Installieren und Konfigurieren von SCAP-Erweiterungen für Configuration ManagerInstall and configure the SCAP extensions for Configuration Manager

Gilt für: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Nachdem Sie die Infrastruktur vorbereitet haben, können Sie die SCAP-Erweiterungen für Configuration Manager auf dem Computer installieren und konfigurieren, von dem aus Sie diesen Vorgang ausführen möchten.After preparing the infrastructure, you're ready to install and configure the SCAP extensions for Configuration Manager on the computer from which you want to run this process.

Installieren von SCAP-ErweiterungenInstall SCAP extensions

Die Installationsdatei befindet sich in folgendem Pfad im Installationsverzeichnis des Configuration Manager-Standortservers:The installation file is located at the following path in the installation directory on the Configuration Manager site server:
cd.latest\SMSSETUP\TOOLS\ConfigMgrSCAPExtension\ConfigMgrExtensionsForSCAP.msi

  1. Kopieren Sie ConfigMgrExtensionsforSCAP.msi auf den Computer mit der Configuration Manager-Konsole, in der Sie diesen Vorgang ausführen möchten.Copy ConfigMgrExtensionsforSCAP.msi to the computer with the Configuration Manager console where you want to run this process.

  2. Navigieren Sie im Windows-Explorer zu dem Ordner, in den Sie ConfigMgrExtensionsforSCAP.msi kopiert haben.In Windows Explorer, go to the folder where you copied ConfigMgrExtensionsforSCAP.msi. Doppelklicken Sie auf die Datei, um sie zu öffnen, und starten Sie die SCAP-Erweiterungen für den Installations-Assistenten von Configuration Manager.Double-click the file to open it and start the SCAP extensions for Configuration Manager installation wizard.

  3. Lesen Sie den Lizenzvertrag.Review the license agreement. Klicken Sie auf Ich stimme den Bedingungen des Lizenzvertrags zu, und klicken Sie auf Installieren.Click I accept the terms in the License Agreement and then click Install.

  4. Wenn die Installation abgeschlossen ist, klicken Sie auf Fertig stellen, um den Installations-Assistenten zu schließen.When the installation is complete, click Finish to close the installation wizard.

Der Installations-Assistent installiert die SCAP-Erweiterungen im Installationsordner der Configuration Manager-Konsole.The installation wizard installs the SCAP extensions in the Configuration Manager console install folder. Der Installationsordner der Konsole ist standardmäßig C:\Program Files (x86)\Microsoft Configuration Manager\AdminConsole.By default the console install folder is C:\Program Files (x86)\Microsoft Configuration Manager\AdminConsole.

Herunterladen und Installieren der SCAP-DatenstromdateienDownload and install the SCAP data stream files

Bevor Sie die SCAP-Erweiterungen ausführen können, müssen Sie die SCAP-Datenstromdateien von der Downloadseite der National Vulnerability Database (NVD) herunterladen.Before you can run the SCAP extensions, you must download the SCAP data stream files from the National Vulnerability Database (NVD) download page. Anschließend kopieren Sie die Dateien in den Ordner, in dem Sie die SCAP-Erweiterungen installiert haben.Then copy them into the folder where you installed the SCAP extensions.

Je nach Umgebung sind möglicherweise nicht alle SCAP-Datenstromdateien erforderlich, die auf der Downloadseite aufgelistet sind.Depending on your environment, you may not need all the SCAP data stream files listed on the download page.

Installieren der SCAP-DatenströmeInstall the SCAP data streams

  1. Rufen Sie die NVD-Website auf, um die SCAP-Datenströme zu ermitteln, die von Ihrer Organisation benötigt werden.Visit the NVD Web site to identify the SCAP data streams that are required by your organization. Die von NIST veröffentlichten SCAP-Datenströme sind in mehreren Paketen angeordnet, die auch Checklisten genannt werden.The SCAP data streams published by NIST are organized into multiple bundles, which are also called checklists.

  2. Laden Sie die SCAP-Datenströme von der NVD-Website herunter. Diese sind in komprimierten Dateien mit der Dateinamenerweiterung „.zip“ gespeichert oder als DataStream-XML-Datei gekennzeichnet.Download the SCAP data streams from the NVD Web site, which are stored in compressed files with a .zip file name extension or marked as DataStream XML file.

    Wichtig

    Es gibt eine Vielzahl von SCAP-Datenstromdateien mit der Erweiterung ".xml", die Sie von NVD herunterladen können.There are many SCAP data stream files with the .xml extension that you can download from the NVD. Allerdings sind nur XML-Dateien mit Inhalten des Typs XCCDF (SCAP1.0 und 1.1)/DataStream (SCAP1.2) zur Verwendung mit den SCAP-Erweiterungen geeignet.However, only .xml files that include XCCDF (SCAP1.0 and 1.1)/DataStream (SCAP1.2) content are appropriate for use with the SCAP extensions.

  3. Extrahieren Sie die ZIP-Dateien/DataStream-XML-Dateien für SCAP-Datenströme, die Sie in denselben Ordner heruntergeladen haben, in dem die SCAP-Erweiterungen installiert sind.Extract the SCAP data streams .zip files/DataStream XML file that you downloaded into the same folder where you installed the SCAP extensions.

Manuelles Konvertieren und Importieren der SCAP-DatenstromdateienManually convert and import the SCAP data stream files

Nach Eingang der SCAP-Datenströme sind Sie zum Importieren und Konvertieren der Datenströme in Konfigurationsbaselines bereit.After getting the SCAP data streams, you're ready to import and convert the data streams to configuration baselines. Die von NIST veröffentlichten SCAP-Datenströme sind in mehreren Paketen angeordnet.The SCAP data streams published by NIST are organized into multiple bundles. Folgen Sie den Anweisungen von NIST, um zu prüfen, welche Pakete in Ihrer Umgebung zu verwenden sind.Follow NIST's instructions to verify which bundles to use in your environment. Es gibt z.B. ein separates Paket für jede Windows-Version, ein weiteres versionsspezifisches Paket für die Firewallkonfiguration und ein Paket für Internet Explorer.For example, there's a separate bundle for each version of Windows, another version-specific bundle for the firewall configuration, and a bundle for Internet Explorer. Führen Sie für diese Aufgabe die folgenden Verfahren aus.Use the following procedures to accomplish this task.

Hinweis

In diesem Abschnitt wird das manuelle Konvertieren und Importieren der Datenstromdateien mit der Configuration Manager-Konsole beschrieben.This section describes the manual process to convert and import the data stream files with the Configuration Manager console. Wenn Sie diesen Vorgang automatisieren möchten, finden Sie weitere Informationen im Abschnitt Automatisches Konvertieren und Importieren der SCAP-Datenstromdateien.To automate this process, see the next section to Automatically convert and import the SCAP data stream files.

  1. Klicken Sie im Menüband der Konfigurationsbaselinegruppe auf Import SCAP Content (SCAP-Inhalt importieren).Click Import SCAP Content wizard in the ribbon from the configuration baseline group.

    Schaltfläche „Import SCAP Content“ (SCAP-Inhalt importieren) im Menüband der Konsole

  2. Wählen Sie die Option für SCAP-Inhalt aus.Select the SCAP content option.

    Seite zum Auswählen der Optionen für SCAP-Inhalt des Import-Assistenten

  3. Wählen Sie die SCAP-Datenstromdatei, XCCDF und CPE-Wörterbuchdatei oder die Oval-Inhaltsdatei aus.Select the SCAP data stream file, XCCDF, and CPE dictionary file or Oval content file.

    Wählen Sie die SCAP-Datenstromdatei aus

  4. Wenn SCAP 1.2 ausgewählt ist, wählen Sie den Datenstrom.If SCAP 1.2 select the data stream. Wählen Sie dann den Vergleichstest und das Profil für SCAP 1.x aus.Then select the benchmark and profile for SCAP 1.x. Klicken Sie auf Weiter, um den Inhalt zu konvertieren.Click Next to convert the content.

    Wählen Sie dann den Vergleichstest und das Profil für SCAP 1.2 aus.

    Tipp

    Auf dieser Seite des Assistenten wird die Befehlszeile angezeigt, die Sie mit dem Tool ScapToDcm.exe zur Automatisierung desselben Verfahrens verwenden würden.This page of the wizard displays the command line you would use with the ScapToDcm.exe tool to automate the same process.

  5. Bestätigen Sie die zu importierenden Konfigurationsdaten.Confirm the configuration data to be imported.

    Bestätigen Sie den Screenshot der Konfiguration

  6. Klicken Sie auf Weiter, um die Konfigurationsdaten zu importieren.Click Next to import the configuration data.

    Import abschließen

Automatisches Konvertieren und Importieren der SCAP-DatenstromdateienAutomatically convert and import the SCAP data stream files

Importieren mit dem BefehlszeilentoolImport with the command-line tool

Nach dem Erhalt der SCAP-Datenströme können Sie das Tool Microsoft.Sces.ScapToDcm.exe verwenden, um die SCAP-Datenströme in konforme CAB-Dateien für Konformitätseinstellungen zu konvertieren.After getting the SCAP data streams, you can use the Microsoft.Sces.ScapToDcm.exe tool to convert the SCAP data streams into compliance settings-compliant .cab files. Importieren Sie dann die CAB-Datei in Configuration Manager.Then import the .cab files into Configuration Manager. Mit dem Tool „Microsoft.Sces.ScapToDcm.exe“ werden die SCAP-Datenströme in Konfigurationselemente und Konfigurationsbaselines konvertiert, die Sie in Configuration Manager verwenden können.The Microsoft.Sces.ScapToDcm.exe tool converts the SCAP data streams into configuration items and configuration baselines that you can use in Configuration Manager. Das „Microsoft.Sces.ScapToDcm.exe“-Tool konvertiert die SCAP-Datenströme in XML-Manifeste.The Microsoft.Sces.ScapToDcm.exe tool converts the SCAP data streams into XML manifests. Anschließend packt es die XML-Manifeste in eine CAB-Datei, die Sie in Configuration Manager importieren können.It then packages the XML manifests into a .cab file that you can import into Configuration Manager.

Tipp

In Schritt 4 des manuellen Prozesses im vorherigen Abschnitt wird die Seite des Assistenten dargestellt, die die Befehlszeile angezeigt, die Sie mit dem Tool ScapToDcm.exe zur Automatisierung desselben Verfahrens verwenden würden.Step 4 of the manual process in the previous section shows the page of the wizard that displays the command line you would use with the ScapToDcm.exe tool to automate the same process.

Verwenden Sie „Microsoft.Sces.ScapToDcm.exe“, um SCAP-Datenströme in CAB-Dateien zu konvertieren.Use Microsoft.Sces.ScapToDcm.exe to convert SCAP data streams into .cab files

Navigieren Sie in der Eingabeaufforderung zum Ordner AdminConsole\Bin, und führen Sie Microsoft.Sces.ScapToDcm.exe aus.At the command prompt, go to AdminConsole\Bin folder, and run Microsoft.Sces.ScapToDcm.exe. Dieses Tool generiert eine konforme CAB-Datei für Konformitätseinstellungen und importiert sie in den Configuration Manager-Standort.This tool generates a compliance settings-compliant .cab file, and imports it to the Configuration Manager site.

Hinweis

Ihr Konto muss über Lese-/Schreibberechtigungen für den Ausgabeordner verfügen.Your account must have read/write permissions for the output folder.

Verwendung für SCAP 1.0/1.1-Inhalt (XCCDF-XML-Datei, z.B. USGCB- und DISA-Inhalt):Usage for SCAP 1.0/1.1 content (XCCDF XML file, such as USGCB and DISA content):

Microsoft.Sces.ScapToDcm.exe –xccdf <xccdf.xml> -cpe <cpe.xml> -out <outputFolder> [-select benchmark/profile] [-log LogFileName]

Hinweis

Wenn Sie den Parameter –select nicht zum Angeben von Benchmark/Profil verwenden, generiert das Tool eine CAB-Datei für jeden Benchmark in der Inhaltsdatei.If you don't specify the benchmark/profile by using the –select parameter, then the tool generates a .cab file for each benchmark in the content file.

Verwendung für SCAP 1.2-Inhalt (DataStream-XML-Datei, z.B. der neueste USGCB-Inhalt):Usage for SCAP 1.2 content (DataStream XML file, such as the latest USGCB content):

Microsoft.Sces.ScapToDcm.exe –scap <scapdatastreamfile.xml> -out <outputFolder> [-select datastream/benchmark/profile] [-log LogFileName]

Hinweis

Wenn Sie den Parameter –select nicht zum Angeben von Datenstrom/Benchmark/Profil verwenden, generiert das Tool eine CAB-Datei für jeden Benchmark in der Inhaltsdatei.If you don't specify the datastream/benchmark/profile by using the –select parameter, then the tool generates a .cab file for each benchmark in the content file.

Verwendung für einzelne OVAL-Dateien mit externen Variablen:Usage for single OVAL file with external variables:

Microsoft.Sces.ScapToDcm.exe –oval <singleOvalFile.xml> [-variable <externalVariableFile.xml>] -out <outputFolder> [-log LogFileName]

Hinweis

Wenn mehrere Werte für eine Variable in der externen Variablendatei enthalten sind, behandelt das Tool „Microsoft.Sces.ScapToDcm.exe“ die Werte als ein Array für diese Variable.If there are multiple values for one variable in the external variable file, then the Microsoft.Sces.ScapToDcm.exe tool treats the values as an array for this variable.

Microsoft.Sces.ScapToDcm.exe: BefehlszeilenparameterMicrosoft.Sces.ScapToDcm.exe command-line parameters

ParameterParameter VerwendungUsage ErforderlichRequired
-scap [scap data stream file] Angeben der SCAP-DatenstromdateiSpecify the SCAP data stream file Ja (für SCAP 1.2-Datenstrom, schließt sich mit „-xccdf“ und „-oval“/„-variable“ gegenseitig aus)Yes (for SCAP 1.2 data stream, mutually exclusive with –xccdf and –oval / -variable)
-xccdf [xccdf file] Angeben der XCCDF-DateiSpecify the XCCDF file Ja (für SCAP 1.0/1.1-XCCDF, schließt sich mit „-scap“ und „-oval“/„-variable“ gegenseitig aus)Yes (for SCAP 1.0/1.1 XCCDF, mutually exclusive with –scap and –oval / -variable)
-cpe [cpe file] Angeben der CPE-DateiSpecify the CPE file Ja (für SCAP 1.0/1.1-XCCDF, schließt sich mit „-scap“ und „-oval“/„-variable“ gegenseitig aus)Yes (for SCAP 1.0/1.1 XCCDF, mutually exclusive with –scap and –oval / -variable)
-oval [oval file] Angeben der OVAL-DateiSpecify the OVAL file Ja (für eigenständige OVAL-Datei, schließt sich mit „-xccdf“ und „-scap“ gegenseitig aus)Yes (for standalone OVAL file, mutually exclusive with –xccdf and -scap)
-variable [oval external variable file] Angeben der externen OVAL-VariablendateiSpecify the OVAL external variable file Nein (optional für eigenständige OVAL-Datei, wenn eine externe OVAL-Variablendatei vorhanden ist, schließt sich mit „-xccdf“ und „-scap“ gegenseitig aus)No (Optional for standalone OVAL file when there's an external OVAL variable file, mutually exclusive with –xccdf and -scap)
-select [xccdf benchmark/profile] Auswählen von XCCDF-Benchmark/Profil aus der SCAP-Datenstromdatei oder XCCDF-DateiSelect XCCDF benchmark, profile from either the SCAP data stream or XCCDF file Nein (Dieser Parameter ist nicht erforderlich, wird jedoch empfohlen.No (This parameter isn't required but recommended. Wenn er nicht angegeben ist, generiert das Tool eine CAB-Datei für alle Profile in allen eingebetteten Datenströmen/Benchmarks.)If not specified, then the tool generates a cab for all the profiles in all embedded DataStream/benchmarks)
-out [output directory] Angeben eines Speicherorts für die DCM-CAB-DateiausgabeSpecify where to output the DCM cab file Nein (Wenn kein Wert angegeben wird, listet das Tool nur den Inhalt ohne Konvertierung auf.)No (If not specified, then the tool only lists the content without conversion)
-log [log file] Angeben der ProtokolldateiSpecify the log file Nein (Wenn kein Wert angegeben wird, wird das Protokoll in die „Microsoft.Sces.ScapToDcm.log“-Datei geschrieben.)No (If not specified, then the log is written to Microsoft.Sces.ScapToDcm.log file)
-help oder -?-help or -? Ausgeben der ToolverwendungPrint out tool usage NeinNo

Beispiele für „Microsoft.Sces.ScapToDcm.exe“Microsoft.Sces.ScapToDcm.exe examples

SCAP 1.2-Inhalt:SCAP 1.2 content:

Microsoft.Sces.ScapToDcm.exe –scap scap_gov.nist_USTCB-ie8.xml –out .\mytestfolder –select mySCAPDataStreamID/myBenchMarkID/myProfileID

SCAP 1.0/1.1-Inhalt:SCAP 1.0/1.1 content:

Microsoft.Sces.ScapToDcm.exe–xccdf scap_gov.nist_Test-WinXP_xccdf.xml –cpe scap_gov.nist_Test-WinXP_cpe.xml –out .\mytestfolder –select XCCDFBenchmarkID/MyProfileID

SCAP OVAL-Inhalt:SCAP OVAL content:

Microsoft.Sces.ScapToDcm.exe –oval myOvalFile.xml –variable myOvalExternalVariableFile.xml –out .\mytestfolder

Beispielausgabe von Microsoft.Sces.ScapToDcm.exeSample output from Microsoft.Sces.ScapToDcm.exe

  Compliance Settings compliant cab file created:

  Validate the schema of SCAP data stream file C:\24SCAP\BVT_Test_Data_Stream.xml

  Successfully validate the schema of SCAP data stream file C:\24SCAP\BVT_Test_Data_Stream.xml

  Process XCCDF Benchmark xccdf_tst.bvt_benchmark_Windows-F

  Process XCCDF Profile: xccdf_tst.bvt_profile_version_1.0.0.0-BVT Profile #1

  Process OVAL: scap_tst.bvt_comp_Windows-F-oval.xml

  Successfully finished process OVAL: scap_tst.bvt_comp_Windows-F-oval.xml

  Process OVAL: scap_tst.bvt_comp_Windows-F-cpe-oval.xml

  Successfully finished process OVAL: scap_tst.bvt_comp_Windows-F-cpe-oval.xml
   Process SCAP data stream: scap_tst.bvt_datastream_Windows-F.zip
    SCAP Data Stream: [scap_tst.bvt_datastream_Windows-F.zip]

  Version:        [1.2]

  Timestamp:      [2/24/2012]

  Use-case:       [CONFIGURATION]

  CPE Dictionary:  [scap_tst.bvt_comp_Windows-F-cpe-dictionary.xml]

  OVAL:              [Windows-F-cpe-oval.xml]
  Product name:    [National Institute of Standards and Technology]

  Product version: []

  Schema version:  [5.3]

  Timestamp:       [2/24/2012]

  XCCDF Benchmark: [xccdf_tst.bvt_benchmark_Windows-F]

  Version:       [v1.0.0.0]
   Update:        [http://usgcb.nist.gov]

  Timestamp:     [2/24/2012]

  Status:        [accepted]

  Status date:   [2/24/2012]

  Title:         [Ohh New BVT for SCAP 1.2]

 Description:   [My description]

  XCCDF Profile: [xccdf_tst.bvt_profile_version_1.0.0.0]
 
  OVAL:              [Windows-F-oval.xml]

   Product name:    [scaptool]

   Product version: []

   Schema version:  [5.4]

   Timestamp:       [2/24/2012]

  Start SCAP to DCM conversion...

  Processing SCAP data stream: scap_tst.bvt_datastream_Windows-F.zip

  Processing CPE dictionary: scap_tst.bvt_comp_Windows-F-cpe-dictionary.xml

  …

  Generating CI baseline cab file: C:\28\bbt\xccdf_tst.bvt_benchmark_Windows-F[xccdf_tst.bvt_profile_version_1.0.0.0].cab

  Successfully generated CI baseline cab file: C:\28\bbt\xccdf_tst.bvt_benchmark_Windows-F[xccdf_tst.bvt_profile_version_1.0.0.0].cab

  Successfully converted XCCDF profile: xccdf_tst.bvt_profile_version_1.0.0.0 into DCM baseline xccdf_tst.bvt_benchmark_Windows-F[xccdf_tst.bvt_profile_version_1.0.0.0].cab

Importieren der CAB-DateiImport the .cab file

Im nächsten Schritt wird die Configuration Manager-Konsole verwendet, um die konformen CAB-Dateien für Konformitätseinstellungen in Configuration Manager zu importieren.The next step in the process is to use the Configuration Manager console to import the compliance settings-compliant .cab files into Configuration Manager. Wenn Sie die zuvor erstellten CAB-Dateien importieren, werden ein oder mehrere Konfigurationselemente und Konfigurationsbasislinien in der Configuration Manager-Datenbank erstellt.When you import the .cab files you created earlier in this process, one or more configuration items and configuration baselines are created in the Configuration Manager database. Im Verlauf dieses Prozesses können Sie die Konfigurationsbaselines für Gerätesammlungen bereitstellen.Later in the process you can deploy the configuration baselines to device collections. Weitere Informationen finden Sie unter Importieren von Konfigurationsdaten mit System Center Configuration Manager.For more information, see Import configuration data.

Der Speicherort der CAB-Datei, die Sie zuvor erstellt haben, ist der Ordner, der vom –output-Parameter des Tools „Microsoft.Sces.ScapToDcm.exe“ angegeben wird.The location of the .cab file that you previously created is the folder specified by the –output parameter of the Microsoft.Sces.ScapToDcm.exe tool.

Wichtig

Wiederholen Sie diesen Vorgang für jede zuvor erstellte CAB-Datei.Repeat this process for each .cab file that you created earlier in the process. Es gibt eine CAB-Datei für jedes ausgewählte Profil in der XCCDF/DataStream-XML-Datei, die Sie von der NVD-Website heruntergeladen haben.There's a .cab file for each selected profile in the XCCDF/DataStreamXML file that you downloaded from the NVD web site. Sie können diese Dateien verarbeiten, indem Sie das Tool „Microsoft.Sces.ScapToDcm.exe“ ausführen.You can process these files by running the Microsoft.Sces.ScapToDcm.exe tool.

Die importierte Konfigurationsbaseline ist schreibgeschützt. Ihr Status ist Aktiviert, und ihr Bereitstellungsstatus ist Nein.The imported configuration baseline is read-only, its status is Enabled, and its deployed state No. Die Eigenschaft Änderungsdatum gibt den Zeitpunkt an, zu dem die Basislinie importiert wurde.The Date Modified property shows the time that you imported the baseline. Der Name der Konfigurationsbaseline stammt aus dem Anzeigenamenbereich der XCCDF/DataStream-XML-Datei.The name of the configuration baseline comes from the display name section of the XCCDF/Datastream XML. Der Name wird mithilfe der Konvention ABC[XYZ] erstellt. Dabei steht ABC für die XCCDF-Benchmark-ID und XYZ für die XCCDF-Profil-ID (wenn ein Profil ausgewählt ist).The name is constructed using the convention ABC[XYZ], where ABC is the XCCDF Benchmark ID, and XYZ is the XCCDF Profile ID (if a profile is selected).

Nächste SchritteNext step