Problema: deseo crear una máquina virtual que pueda llevar en el sitio a los clientes para que realicen "SCAP" como la exploración de sus controladores de dominio. No necesito análisis de vulnerabilidad en términos de parches o explotaciones que faltan. Estoy más interesado en cosas como la configuración de directiva de grupo y lo que el DoD (u otra entidad de estándares con nombre grande) dice "mejores prácticas". No creo que las STIGS sean el fin de todo, sean todas de cumplimiento o seguridad, pero solo una cosa más que puedo ofrecer a mis clientes mientras estoy en el sitio. Siempre estoy mirando qué más puedo proporcionarles y esto es algo que realmente deseo poder.
Antecedentes: Soy un antiguo miembro de la Fuerza Aérea en Servicio Activo y ahora soy Reservista. Mi trabajo civil es realizar análisis de riesgo de identidad para nuestros clientes. Técnicamente, tengo acceso al escáner DoD SCAP y a la licencia Nessus de mi empresa. Sin embargo, la plataforma Nessus es utilizada por nuestro equipo de PenTest y tienen una necesidad más grande que yo. Mi trabajo no requiere un VulScanner, por lo que puedo justificar la compra de otra licencia. Sin embargo, tampoco es necesario que tenga que esperar en otra oficina si está utilizando la plataforma o si el cliente no permite exploraciones remotas desde Internet a la red interna. No me siento bien al usar el escáner SCAP, ya que es un producto DoD y se han asegurado de que el mercado comercial no tenga acceso a él. Eludir su proceso solo porque todavía tengo un CAC militar parece incorrecto cuando realizo consultoría para clientes.
Lo que he investigado: lo he buscado utilizando OpenSCAP y OpenVAS. OpenSCAP es un no ir ya que me dijeron directamente que no tienen capacidades de escaneo de Windows. Sí, pueden importar los datos de SCAP, pero no pueden realizar escaneos en máquinas Windows. Sigo investigando OpenVAS para ver si puedo modificar las exploraciones para que solo realicen el contenido de STIG / SCAP en lugar de analizar las exploraciones de vulnerabilidad en toda regla. Finalmente, también analizo el analizador de mejores prácticas de Microsoft como un compromiso si no existe nada más (lo que significa que estoy convencido de que MS cree que es lo mejor).