企业管理指南 › 集中管理策略 › 策略偏差计算器的工作原理

策略偏差计算器的工作原理

通过高级策略管理，可查看应部署在端点（由于策略部署的原因）上的访问规则和已成功部署在同一端点上的实际规则之间的差异。 也可解决对策略对象进行的属性添加和更改。 您可以利用这些信息解决与策略部署相关联的问题。

在端点上运行策略偏差计算时，将执行以下操作：

1. 在本地主机中检索应在端点上部署的规则列表。

   它们是按本地 RULESET 对象中定义的方式为每个部署的策略指定的规则，而本地 RULESET 对象与每个部署的策略版本的 POLICY 对象关联。

2. 请检查是否已将每条规则应用于端点。

   重要说明！ 偏差计算不会检查是否应用了本地规则。 它还忽略从数据库中删除对象（用户或对象属性、用户或资源授权，或者实际用户或资源）的规则。 例如，计算无法验证是否应用了以下规则：
   rr FILE /etc/passwd

3. （可选）将本地策略对象与 DMS 上的策略对象进行比较。

   正常情况下，偏差计算器只检查本地主机上的偏差。 如果指定 -strict 选项，则偏差计算也会将与本地 HNODE 对象关联的策略和与 DMS 上的 HNODE 对象关联的策略进行比较。 包括以下内容：

   1. 与代表本地主机的 HNODE 对象相关联的策略列表
   2. 每个与 HNODE 对象关联的 POLICY 对象的策略状态
   3. 每个与 HNODE 对象关联的 POLICY 对象的策略签名
4. 输出以下两个文件：
   • ACInstallDir/data/devcalc/deviation.log

     记录在最后一次偏差计算过程收集到的错误消息。

   • ACInstallDir/data/devcalc/deviation.dat

     策略及其偏差的列表。 您可以在端点上使用 selang 命令 get devcalc 获取此文件的内容。

   注意：CA ControlMinder 还会发送审核事件，使用 seaudit -a 可查看此类事件。 有关 seaudit 实用程序的详细信息，请参阅《参考指南》。

5. 将发现的任何偏差通知 DMS。

   通过为本地 CA ControlMinder 数据库指定的 DH 将通知发送给 DMS。