问题标签 [stig]

我已经看到了一些关于此的帖子，但我还没有看到明确的答案。因此，我想我会尝试在新的背景下（国防部）重申这个问题。

根据 DISA 的“应用程序安全和开发 STIG，V3R2 ”，第3.1.24.2 节密码复杂性和维护，DoD 企业软件对密码有相当严格的指导：

• 密码长度必须至少为 15 个字符。

• 密码必须包含大写字母、小写字母、数字和特殊字符的组合。

• 更改密码后，用户不得使用姓名、电话号码、帐户名称或字典单词等个人信息。

• 密码必须在 60 天后过期。

• 用户不得重复使用之前的 10 个密码中的任何一个。

• 确保应用程序能够在更改密码时要求新帐户密码与以前的密码至少相差四个字符。

• 用户每天更改密码的次数不得超过一次，管理员或特权用户除外。特权用户可能需要重置用户忘记的密码，并且可以每天多次更改密码。

如NullUserException 的帖子中所述，为了让开发人员真正能够检查最后 X 数量的密码（并确保新密码与以前的密码不同 [项目符号 6 ]），必须使用可逆密码对密码进行加密方法，而不是散列密码（即使我使用的是 NSA 批准的加密算法，这也更加不安全）。提议的答案似乎很有意义，尽管似乎存在一些差异和争论，如Dan Vinton 的帖子所示。

我想这里真正的问题是，是否有人能够实现所有这些看似常见的密码复杂性约束，而不会真正降低其系统的安全性？

编辑：漏洞 APP3320.7（要点 6）指出“确保应用程序有能力在更改密码时要求新帐户密码与以前的密码至少相差四个字符。” 这让我相信我必须运行一个字符串相似度算法，比如 Levenshtein 来检查相似度。我不能在哈希/盐上这样做。如果我在这里错了，请告诉我？

我有两个标准，ISO 和 STIG。我正在尝试根据通用文本将 ISO 政策与 STIG 政策相匹配。ISO 文档中的文本位于其自己的单元格中。STIG 中的文本隐藏在段落中。

示例 ISO 文档：

示例 STIG

期望的结果

谢谢！！

我是 DoD 的自定义 Web 应用程序的 ISSE，我们需要在每个用户的主屏幕上显示以下信息：

登录失败：日期时间 IP 地址

成功登录：日期时间 IP 地址

我的开发人员无法弄清楚。

该应用程序是用 CF8 编写的，我们使用的是 IIS 7.0，并且该应用程序启用了 CAC，因此使用 CAC（令牌）和 PIN 完成登录。IIS 强制执行 CAC 登录部分，因此我知道必须有一个日志功能可以捕获日期/时间/IP 以及失败或成功的部分，但我不知道如何将这些信息中继到应用程序并显示给每个用户他们在主屏幕上登录的时间。对于那些熟悉的人，我们正在努力满足应用程序安全和开发 STIG 中的 APP3660 规则。

我真的很感激任何帮助......如果这是一个“你比五年级学生聪明吗”类型的问题，请道歉。

我正在使用 Microsoft 的 MVC 和所有其他相关技术为 DoD 开发一个项目。出于安全目的，我必须遵循安全技术实施指南（STIG）。

在第 3 版第 9 版第 3.10.1 节中，它表示

允许通过视图访问数据库，而不是直接访问数据库中的基础表。

和

（APP3540.4：CAT II）设计师将确保应用程序不会直接访问数据库中的表。

我可以将实体框架与 LINQ 一起使用吗？

是否有一种自动方法可以将旧 STIGS 与新 STIGS 进行比较？例如，如果我使用的是 Java 7 并且更新了 Java 8 版本，我想比较两者以了解发生了什么变化。目前我正在手动执行此操作，这非常痛苦。有没有一种自动化的方式来做到这一点？

作为自动化运行安全代码分析过程的一部分，我有一个 Jenkins 作业，它使用 sourceanalyzer 命令行工具生成 .fpr 结果文件。目前，我在 Audit Workbench 应用程序中打开此结果文件以查看结果并检查是否有任何新引入的问题等，并从那里生成 PDF/XML 格式的报告。

有没有人可以通过命令行调用 Audit Workbench 并生成有关问题的报告，然后我们可以通过 Jenkins 脚本利用该报告并邮寄结果？在线查看命令行使用似乎停止在 fpr 生成阶段。

提前致谢！

运行我的脚本时，我不断收到“错误！字段‘主机’是必需的，但未设置”。谁能告诉我我错过了什么。我目前正在尝试在 2 个 centos 6 虚拟机上实施 DISA stig 强化。

我的主机文件的副本

我正在使用 DISA STIG xml 文件，但遇到了一些问题。他们使用 XSL 样式表文件，所以当我对其进行获取内容时，我得到的只是三个属性（基准、xml、xml-stylesheet）、零个子节点。我一直在寻找 DAYS 现在如何真正能够在原始 XML 文件中的实际节点中解析/搜索，例如查找等。

看起来

只有

而且我不知道如何将此 XML 转换为我可以实际搜索、解析等的 XML。

网络家伙假装“编码”......（在此处插入笑声/耻辱）。我正在尝试创建一个充满 STIG 要求的剧本。我希望能够在网络设备上运行这个剧本，然后轻松地将结果复制到我们的 .ckl 文件中。

如果它不完全和完全明显，我使用 Ansible 不到一周。

*首先，我要对命令的输出进行 ansible 注册。*然后我想验证某些单词或短语是否在寄存器的输出中。*然后当然有一个调试消息状态“Not a Finding {insert register here}”或“Open {insert register here}”

我似乎无法让“当{this pharse}（是（或不）在）register.stdout”工作。

使用 Ansible 2.9

输出：

I'm try to use Openscap to generate report in Ubuntu 18 headless mode. But the CVE can't be cross referenced with the STIG Viewer. I'm using this manual as the guide: http://static.open-scap.org/openscap-1.2/oscap_user_manual.html I found an example for Redhat 7, but not for Ubuntu 18.

I got error when I tried this command:

oscap: unrecognized option '--stig-viewer'