Bereitstellen und Überwachen der SCAP-Konformität in Configuration ManagerDeploy and monitor SCAP compliance in Configuration Manager

Gilt für: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Nachdem Sie die SCAP-Datenstromdateien konvertiert und importiert haben, können Sie die folgenden nächsten Schritte ausführen:After you have converted and imported the SCAP data stream files, see the following next steps:

  • Bereitstellen der Konfigurationsbaselines für Sammlungen zur Bewertung von Geräten für die SCAP-KonformitätDeploy the configuration baselines to collections to assess devices for SCAP compliance

  • Überwachen der von den Zielclients zurückgegebenen KonformitätsdatenMonitor the compliance data returned from the targeted clients

  • Exportieren der Konformitätsergebnisse in das SCAP-FormatExport the compliance results to SCAP format

Bereitstellen von SCAP-KonfigurationsbaselinesDeploy SCAP configuration baselines

Erstellen Sie zunächst die Gerätesammlungen für die Computer, die Sie für die SCAP-Konformität bewerten möchten.First create the device collections for the computers that you want to assess for SCAP compliance. Weitere Informationen finden Sie unter Erstellen von Sammlungen.For more information, see Create collections.

Nun können Sie die Konfigurationsbaselines bereitstellen, die Sie für diese Gerätesammlungen importiert haben.Now you're ready to deploy the configuration baselines that you imported to these device collections. Weitere Informationen finden Sie unter Bereitstellen von Konfigurationsbaselines.For more information, see How to deploy configuration baselines.

Tipp

Wiederholen Sie diesen Vorgang für jede Konfigurationsbaseline, die für die einzelnen Gerätesammlungen bereitgestellt werden soll.Repeat this process for each configuration baseline that you want to deploy to each device collection. Als Mindestvoraussetzung muss für jede Konfigurationsbaseline mindestens eine Gerätesammlung bereitgestellt werden.At a minimum, deploy each configuration baseline to at least one device collection.

Überwachen der SCAP-KonformitätsdatenMonitor the SCAP compliance data

Bevor Sie die Konformitätsdaten wieder in das SCAP-Format exportieren, müssen Sie überprüfen, ob der Standort die Daten erfasst hat.Before exporting the compliance data back to SCAP format, you need to verify that the site has collected the data. Nachdem Sie für eine Gerätesammlung eine Konfigurationsbaseline bereitgestellt haben, sammelt der Konfigurations-Manager-Client auf jedem Computer in der Sammlung automatisch die Konformitätsinformationen.After you deploy a configuration baseline to a device collection, the Configuration Manager client on each computer in the collection automatically gathers the compliance information. Anschließend werden die Konformitätsinformationen in der Configuration Manager-Datenbank gespeichert.Then the compliance information is stored in the Configuration Manager database.

Zeigen Sie in Configuration Manager den Bereitstellungsstatus für die Konfigurationsbaseline an, um sicherzustellen, dass die entsprechenden Daten von den Konfigurations-Manager-Clients gesammelt wurden.View the status of the configuration baseline deployment in Configuration Manager to ensure that the appropriate data has been collected by the Configuration Manager clients. Es muss sichergestellt werden, dass die jeweiligen Konformitätsdaten in Configuration Manager gesammelt wurden, da dies beim Überprüfen der später zu erstellenden XCCDF/DataStream-Ergebnisdateien hilfreich sein kann.It's important to verify that the appropriate compliance data has been collected in Configuration Manager because it can help you validate the XCCDF/DataStream results files that you create later in the process.

Weitere Informationen finden Sie unter Überwachen von Konformitätseinstellungen.For more information, see Monitor compliance settings.

Überprüfen der XCCDF/Datastream-ErgebnisseValidate the XCCDF/Datastream results

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Konformität, erweitern Sie Konformitätseinstellungen, und wählen Sie das SCAP-Dashboard aus.In the Configuration Manager console, go to the Assets and Compliance workspace, expand Compliance Settings, and select the SCAP Dashboard.

  2. Wählen Sie die Konfigurationsbaseline, Zuweisung, SCAP-Datei, DataStream, den Benchmark und das Profil (falls verfügbar) aus.Select the configuration baseline, Assignment, SCAP File, Datastream, Benchmark, and Profile (if applicable).

  3. Klicken Sie auf Bericht anzeigen Example SCAP report (SCAP-Beispielbericht).Click Show Report Example SCAP report

Exportieren der Konformitätsergebnisse in das SCAP-FormatExport compliance results to SCAP format

Im nächsten Schritt exportieren Sie die Konformitätsdaten in das SCAP-Format. Dabei handelt es sich um eine ARF-Berichtsdatei im XML-Format bzw. in einem lesbarem Format.The next step in the process is to export the compliance data to SCAP format, which is an ARF report file in XML/human-readable format. Mit dem Assistenten für den Export der SCAP-Erweiterungen und dem Befehlszeilentool „Microsoft.Sces.DcmToScap.exe“ wird für jede Konfigurationsbaseline eine separate XCCDF/DataStreamARF-Ergebnisdatei exportiert.The SCAP Extensions Export wizard and Microsoft.Sces.DcmToScap.exe command-line tool export a separate XCCDF/DataStreamARF results file for each configuration baseline. Diese Dateien entsprechen den einzelnen XCCDF/DataStream-Eingabedateien, die vom Tool „Microsoft.Sces.ScapToDcm.exe“ verwendet werden, um die einzelnen Konfigurationsbaselines zu erstellen.These files correspond to each XCCDF/DataStream input file that the Microsoft.Sces.ScapToDcm.exe tool uses to create each configuration baseline.

Manuelles Exportieren mit dem Konsolen-AssistentenManually export with the console wizard

Hinweis

In diesem Abschnitt wird das manuelle Verfahren zum Exportieren der Konformitätsergebnisse mit der Configuration Manager-Konsole beschrieben.This section describes the manual process to export the compliance results with the Configuration Manager console. Informationen zur Automatisierung dieses Verfahrens finden Sie im nächsten Abschnitt Automatisches Exportieren mit dem Befehlszeilentool.To automate this process, see the next section to Automatically export with the command-line tool.

  1. Starten Sie den Assistenten zum Exportieren von SCAP-Berichten, indem Sie mit der rechten Maustaste auf den Knoten SCAP-Dashboard klicken.Start the Export SCAP Report wizard by right-clicking the SCAP Dashboard node.
    Starten des Assistenten zum Exportieren von SCAP-Berichten über das SCAP-DashboardStart the Export SCAP Report wizard from SCAP Dashboard

  2. Wählen Sie Konfigurationsbaseline, Zuweisung und SCAP-Inhaltstyp aus.Select the Configuration Baseline, Assignment, and SCAP Content Type.
    Auswählen der Baseline

  3. Wählen Sie den Speicherort der SCAP-Datenstromdateien, der XCCDF/CPE-Datei oder des Oval-Inhalts und der Variablendateien aus.Choose the location of the SCAP datastream file, XCCDF/CPE file, or Oval content and variable files.
    Auswählen des Datenstroms

  4. Geben Sie den Organisationsnamen an, und wählen Sie den Speicherort des Ordners aus, um den SCAP-Bericht zu exportieren.Specify the organization name, and choose the folder location to export the SCAP report.
    Auswählen des Datenstroms

    Tipp

    Auf dieser Seite des Assistenten wird die Befehlszeile angezeigt, die Sie mit dem Tool DcmToScap.exe zur Automatisierung desselben Verfahrens verwenden würden.This page of the wizard displays the command line you would use with the DcmToScap.exe tool to automate the same process.

  5. Überprüfen Sie die Einstellungen.Confirm the settings.
    Auswählen des Datenstroms

  6. Klicken Sie auf Weiter, um den Bericht zu exportieren.Choose Next to export the report. Schließen Sie den Assistenten ab.Complete the wizard.
    Export abschließenComplete the export

Automatisches Exportieren mit dem BefehlszeilentoolAutomatically export with the command-line tool

Öffnen Sie die Eingabeaufforderung, und navigieren Sie zu dem Configuration Manager-Ordner AdminConsole\Bin.Open the command prompt, and go to the Configuration Manager AdminConsole\Bin folder. Verwenden Sie eines der folgenden Befehlszeilenbeispiele:Use one of the following command-line examples:

Hinweis

Ihr Konto muss über Leseberechtigungen für den Configuration Manager-Anbieter verfügen.Your account must have read permissions for the Configuration Manager provider. Darüber hinaus benötigen Sie Schreibberechtigungen für den im Parameter –out der Befehlszeile angegebenen Ordner.You also need write permissions for the folder specified in the –out parameter of the command line.

Bei SCAP 1.0/1.1-Inhalt (z.B. USGCB- und DISA-Inhalt):For SCAP 1.0/1.1 content (such as USGCB and DISA content):

Microsoft.Sces.DcmToScap.exe -baseline BaselineCIID -assignment AssignmentID –xccdf <xccdf.xml> -cpe <cpe.xml> -select <xccdfBenchmark/profile> -out <outputResultFolder> [-log logFileName]

Hinweis

Falls mehrere Angaben für den Benchmark/das Profil im Inhalt vorhanden sind, verwenden Sie den Parameter –select zum Angeben des Benchmarks/Profils, der bzw. das auf den Clients bewertet wurde.If there are multiple benchmark/profile in the content, use the –select parameter to specify the benchmark/profile which has been evaluated on the clients.

Bei SCAP 1.2-Inhalt (z.B. der neueste USGCB-Inhalt):For SCAP1.2 content (such as the latest USGCB content):

Microsoft.Sces.DcmToScap.exe -baseline BaselineCIID -assignment AssignmentID -select <datastream/xccdfBenchmark/profile> -out <outputResultFolder> [-log logFileName]

Hinweis

Falls mehrere Angaben für Datenstrom/Benchmark/Profil im Inhalt vorhanden sind, verwenden Sie den Parameter –select zum Angeben von Datenstrom/Benchmark/Profil, der bzw. das auf den Clients bewertet wurde.If there are multiple datastream/benchmark/profile in the content, use the –select parameter to specify the datastream/benchmark/profile which has been evaluated on the clients.

Bei einzelner OVAL-Datei mit externen Variablen:For single OVAL file with external variables:

Microsoft.Sces.DcmToScap.exe -baseline BaselineCIID -assignment AssignmentID –oval <singleOvalFile.xml> [-variable <externalVariableFile.xml>] -out <outputResultFolder> [-log logFileName]

Hinweis

Das Tool „Microsoft.Sces.DcmToScap.exe“ generiert nur den Ergebnisbericht der OVAL-Definition für die einzelnen Zielcomputer.The Microsoft.Sces.DcmToScap.exe only generates OVAL definition results report for each target machine. Der ARF-Bericht wird nicht generiert.The ARF report isn't generated.

Abrufen von BaselineCIID und AssignmentIDHow to get the BaselineCIID and AssignmentID

Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Konformität, erweitern Sie Konformitätseinstellungen, und wählen Sie Konfigurationsbaseline aus.In the Configuration Manager console, go to the Assets and Compliance workspace, expand Compliance Settings, and select Configuration Baselines. BaselineCIID ist der Bezeichner (ID) für die Konfigurationsbaseline.The BaselineCIID is the identifier (ID) for the configuration baseline.
Abrufen der ID des Konfigurationselements und des ArbeitsauftragsGet the CI ID and Assignment ID

Wählen Sie die gewünschte Konfigurationsbaseline aus, und klicken Sie auf die Registerkarte Bereitstellungen. AssignmentID ist der Bezeichner (ID) für die Bereitstellung der Konfigurationsbaseline für eine Gerätesammlung.Select the desired configuration baseline, and click the Deployments tab. The AssignmentID is the identifier (ID) for the configuration baseline deployment to a device collection. Wenn die Zuweisungs-ID nicht angezeigt wird, klicken Sie mit der rechten Maustaste auf die Spaltenüberschrift, und wählen Sie Zuweisungs-ID aus.If the Assignment ID isn't displayed, right-click the column header, and select Assignment ID.
Abrufen der ID des Konfigurationselements und des ArbeitsauftragsGet the CI ID and Assignment ID

Microsoft.Sces.DcmToScap.exe: BefehlszeilenparameterMicrosoft.Sces.DcmToScap.exe command-line parameters

ParameterParameter VerwendungUsage ErforderlichRequired
-baseline [Baseline CI ID] Angeben der KonfigurationsbaselineSpecify the Configuration Baseline JaYes
-assignment [Assignment ID] Angeben der Bereitstellung der KonfigurationsbaselineSpecify the Configuration Baseline deployment JaYes
-organization [organization name] Angeben des Organisationsnamens, der im Bericht angezeigt werden soll.Specify the organization name, which would be displayed in report. Zur Angabe eines mehrzeiligen Organisationsnamens kann ; als Trennzeichen verwendet werden.It can be separated by ; to specify a multi-line organization name. NeinNo
-type [thin/full/fullnosc] Angeben des OVAL-Ergebnistyps: eingeschränktes Ergebnis, vollständiges Ergebnis oder vollständiges Ergebnis ohne Systemmerkmal.Specify the OVAL result type: thin result, or full result, or full result without system characteristic. Nein (wenn kein Wert angegeben wird, lautet der Standardwert „full“)No (if not specified, then the default value is full)
-scap [scap data stream file] Angeben der SCAP-DatenstromdateiSpecify the SCAP data stream file Ja (für SCAP 1.2-Datenstrom, schließt sich mit „-xccdf“ und „-oval“/„-variable“ gegenseitig aus)Yes (for SCAP 1.2 data stream, mutually exclusive with –xccdf and –oval / -variable)
-xccdf [xccdf file] Angeben der XCCDF-DateiSpecify the XCCDF file Ja (für SCAP 1.0/1.1-XCCDF, schließt sich mit „-scap“ und „-oval“/„-variable“ gegenseitig aus)Yes (for SCAP 1.0/1.1 XCCDF, mutually exclusive with –scap and –oval / -variable)
-cpe [cpe file] Angeben der CPE-DateiSpecify the CPE file Ja (für SCAP 1.0/1.1-XCCDF, schließt sich mit „-scap“ und „-oval“/„-variable“ gegenseitig aus)Yes (for SCAP 1.0/1.1 XCCDF, mutually exclusive with –scap and –oval / -variable)
-oval [oval file] Angeben der OVAL-DateiSpecify the OVAL file Ja (für eigenständige OVAL-Datei, schließt sich mit „-xccdf“ und „-scap“ gegenseitig aus)Yes (for standalone OVAL file, mutually exclusive with –xccdf and -scap)
-variable [oval external variable file] Angeben der externen OVAL-VariablendateiSpecify the OVAL external variable file Nein (optional für eigenständige OVAL-Datei, wenn eine externe OVAL-Variablendatei vorhanden ist, schließt sich mit „-xccdf“ und „-scap“ gegenseitig aus)No (Optional for standalone OVAL file when there's an external OVAL variable file, mutually exclusive with –xccdf and -scap)
-select [xccdf benchmark/profile] Auswählen von XCCDF-Benchmark/Profil aus der SCAP-Datenstromdatei oder XCCDF-DateiSelect XCCDF benchmark, profile from either the SCAP data stream or XCCDF file Ja (es muss eine Auswahl getroffen werden, damit ein Bericht generiert wird, der mit der entsprechenden DCM-Baseline in der Configuration Manager-Datenbank verglichen werden kann)Yes (a selection must be made to generate a report so that you can match the corresponding DCM baseline in Configuration Manager database
-out [output directory] Angeben des Ausgabeorts der CAB-Datei für KonformitätseinstellungenSpecify where to output the Compliance Settings cab file Nein (wenn kein Wert angegeben wird, listet das Tool nur den Inhalt ohne Konvertierung auf)No (if not specified, then the tool would only list the content without conversion)
-log [log file] Angeben der ProtokolldateiSpecify the log file Nein (wenn kein Wert angegeben wird, wird das Protokoll in die Datei „Microsoft.Sces.DcmToScap.log“ geschrieben)No (if not specified, then log is written to Microsoft.Sces.DcmToScap.log file)
-help oder -?-help or -? Ausgeben der ToolverwendungPrint out tool usage NeinNo

Tipp

Sie können den Parameter -?, –h oder –help angeben, um die Syntax des Tools „Microsoft.Sces.DcmToScap.exe“ sowie eine Liste der Parameter anzuzeigen.You can specify the -?, –h, or –help parameter to display the syntax of the Microsoft.Sces.DcmToScap.exe tool and a list of the parameters.

Standardmäßig greift das Tool „Microsoft.Sces.DcmToScap.exe“ mit Ihren Anmeldeinformationen auf die Configuration Manager-Datenbank zu.By default, the Microsoft.Sces.DcmToScap.exe tool accesses the Configuration Manager database using your credentials. Das Tool „Microsoft.Sces.DcmToScap.exe“ erfordert mindestens Lesezugriff auf die Configuration Manager-Datenbank.The Microsoft.Sces.DcmToScap.exe tool requires a minimum of read access to the Configuration Manager database.

Überprüfen Sie nach der Ausführung des Tools, ob folgende Dateien vorhanden sind:After running the tool, verify that the following files exist:

  • ARF-Bericht: _ARF_xxxx.xml_ und/oder lesbarer Bericht: xxx.txtARF report: _ARF_xxxx.xml_ and/or Human-readable report: xxx.txt
  • Cyberscope-Bericht: LASR_xxx.xmlCyberscope report: LASR_xxx.xml
  • ConsumedOval-Bericht: xx-oval-<machineName>.xmlConsumedOval report: xx-oval-<machineName>.xml
  • Bericht zum Ergebnis des XCCDF-Benchmarks: xccdf_xxx.xmlXCCDF Benchmark result report: xccdf_xxx.xml

Nächste SchritteNext step