden iniciar una importación al
análisis de conformidad de seguridad.
Importación de contenido de SCAP
Más información sobre SCAP
Information Security Automation Program (ISAP)
Information Security Automation Program (ISAP) automatiza y estandariza las
operaciones técnicas de seguridad. ISAP, principalmente centrado en el gobierno,
ofrece control de seguridad, recuperación, así como la automatización de las
actividades de cumplimiento técnico de regulaciones como FISMA y FDCC.
Los objetivos de ISAP incluyen la habilitación de la comunicación basada en
estándares de datos de vulnerabilidad; la personalización y la gestión de líneas
base de configuración para varios productos de TI; la evaluación de los sistemas de
información; y la presentación de informes sobre la situación del cumplimiento.
Para ello, se utilizan métricas estándar para medir el impacto global de una posible
vulnerabilidad y reparar las vulnerabilidades que se han encontrado.
Estándares SCAP
CVE (Common Vulnerabilities and Exposures, Exposiciones y vulnerabilidades
comunes)
Guía del usuario de Configuration Management
27
El estándar CVE de SCAP es un diccionario de vulnerabilidades de
seguridad de información conocidas públicamente que permite
intercambios de datos entre productos de seguridad y proporciona un
punto de referencia para evaluar la cobertura de herramientas y servicios.
Tivoli Endpoint Manager ha utilizado el CVE en varias versiones del
producto y mantiene una integración de contenido CVE en sus productos.
Cualquier revisión de seguridad o vulnerabilidad que tenga asociado un
ID de CVE y que esté disponible como secuencia de datos SCAP o a través
de otros procesos desarrollados de Tivoli Endpoint Manager mostrará el ID
de CVE pertinente dentro de la consola de Tivoli Endpoint Manager.
Puede encontrar este ID asociado con una vulnerabilidad o parche de
seguridad. Para ello, debe abrir la consola de Tivoli Endpoint Manager y
navegar hasta un parche o un sitio de Fixlet de vulnerabilidad, hacer doble
clic en el Fixlet adecuado, seleccionar la ficha Detalles y ver el ID de CVE.
También se puede acceder al identificador de CVE desde otras vistas y se
puede utilizar como parte de los criterios de presentación de informes
detallados e informes de resumen de los sistemas individuales de punto
final o para un grupo grande de sistemas del que se ha informado en el
agregado.
CCE™ (Common Configuration Enumeration, Enumeración de configuración
común)
El estándar SCAP CCE proporciona identificadores exclusivos para los
problemas de configuración del sistema para facilitar la correlación rápida
y precisa de los datos de configuración a través de múltiples herramientas
y fuentes de información. Por ejemplo, los identificadores CCE pueden
asociar las comprobaciones de las herramientas de evaluación de
configuración con las declaraciones de los documentos de mejores prácticas
para la configuración. La plataforma Tivoli Endpoint Manager incluye la
función de evaluar estaciones de trabajo, portátiles, servidores y
dispositivos de informática móvil según los valores de configuración
común para identificar los estados de configuración incorrecta en un
entorno informático diverso. Tivoli Endpoint Manager utiliza CCE y
muestra el ID de CCE en cada configuración incorrecta para la que exista
un ID de CCE en la consola de Tivoli Endpoint Manager. En caso de que
se asocie una configuración incorrecta con múltiples identificaciones CCE,
se realizarán referencias cruzadas de todos los ID y se mostrarán.
Para encontrar el ID de CCE asociado a una opción de configuración, abra
la consola de Tivoli Endpoint Manager y navegue a una opción de
configuración utilizada por una secuencia de datos SCAP. Haga clic en un
Fixlet que represente una opción de configuración y consulte la columna
de ID de origen. El ID de origen mostrará el ID de CCE. También se puede
acceder al identificador de CCE desde otras vistas y se puede utilizar como
parte de los criterios de presentación de informes detallados e informes de
resumen de los sistemas individuales de punto final o para un grupo
grande de sistemas del que se ha informado en el agregado.
CPE™ (Common Platform Enumeration, Enumeración de plataforma común)
El estándar SCAP CPE es un esquema de nombres estructurado para
sistemas de tecnología de la información, plataformas y paquetes. El CPE,
que está basado en la sintaxis genérica de URI (identificadores uniformes
de recursos), incluye un formato de nombre formal, un lenguaje para
describir plataformas complejas, un método para comprobar los nombres
en un sistema y un formato de descripción de texto para vincular texto y
28
Guía del usuario de IBM Endpoint Manager for Configuration Management
pruebas a un nombre. Tivoli Endpoint Manager utiliza CPE para garantizar
que las opciones de configuración se evalúen en el sistema correcto.
Independientemente del sistema operativo, el ID de CPE puede identificar
una plataforma y garantizar que se realice una evaluación.
Puede evaluar y reparar configuraciones del sistema destinando los
sistemas según la plataforma, además de otros mecanismos de destino. Al
destinar una plataforma en particular, puede garantizar que se realicen
búsquedas en sistemas correctamente y que se ponderen en
comprobaciones de configuración aplicables. Las comprobaciones se
evalúan en tiempo real según la plataforma y se pueden hacer cumplir las
políticas, lo que proporciona a los administradores una visibilidad actual y
control sobre plataformas en un entorno de computación distribuido o no
distribuido.
CVSS (Common Vulnerability Scoring System, Sistema de puntuación de
vulnerabilidad común)
El estándar CVSS de SCAP proporciona una infraestructura abierta para la
comunicación de las características de las vulnerabilidades de TI. Su
modelo cuantitativo garantiza a los usuarios la medición exacta y repetible,
a la vez que muestra las características de vulnerabilidad que se utilizaron
para generar los resultados. Por lo tanto, CVSS es muy adecuado como un
sistema de medición estándar para las industrias, organizaciones y
agencias que necesitan una puntuación precisa y coherente del impacto de
la vulnerabilidad.
Tivoli Endpoint Manager evalúa e informa sobre vulnerabilidades y
cuantifica el impacto para varias plataformas informáticas. Tivoli Endpoint
Manager utiliza el estándar CVSS y muestra la puntuación de base CVSS
de cada vulnerabilidad aplicable y el vector de puntuación de base CVSS
empleado para producir el resultado.
Los administradores de Tivoli Endpoint Manager pueden acceder a la
puntuación de CVSS y a la serie de vectores asociada desde la consola de
Tivoli Endpoint Manager. Para obtener más información, los
administradores pueden dirigirse a la definición de vulnerabilidad desde
los Fixlets. Tivoli Endpoint Manager proporciona un enlace en el sitio web
de NVD para que los administradores se puedan conectar a la definición
CVSS. Tivoli Endpoint Manager aumenta el valor de CVSS exhibiendo esta
métrica común para los informes detallados sobre los distintos sistemas de
punto final y para grupos grandes de sistemas de los que se ha informado
en el agregado.
XCCDF (Extensible Configuration Checklist Description Format, Formato de
descripción de listas de comprobación de configuración ampliable)
El estándar XCCDF de SCAP es un lenguaje de especificación para escribir
listas de comprobación de seguridad, puntos de referencia y documentos
relacionados. Un documento XCCDF representa un grupo estructurado de
reglas de configuración de seguridad para algunos conjuntos de sistemas
de destino y es el elemento básico para la secuencia de datos SCAP. La
especificación también define un modelo de datos y el formato para
almacenar los resultados de las pruebas de cumplimiento de listas de
comprobación.
Las secuencias de datos de SCAP utilizan el formato XCCDF para traducir
las comprobaciones de configuración subyacentes que se definen en los
Fixlets de Tivoli Endpoint Manager. Cuando se crean, estos Fixlets de
configuración basados en SCAP permiten a los administradores evaluar sus
Guía del usuario de Configuration Management
29
activos informáticos según las reglas de configuración definidas por SCAP
en tiempo real y en una escala global.
Cuando las reglas de configuración de SCAP se importen en Tivoli
Endpoint Manager, cualquier sistema se puede evaluar inmediatamente
con las reglas de configuración definidas. Los resultados de los controles
de configuración se transmiten a la consola de Tivoli Endpoint Manager,
donde los administradores pueden ver los resultados y generar informes
detallados sobre un sistema individual o en grandes grupos de sistemas.
IBM Endpoint Manager también exporta los resultados de las
comprobaciones de configuración en el formato de informes XCCDF
definido de modo que la organización puede almacenar, enviar o importar
dichos informes en otra herramienta.
OVAL™ (Open Vulnerability and Assessment Language, Lenguaje abierto de
evaluación y vulnerabilidad)
El estándar OVAL de SCAP es un estándar internacional de seguridad de
la información que promueve el contenido de seguridad y estandariza la
transferencia de esta información en todos los servicios y herramientas de
seguridad. El lenguaje OVAL es un grupo de esquemas XML que se utiliza
para representar la información del sistema expresando estados específicos
de la máquina, y notificando los resultados de la evaluación.
Mediante un repositorio de políticas de evaluación de la vulnerabilidad,
Tivoli Endpoint Manager evalúa los sistemas gestionados según las
definiciones de vulnerabilidad OVAL, utilizando un seguimiento datos en
tiempo real basado en los elementos de datos de cada definición. El
producto Tivoli Endpoint Manager recupera automáticamente estas
políticas en la red de una organización. Cuando se haya comprobado la
autenticidad, las políticas se pondrán a disposición del cliente Tivoli
Endpoint Manager instalado en cada equipo administrado y se añadirá a
su grupo local de políticas de configuración. El agente evalúa
continuamente el estado de la máquina según la política de cada uno, para
que cualquier instancia de incumplimiento pueda notificarse al servidor de
Tivoli Endpoint Manager para que la revise el administrador. Si el
administrador lo autoriza previamente, se aplicará la acción correctiva
apropiada al equipo inmediatamente después de la detección de una
configuración errónea, incluso para los usuarios remotos o móviles que no
estén conectados a la red de la organización.
Listas de comprobación de SCAP
IBM Endpoint Manager ha obtenido el XML de lista de comprobación SCAP, ha
generado el contenido de Endpoint Manager a partir de él y ha permitido que esté
disponible mediante suscripción. Los clientes cargan las cabeceras del sitio externo
para cada una de las listas de comprobación de SCAP disponibles en la consola de
Endpoint Manager, y el servidor de Endpoint Manager descarga el contenido y lo
pone a disposición del administrador de Endpoint Manager para comenzar la
evaluación en los sistemas.
Endpoint Manager proporciona actualmente contenido predefinido para las listas
de comprobación SCAP de Federal Desktop Core Configuration (FDCC). A medida
que NIST crea nuevas listas de comprobación, IBM Endpoint Manager puede
incluir estos sitios como parte del servicio de suscripción.
30
Guía del usuario de IBM Endpoint Manager for Configuration Management
Además de los sitios de Fixlet, Endpoint Manager incluye un panel de control de
creación de informes que proporciona visibilidad a los resultados de las
evaluaciones del sistema y un panel de control de creación de informes para
generar contenido de Endpoint Manager a partir de una lista de comprobación
SCAP. Estos paneles de control se encuentran en el sitio de SCM Reporting.
Las listas de comprobación SCAP siguientes están disponibles actualmente con este
producto:
v FDCC en Windows XP
v FDCC en el cortafuegos de Windows XP
v FDCC en Windows Vista
v FDCC en el cortafuegos de Windows Vista
v FDCC en Internet Explorer 7
v USGCB en el cortafuegos de Windows 7
v USGCB en Windows 7 Energy
v USGCB en Internet Explorer 8
v USGCB en Windows 7
Utilización del asistente Importar SCAP de Windows
Debe crear un sitio personalizado que contendrá la lista de comprobación
resultante.
El asistente Importar contenido SCAP de Windows genera contenido de IBM
Endpoint Manager a partir de un conjunto de archivos de entrada de SCAP XML
en un sitio personalizado. El contenido que se genera incluye un Fixlet para cada
comprobación encontrada en la lista de comprobación de SCAP.
Para buscar listas de comprobación de SCAP, consulte el Repositorio del Programa
de listas de comprobación nacional. El asistente de importación de SCAP se ha
validado para las listas de comprobación en el nivel IV de este repositorio. El
asistente da soporte a las listas de comprobación diseñadas para la plataforma
Windows.
Nota: El asistente Importar contenido SCAP de Windows es la versión más
reciente del asistente de importación, pero no ha recibido la certificación de SCAP.
Haga clic en el enlace en el asistente para acceder a la versión certificada anterior.
1. En Dominio de configuración de seguridad, vaya a Configuración de toda la
seguridad > Asistentes > Importar contenido SCAP de Windows.
Guía del usuario de Configuration Management
31
2. Haga clic en Seleccionar y elija el archivo XCCDF que se importará.
3. Haga clic en el menú desplegable para seleccionar uno de los siguientes
perfiles:
v I - Clasificado de misión crítica
v I - Público de misión crítica
v
v
v
v
v
v
I - Sensible de misión crítica
II - Clasificado de misión de soporte
II - Público de misión de soporte
II - Sensible de misión de soporte
III - Clasificado administrativo
III - Sensible administrativo
4. Identifique cómo deben manejarse los errores y problemas. Haga clic para
seleccionar una de las siguientes opciones:
v Estricto
v Flexible (ignorar problemas menores)
v Laxo (realizar el máximo esfuerzo para importar el contenido)
5. Opcional: puede elegir aplicar las siguientes condiciones a la lista de
comprobación de Windows que se importará.
v Incluir listas de comprobación de OVAL: seleccione este recuadro para
procesar las reglas que hacen referencia a un archivo OVAL completo.
v Omitir validación de OVAL
v Omitir validación de XML
v Permitir HTML no escapado en la descripción de la comprobación: utilice
esta opción con precaución. Esta opción puede contener etiquetas de script.
6. Haga clic en Importar.
7. Seleccione el sitio personalizado en el menú.
8. Haga clic en Aceptar.
32
Guía del usuario de IBM Endpoint Manager for Configuration Management
Utilización del asistente Creación de informes
1. Haga clic en Creación de informes SCAP.
2. Seleccione los parámetros de informes.
a. Especifique una lista de comprobación SCAP en el menú.
b. Para especificar una carpeta de salida, haga clic en el botón de la parte
superior Examinar.
c. Opcional: para especificar un esquema XCCDF para validar el archivo de
resultados, haga clic en el botón de la parte inferior Examinar.
3. Elija los equipos.
Puede seleccionar equipos por su nombre, propiedad o grupo de equipos.
También puede escribir manualmente una lista de equipos en el campo
correspondiente. Haga clic en el botón Ver equipos específicos para comprobar su
selección.
4. Seleccione Propiedades de informe adicionales.
Utilice la barra de desplazamiento para ver una lista de las propiedades de
informe disponibles. Compruebe las casillas correspondientes y visualice cada
selección en el cuadro correspondiente Incluido en el informe a la derecha.
5. Haga clic en Crear informe.
Asigne el tiempo adecuado para la creación de estos informes. La cantidad de
tiempo utilizado para generar un informe depende del tamaño de su
implementación. Por ejemplo, la creación de un informe para un despliegue de
5000 equipos puede necesitar 15 minutos en un equipo de consola con el
tamaño adecuado.
Utilización de OVALDI
La Gestión de la configuración de seguridad utiliza Oval Interpreter (OVALDI),
una implementación de referencia de código abierto que utiliza OVAL para
explorar las vulnerabilidades del sistema y generar resultados completos de OVAL.
Oval Interpreter (OVALDI) es una implementación de referencia disponible de
forma gratuita que demuestra la evaluación de las definiciones de OVAL.
Utilizando la interfaz de línea de mandatos, OVALDI recopila y evalúa
información del sistema para generar un archivo de resultados OVAL basándose en
un conjunto de definiciones. OVALDI está bajo licencia de BSD. Para obtener más
información sobre OVALDI, consulte el Fixlet 9 en el sitio de SCM Reporting.
Guía del usuario de Configuration Management
33
Informes de gestión de configuración
En versiones anteriores, las herramientas de creación de informes principales para
la solución de gestión de configuración incluye el panel de control de gestión de
configuración, el panel de control de gestión de excepciones y los informes web.
Estas herramientas, a la vez que los clientes con excepciones e informes
anteriormente guardados pueden acceder a ellas, se han reemplazado por Security
and Compliance Analytics, que se incluye en todos los paquetes de suscripción de
gestión de configuración.
Para obtener más información sobre Security and Compliance Analytics, consulte la
Guía del usuario de Security and Compliance Analytics.
Preguntas más frecuentes
¿Puedo parametrizar todas las comprobaciones?
No se pueden parametrizar todas las comprobaciones utilizando la interfaz de
usuario de Fixlets proporcionada. En los casos en los que se puede parametrizar
una comprobación, el método depende del tipo de contenido. Consulte la Guía
de las listas de comprobación de Gestión de la configuración para obtener más
información.
¿Hay disponibles acciones de reparación para todas las comprobaciones?
Las acciones de reparación están disponibles para un subconjunto de
comprobaciones.
¿Dónde puedo encontrar un archivo de muestra que contenga parámetros de
UNIX?
Consulte la Guía de las listas de comprobación de gestión de la configuración.
¿Hay informes/mecanismos de evaluación de conformidad que comparen un
portátil o un servidor con los estándares FISMA/NIST/DISA?
Las comprobaciones de gestión de la configuración evalúan los servidores, los
portátiles y los sistemas de escritorio según un conjunto predefinido de directrices
de configuración como DISA STIG y FDCC.
Tivoli Endpoint Manager también da soporte a estándares de configuración de
NIST, NSA y otras organizaciones de estándares. La reglamentación de
cumplimiento de normas como, por ejemplo, FISMA, PCI y otras, se pueden
admitir de forma sencilla personalizando las listas de comprobación
proporcionadas por IBM.
¿Qué ocurre si suscribo sitios a un sistema de forma incorrecta?
Cada sitio de Gestión de la configuración se aplica a un producto o sistema
operativo específico. Es importante que cada equipo suscrito a cada sitio coincida
con la configuración del sistema operativo correcto. Esto garantiza la exactitud de
los resultados de cumplimiento para cada sitio de Gestión de la configuración, e
impide problemas de rendimiento potenciales. Los sitios externos contienen la
relevancia de sitio para garantizar que sólo estén suscritos los sistemas aplicables.
34
Guía del usuario de IBM Endpoint Manager for Configuration Management
Sin embargo, los sitios personalizados no admiten la relevancia de sitios, por lo
que es responsable de mantener suscripciones precisas.
Cuando ejecuto una acción de reparación en un punto final de UNIX, ¿cómo
puedo asegurarme de que un sistema no se repara más de una vez?
Cuando se ejecuta una acción de reparación, dicha acción vuelve a ejecutar el
script de detección. Cuando se ejecuta el script de detección, valida si la reparación
se ha realizado correctamente o no. Si se realiza correctamente, el Fixlet pasa a ser
no relevante. Si no se realiza correctamente, el Fixlet seguirá siendo relevante.
¿Qué significa la designación de la letra al final de algunos scripts en el
contenido de UNIX?
Se utilizan los identificadores exclusivos de STIG DISA como parte del convenio de
nomenclatura para cada control de STIG DISA que se ha creado. Si hemos tenido
que separar un control único en varios scripts, los scripts incluirán un designador
de letra al final que proporciona un ID exclusivo para cada control.
¿Cuál es la seguridad asociada con el archivo de parámetro base que define los
parámetros para el contenido de UNIX?
Los permisos estándares para este archivo son 700 (RWE para el propietario del
archivo). En este caso, el propietario debe ser root o cualquier usuario que sea
propietario del cliente de BES.
Glosario
Administrador del sitio
La persona encargada de instalar IBM Endpoint Manager, así como de
autorizar y crear nuevos operadores de consola.
Base de datos de IBM Endpoint Manager
Componente del sistema que almacena datos acerca de sistemas
individuales y mensajes de Fixlet. Las interacciones de IBM Endpoint
Manager Server afectan principalmente a esta base de datos, que se ejecuta
en SQL Server.
BigFix Enterprise Suite (BES)
Nombre anterior de IBM Endpoint Manager.
Cabecera
Archivos que contienen los parámetros de proceso de IBM Endpoint
Manager, incluidas las direcciones URL que indican el lugar en el que se
puede acceder al contenido de Fixlet de confianza. El cliente de IBM
Endpoint Manager incorpora contenido en la empresa basándose en las
cabeceras maestras suscritas.
Carpeta de instalación del generador
Directorio del sistema de instalación en el que el generador coloca los
archivos de instalación del sistema IBM Endpoint Manager.
Carpeta de instalación del sistema
Directorio del servidor de IBM Endpoint Manager en el que se instalarán el
software de servidor y los archivos relacionados (incluidos los programas
de instalación de la consola y los clientes).
Cliente
Software instalado en todos los sistemas de red gestionados mediante IBM
Guía del usuario de Configuration Management
35
Endpoint Manager. El cliente accede a un conjunto de mensajes de Fixlet,
comprueba el sistema en busca de vulnerabilidades y envía al servidor un
mensaje si se produce esa situación. Anteriormente conocido como el
Cliente de BES, ahora se conoce como el cliente de IBM Endpoint Manager,
o simplemente Cliente.
Comprobación SCAP
Es una comprobación de configuración específica dentro de una lista de
comprobación SCAP. Las comprobaciones están escritas en XCCDF y deben
incluir las enumeraciones SCAP y correlaciones de cada plantilla SCAP.
Consola
Programa de gestión que proporciona una descripción general del estado
de todos los sistemas de la red que tienen instalado el cliente para
identificar los que podrían ser vulnerables y ofrecer posibles soluciones.
Anteriormente conocido como la Consola de BES, ahora se conoce como la
consola de IBM Endpoint Manager, o simplemente Consola.
Contenidos SCAP
Son los datos de la lista de comprobación de seguridad representados en
formatos XML automatizados, enumeraciones relacionadas con el nombre
del producto y la vulnerabilidad, y las correlaciones entre las
enumeraciones.
Contraseña de acción
Véase contraseña de firma.
Contraseña de firma
Contraseña (especificada durante la instalación del sistema IBM Endpoint
Manager) utilizada por un operador de la consola para firmar una acción
para la implementación. Se denomina contraseña de acción en la interfaz de
la consola.
Correlaciones SCAP
Interrelacionan las enumeraciones y proporcionan mediciones del impacto
basadas en estándares de los problemas de configuración y los errores del
software. Por lo tanto, para cualquier defecto de software determinado
(CVE), se pueden determinar los nombres de producto estándar afectados
(CPE). Para cualquier nombre de producto estándar (CPE), se pueden
determinar los problemas de configuración que afectan a ese producto
(CCE). Para cualquier defecto de software determinado (CVE) o problema
de configuración (CCE), se puede determinar la puntuación del impacto
del estándar (CVSS).
Datos del paquete
Tipo de datos utilizados en el catálogo de software para ayudar a
distinguir entre dos ejecutables similares. Incluye los paquetes “normal” y
“definitivo”.
Derechos de administración
Los operadores normales de la consola pueden estar limitados a un grupo
concreto de sistemas. Estos límites representan los derechos de gestión de
cada usuario. Sólo un administrador de sitio o un operador maestro puede
asignar derechos de gestión.
DSA
Distributed Server Architecture, arquitectura distribuida de servidores.
Varios servidores se conectan para ofrecer un servicio completo de
redundancia en caso de fallo.
Emisiones de CO2
CO2 es uno de los principales gases con efecto invernadero y la generación
36
Guía del usuario de IBM Endpoint Manager for Configuration Management
de energía es una de las fuentes más importantes de emisiones de CO2. La
cantidad de CO2 que se emite por kWh generado varía de manera
significativa según cómo se genere la electricidad. Por ejemplo, las
centrales hidroeléctricas y nucleares no emiten CO2, pero las centrales
eléctricas que funcionan con la combustión de carbón sí que emiten una
cantidad importante de CO2.
Enumeraciones SCAP
Incluyen la lista de todos los problemas de seguridad del software
conocidos (CVE), la lista de problemas de configuración del software
conocidos (CCE) y la lista de los nombres de producto y los proveedores
estándar (CPE).
Estados de energía
Los estados de energía del sistema definen el consumo total de energía de
un sistema. IBM Endpoint Manager Power Management realiza el
seguimiento de los cuatro estados de energía principales: Activo, Inactivo,
En espera o Hibernación y Apagado. Para obtener información detallada
sobre los estados de energía, consulte el artículo de la base de
conocimientos relacionado en el sitio web de asistencia de IBM Endpoint
Manager.
Nota: En los sistemas Mac, el seguimiento del estado de la energía se
limita a Activo y Apagado.
Generador de instalación
Aplicación que crea programas de instalación para los componentes
principales del sistema IBM Endpoint Manager.
IBM Endpoint Manager
Herramienta de mantenimiento preventivo para entornos empresariales
que supervisa los sistemas que pertenecen a una red para detectar y
solucionar vulnerabilidades con unos sencillos clics de ratón.
Implementación estándar
Implementación de IBM Endpoint Manager aplicable a grupos de trabajo y
empresas con un único dominio administrativo. Está diseñado para una
configuración en la que todos los sistemas con clientes tengan acceso
directo a un único servidor interno.
Informes SCAP
Los informes SCAP deben incluir las enumeraciones SCAP y correlaciones
de cada plantilla SCAP.
Lenguaje de relevancia
Lenguaje en el que se escriben las instrucciones de relevancia.
Lenguaje de secuencias de mandatos de acción
Lenguaje empleado para crear secuencias de mandatos de acción. Las
acciones se pueden crear en distintos lenguajes de secuencias de mandatos,
incluidos intérpretes de AppleScript y Unix.
Listas de comprobación SCAP
Las listas de comprobación de SCAP son listas de comprobación de
configuración escritas en lenguaje que puede leer una máquina (XCCDF).
Las listas de comprobación SCAP, también denominadas “listas de
comprobación” o “líneas base”, son listas que ha presentado y aprobado el
National Checklist Program del NIST. También cumplen una plantilla
SCAP para garantizar la compatibilidad con los productos y servicios
Guía del usuario de Configuration Management
37
SCAP. Las plantillas SCAP plantean los requisitos necesarios para la
inclusión de las enumeraciones SCAP y las correlaciones dentro de la lista
de comprobación.
Mensaje de Fixlet
Mecanismo para detectar y describir una situación problemática en un
sistema y proporcionar una solución automática.
Operador
Persona que utiliza la consola de IBM Endpoint Manager. Los operadores
normales pueden implementar acciones de Fixlet y editar determinados
parámetros de los sistemas. Los operadores maestros tienen privilegios
adicionales, como la capacidad de asignar derechos de administración a
otros operadores.
Operador maestro
Operador de la consola con derechos administrativos. Un operador
maestro puede hacer casi todo lo que puede hacer un administrador de
sitio, excepto crear nuevos operadores.
Paquete
Un artefacto secundario recopilado desde sistemas, que es una serie de
identificación extraída del registro de Windows.
Paquete definitivo
Una serie de datos que identifica la presencia de software y que sirve como
el método principal para la identificación de la presencia de software en un
sistema.
Precio por kWh
Es la cantidad que paga por la electricidad. Un kWh es igual a 1.000 vatios
consumidos durante una hora. Como referencia, un sistema y un monitor
estándar funcionará durante aproximadamente seis horas con un kWh de
electricidad. El coste medio de un kWh es 0,10 $ en muchas regiones de
Norteamérica. No obstante, los costes de la electricidad varían de un modo
significativo en función de la región y de la compañía de suministro. Del
mismo modo, los diferentes modelos de sistemas tendrán un consumo
energético distinto.
Procedimientos de pruebas SCAP
Las listas de comprobación SCAP hacen referencia a “procedimientos de
pruebas SCAP” para información legible por una máquina sobre la
realización de pruebas de bajo nivel del estado de la máquina (OVAL). Los
procedimientos de pruebas SCAP se utilizan junto con las listas de
comprobación SCAP.
Retransmisor
Cliente que ejecuta un software especial de servidor. Los retransmisores
reducen la carga de trabajo del servidor y la red, minimizando las
descargas directas entre servidores y clientes, y comprimiendo los datos en
sentido ascendente. Los clientes descubren automáticamente los
retransmisores y eligen dinámicamente el mejor retransmisor con el que
establecer una conexión. Anteriormente conocido como Retransmisor de
BES, ahora se conoce como el Retransmisor de IBM Endpoint Manager, o
simplemente Retransmisor.
Salir del modo en espera
Windows y otros sistemas operativos permiten que las aplicaciones activen
38
Guía del usuario de IBM Endpoint Manager for Configuration Management
un equipo desde el modo en espera a horas predefinidas. Cuando utiliza
Salir del modo en espera, el sistema se activa por sí mismo sin necesidad
de la función Wake-on-LAN.
Secuencia de datos
Una serie de información que sirve como origen de datos del paquete.
Servidor
Conjunto de aplicaciones que interactúan entre sí (servidor web, CGI-BIN y
de base de datos) para coordinar el intercambio de información entre los
sistemas del sistema IBM Endpoint Manager. Los procesos de servidor
pueden estar alojados en un único sistema, segmentados para ejecutarse en
varios sistemas distintos o replicados en servidores redundantes.
Anteriormente conocido como Servidor BES, ahora se conoce como
servidor de IBM Endpoint Manager, o simplemente Servidor.
Servidor duplicado
Servidor necesario en el sistema IBM Endpoint Manager si la empresa no
permite el acceso web directo, sino que utiliza un servidor proxy que
requiere autenticación mediante contraseña.
Servidores de Fixlet
Servidores web que ofrecen suscripciones a sitios de Fixlet. Pueden ser
internos de la red empresarial o externos a la red (si se permite el acceso
web directo externo).
Servidor raíz
Hace referencia a los servicios HTTP o HTTPS ofrecidos por el servidor
principal como alternativa a IIS. El servidor raíz de IBM Endpoint Manager
está configurado especialmente para el tráfico de Fixlet y es más eficiente
que IIS para esta función. Anteriormente conocido como servidor raíz de
BES, ahora se denomina servidor raíz de IBM Endpoint Manager o
simplemente servidor raíz.
Sistema de instalación
Sistema seguro (independiente del sistema del servidor de IBM Endpoint
Manager) que aloja y ejecuta el generador de instalación.
Sitio de Fixlet
Origen de confianza desde el que el cliente obtiene los mensajes de Fixlet.
Sitio personalizado
Puede crear contenido propio y alojarlo en un sitio personalizado. Esto
sólo puede hacerlo un operador maestro al que se le hayan proporcionado
derechos para crear contenido personalizado (utilice el programa Admin
para asignar estos usuarios).
Software ambiguo
Un software se considera “ambiguo” cuando a) tiene un ejecutable que
tiene el aspecto de otro ejecutable, o b) cuando existe en más de un lugar
del catálogo (Microsoft Word como un producto autónomo o empaquetado
con Microsoft Office).
SQL Server
Motor completo de base de datos de Microsoft que se puede adquirir e
instalar en el sistema IBM Endpoint Manager para satisfacer necesidades
de informes y almacenamiento de datos superiores a las normales. Es
superior a SQLite.
VPN
Virtual Private Network, red privada virtual. Un canal (o túnel) cifrado que
Guía del usuario de Configuration Management
39
permite a las empresas ampliar sus redes de área local por todo el mundo
a través de una conexión a Internet normal.
Wake-on-LAN
Wake-on-LAN (WoL) es un mecanismo estándar de activación de los
sistemas que envía un paquete de red específico (conocido como el paquete
mágico). Wake-on-LAN puede resultar problemático en varios entornos de
red, debido a las restricciones de red relacionadas con las difusiones de
otras subredes. IBM Endpoint Manager Power Management controla estas
complejidades porque envía a WoL paquetes de agentes cercanos en la
misma subred.
WAN
Wide Area Network, red de área extensa. Muchas oficinas están conectadas
mediante redes WAN. El ancho de banda de la red WAN determina la
ubicación de los retransmisores en la implementación, de forma que las
redes WAN ligeras requieren más retransmisores para agregar las
descargas y reducir el tráfico.
Soporte
Para obtener más información sobre este producto, consulte los siguientes recursos:
v Sitio de soporte de IBM Endpoint Manager
v Wiki de IBM Endpoint Manager
v Base de conocimiento
v Foros y comunidades
Avisos
Esta información se ha desarrollado para productos y servicios ofrecidos en EE.UU.
Es posible que IBM® no ofrezca los productos, servicios o funciones que se tratan
en este documento en otros países. Para obtener información sobre los productos y
servicios disponibles actualmente en su zona, consulte al representante local de
IBM. Las referencias a un producto, programa o servicio de IBM no pretenden
afirmar ni implicar que sólo se pueda utilizar dicho producto, programa o servicio
de IBM. En su lugar, se puede utilizar cualquier producto, programa o servicio
funcionalmente equivalente que no infrinja ninguno de los derechos de propiedad
intelectual de IBM. No obstante, es responsabilidad del usuario evaluar y verificar
el funcionamiento de cualquier producto, programa o servicio que no sea de IBM.
IBM puede tener patentes o solicitudes de patentes pendientes que cubran el tema
principal descrito en este documento. La entrega de este documento no le otorga
ninguna licencia sobre dichas patentes. Puede enviar sus consultas sobre licencias,
por escrito, a:
IBM Director of Licensing
IBM Corporation
North Castle Drive
Armonk, NY 10504-1785
EE.UU.
Para consultas sobre licencias en las que se solicite información sobre el juego de
caracteres de doble byte (DBCS), póngase en contacto con el departamento de
Propiedad intelectual de IBM de su país o envíe las consultas, por escrito, a:
40
Guía del usuario de IBM Endpoint Manager for Configuration Management
Intellectual Property Licensing
Legal and Intellectual Property Law
IBM Japan Ltd.
19-21, Nihonbashi-Hakozakicho, Chuo-ku
Tokio 103-8510, Japón
El siguiente párrafo no se aplica en el Reino Unido ni en ningún otro país en el
que dichas disposiciones entren en conflicto con la legislación local:
INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA
ESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍAS DE NINGUNA CLASE, NI
EXPLÍCITAS NI IMPLÍCITAS, QUE INCLUYEN, PERO NO SE LIMITAN A, LAS
GARANTÍAS IMPLÍCITAS DE NO VULNERACIÓN, MERCANTIBILIDAD O
ADECUACIÓN A UN FIN DETERMINADO.
Algunas legislaciones no contemplan la declaración de limitación de
responsabilidad, ni implícita ni explícita, en determinadas transacciones, por lo que
cabe la posibilidad de que esta declaración no sea aplicable en su caso.
Esta información puede contener inexactitudes técnicas o errores tipográficos.
Periódicamente se realizan cambios en la información aquí contenida; estos
cambios se incorporarán en nuevas ediciones de la publicación. En cualquier
momento, IBM puede realizar mejoras y/o cambios en el producto y/o programa
descritos en esta publicación sin aviso previo.
Las referencias en esta información a sitios web que no son de IBM se
proporcionan sólo para su comodidad y de ninguna manera constituyen una
recomendación de estos sitios web. El material de esos sitios web no forma parte
del material para este producto IBM, por lo que el uso de esos sitios web es a
cuenta y riesgo del usuario.
IBM puede utilizar o distribuir la información que proporcione el cliente de la
forma que considere conveniente sin incurrir en ninguna obligación con respecto
éste.
Los usuarios con licencia de este programa que deseen obtener información sobre
éste con el propósito de habilitar: (i) el intercambio de información entre
programas creados independientemente y otros programas (incluido este) y (ii) el
uso mutuo de la información que se ha intercambiado, deben ponerse en contacto
con:
IBM Corporation
2Z4A/101
11400 Burnet Road
Austin, TX 78758 EE.UU.
Dicha información puede estar disponible, sujeta a los términos y condiciones
correspondientes, incluyendo, en algunos casos, el pago de una tarifa.
IBM suministra el programa bajo licencia que se describe en este documento y
todo el material bajo licencia disponible para el mismo bajo los términos del
Acuerdo de cliente de IBM, el Acuerdo internacional de licencias de programas de
IBM o cualquier acuerdo equivalente entre las partes.
Los datos sobre rendimiento aquí incluidos se han determinado en un entorno
controlado. Por tanto, los resultados obtenidos en otros entornos operativos
Guía del usuario de Configuration Management
41
pueden variar de forma significativa. Es posible que algunas medidas se hayan
tomado en sistemas que se están desarrollando y no se puede garantizar que
dichas medidas serán iguales en los sistemas disponibles en general. Además, es
posible que alguna medida se haya estimado mediante extrapolación. Los
resultados reales pueden variar. Los usuarios de este documento deben verificar
los datos aplicables en sus entornos específicos.
La información relativa a productos que no son de IBM se ha obtenido de los
proveedores de estos productos, sus anuncios publicados y otras fuentes
públicamente disponibles. IBM no ha probado dichos productos y no puede
confirmar la precisión del rendimiento, compatibilidad u otra clase de afirmaciones
relacionadas con los productos que no son de IBM. Las consultas sobre las
prestaciones de productos que no sean de IBM se deben dirigir a los proveedores
de esos productos.
Todas las declaraciones relativas a la dirección o intenciones futuras de IBM
pueden cambiar o ser retiradas sin aviso, y representan sólo propósitos y objetivos.
Todos los precios de IBM que se muestran son precios de distribuidor
recomendados por IBM, corresponden al momento actual y están sujetos a cambios
sin aviso previo. Los precios de los distribuidores pueden ser diferentes.
Esta información sólo se proporciona para facilitar la planificación. La información
contenida aquí puede cambiar antes de que los productos descritos pasen a estar
disponibles.
Esta información contiene ejemplos de datos e informes utilizados en operaciones
empresariales diarias. Para ilustrarlos lo mejor posible, los ejemplos pueden incluir
nombres de personas, compañías, marcas y productos. Todos estos nombres son
ficticios y cualquier similitud a los nombres y direcciones que haya utilizado una
empresa real es pura coincidencia.
LICENCIA DE COPYRIGHT:
Esta información contiene programas de aplicación de ejemplo en lenguaje fuente,
que ilustran técnicas de programación en diversas plataformas operativas. Puede
copiar, modificar y distribuir estos programas de ejemplo de cualquier forma sin
abonar ninguna cantidad a IBM, con el fin de desarrollar, utilizar, comercializar o
distribuir programas de aplicación que se adecuen a la interfaz de programación
de aplicaciones para el equipo operativo para la que se escriben los programas de
ejemplo. Estos ejemplos no se han probado completamente en todas las
condiciones. Por consiguiente, IBM, no puede garantizar ni presuponer la
fiabilidad, capacidad de servicio o función de dichos programas. Los programas de
ejemplo se proporcionan "TAL CUAL", sin garantía de ningún tipo. IBM no se
responsabilizará de daño alguno derivado del uso de los programas de ejemplo.
Si está visualizando esta información en copia software, es posible que las
fotografías o las ilustraciones en color no aparezcan.
Marcas registradas
IBM, el logotipo de IBM e ibm.com son marcas registradas o marcas comerciales
registradas de International Business Machines Corp., registradas en muchas
jurisdicciones de todo el mundo. Otros nombres de productos y servicios pueden
ser marcas registradas de IBM u otras compañías. Para obtener una lista
42
Guía del usuario de IBM Endpoint Manager for Configuration Management
actualizada de las marcas registradas de IBM, consulte la sección “Copyright and
trademark information” del sitio web www.ibm.com/legal/copytrade.shtml.
Adobe, Acrobat, PostScript y todas las marcas registradas basadas en Adobe son
marcas registradas o comerciales de Adobe Systems Incorporated en los Estados
Unidos o en otros países.
IT Infrastructure Library es una marca registrada de la agencia Central Computer
and Telecommunications Agency, que forma parte de la Office of Government
Commerce británica.
Intel, el logotipo de Intel, Intel Inside, el logotipo de Intel Inside, Intel Centrino, el
logotipo de Intel Centrino, Celeron, Intel Xeon, Intel SpeedStep, Itanium y Pentium
son marcas registradas o marcas comerciales de Intel Corporation o de sus filiales
en los Estados Unidos de América y en otros países.
Linux es una marca registrada de Linus Torvalds en Estados Unidos o en otros
países.
Microsoft, Windows, Windows NT y el logotipo de Windows son marcas
registradas de Microsoft Corporation en los Estados Unidos o en otros países.
ITIL es una marca registrada, una marca registrada comunitaria de la OGC
británica (Office of Government Commerce), y está registrada en la Oficina de
Patentes y Marcas de Estados Unidos.
UNIX es una marca registrada de The Open Group en Estados Unidos y en otros
países.
Java™ y todas las marcas registradas y logotipos basados en Java son marcas
comerciales o marcas registradas de Oracle y/o sus filiales.
Cell Broadband Engine es una marca registrada de Sony Computer Entertainment,
Inc. en Estados Unidos y/o en otros países, desde donde se utiliza bajo licencia.
Linear Tape-Open, LTO, el logotipo de LTO, Ultrium y el logotipo de Ultrium son
marcas registradas de HP, IBM Corp. y Quantum en Estados Unidos y en otros
países.
Guía del usuario de Configuration Management
43
