寻找STIG/SCAP扫描仪

Question

问题:我希望构建一个VM，我可以带它到客户端执行"SCAP“，比如扫描他们的域控制器。我不需要像缺失补丁或漏洞那样的漏洞扫描。我更感兴趣的是组策略设置，以及DoD (或其他大型标准实体)所说的“最佳实践”。我不认为STIGS是最终的一切，所有的遵守或安全，但只是一个类似的东西，我可以提供我的客户，而我在现场。我总是在寻找我能提供更多的东西，这是我真的希望我能做到的一件事。

背景:我以前是现役空军，现在是预备役军人。我的文职工作是为我们的客户做身份风险分析。从技术上讲，我可以访问DoD SCAP扫描仪和我公司的Nessus许可证。然而，Nessus平台是我们的PenTest团队使用的，他们比我更需要它。我的工作不需要VulScanner，所以我可以购买另一个liscense。但是，如果客户端不允许从互联网远程扫描到内部网络，也不想在另一间办公室等待，因为他们正在使用该平台。我觉得使用SCAP扫描仪是不对的，因为它是一种DoD产品，而且他们已经确保了商业市场无法访问它。仅仅因为我还有一个军事CAC，就绕过了他们的程序，当我为客户提供咨询时，这似乎是错误的。

我所研究的是:我使用OpenSCAP和OpenVAS来查看它。OpenSCAP是一个拒绝，因为他们直接告诉我，他们没有Windows扫描能力。是的，它们可以导入SCAP数据，但是它们不能对Windows机器执行扫描。仍然在研究OpenVAS，看看我是否可以将扫描调整为只做STIG/SCAP内容，而不是查看完整的漏洞扫描。最后，如果不存在其他问题，也可以将Microsoft最佳实践分析器看作是一种妥协(这意味着我对MS认为最好的东西一无所知)。

Answer 1

您可以使用JovalCM.com，但老实说，我不明白为什么OpenSCAP或ovaldi也不能工作。如果您在高级配置中设置了ovaldi，那么OpenVAS在它的检查中支持它的集成。

SCAP需要凭证，如果没有凭据和正确的配置，来自OpenVAS的输出也是可疑的(例如，许多错误、错误和其他错误)。CIS-CAT是这些工具的一个很好的商业替代品，但是还有更好的选择。我最喜欢的是赛门铁克控制合规套房。

我的建议是尽可能多地实现安全基线，您可以从：

• https://adsecurity.org/?p=3299 (安全窗口工作站)
• https://adsecurity.org/?p=3377 (保护域控制器)