Windows Server 2019 CIS

Konfigurieren Sie ein Windows Server 2019-System, um CIS-konform zu sein. Alle Ergebnisse werden standardmäßig überprüft. Nicht störende Ergebnisse aus Abschnitt 1, Abschnitt 2, Abschnitt 9, Abschnitt 17, Abschnitt 18 und Abschnitt 19 werden standardmäßig korrigiert.

Vorsicht(en)

Diese Rolle wird Änderungen am System vornehmen, die Probleme verursachen können. Dies ist kein Prüftool, sondern ein Reparaturtool, das nach einer durchgeführten Prüfung verwendet werden soll.

Diese Rolle wurde gegen eine saubere Installation des Betriebssystems entwickelt. Wenn Sie sie auf einem bestehenden System anwenden, überprüfen Sie bitte diese Rolle auf notwendige spezifische Änderungen.

Um die Release-Version zu verwenden, verweisen Sie auf den Hauptzweig. Basierend auf Windows Server 2019 CIS v1.1.0 01-14-2020.

Dokumentation

Erste Schritte
Rollen anpassen
Pro-Host-Konfiguration
Das Beste aus der Rolle herausholen
Wiki
Repo GitHub-Seite

Anforderungen

Allgemein:

• Grundkenntnisse in Ansible, hier sind einige Links zur Ansible-Dokumentation, die Ihnen den Einstieg erleichtern, wenn Sie mit Ansible nicht vertraut sind:
  • Hauptseite der Ansible-Dokumentation
  • Ansible Erste Schritte
  • Tower Benutzerhandbuch
  • Ansible Community Informationen
• Funktionierendes Ansible und/oder Tower installiert, konfiguriert und aktiv. Dies umfasst alle grundlegenden Ansible/Tower-Konfigurationen, benötigte Pakete und die Infrastruktur.
• Bitte lesen Sie die Aufgaben in dieser Rolle, um zu verstehen, was jede Steuerung bewirkt. Einige Aufgaben können stören und unbeabsichtigte Folgen in einem aktiven Produktionssystem haben. Machen Sie sich auch mit den Variablen in der Datei defaults/main.yml oder der Hauptvariablen-Wiki-Seite vertraut.

Technische Abhängigkeiten:

• Ausführendes Ansible/Tower-Setup (diese Rolle wird gegen Ansible-Version 2.9.1 und neuer getestet)

Die folgenden Pakete müssen auf dem Steuerhost, wo Ansible ausgeführt wird, installiert sein:

• passlib (oder python2-passlib, wenn Sie python2 verwenden)
• python-lxml
• python-xmltodict
• python-jmespath
• pywinrm

Das Paket 'python-xmltodict' ist erforderlich, wenn Sie die Installation des OpenSCAP-Tools aktivieren und einen Bericht ausführen. Die Pakete python(2)-passlib und python-jmespath sind für Aufgaben mit benutzerdefinierten Filtern oder Modulen erforderlich. Diese sind alle auf dem Steuerhost erforderlich, der Ansible ausführt.

Rollenvariablen

Diese Rolle ist so konzipiert, dass der Endbenutzer die Aufgaben nicht selbst bearbeiten muss. Alle Anpassungen sollten über die Datei defaults/main.yml oder mit zusätzlichen Variablen innerhalb des Projekts, Jobs, Workflows usw. erfolgen. Diese Variablen finden Sie hier auf der Hauptvariablen-Wiki-Seite. Alle Variablen sind dort zusammen mit Beschreibungen aufgeführt.

Zweige

• devel - Dies ist der Standardzweig und der Arbeitsentwicklungszweig. Community-Pull-Requests werden in diesen Zweig gemerged.
• main - Dies ist der Release-Zweig.
• reports - Dies ist ein geschützter Zweig für unsere Bewertungsberichte, hier sollte kein Code eingefügt werden.
• gh-pages - Dies ist der GitHub-Pages-Zweig.
• alle anderen Zweige - Einzelne Zweige von Community-Mitgliedern.

Beitrag der Community

Wir ermutigen Sie (die Community), zu dieser Rolle beizutragen. Bitte lesen Sie die Regeln unten.

• Ihre Arbeit erfolgt in Ihrem eigenen individuellen Zweig. Stellen Sie sicher, dass Sie alle Commits, die Sie zusammenführen möchten, mit "Signed-off" und GPG signieren.
• Alle Community-Pull-Requests werden in den devel-Zweig gemerged.
• Pull-Requests in devel bestätigen, dass Ihre Commits eine GPG-Signatur haben, Signed-off sind und einen funktionalen Test bestanden haben, bevor sie genehmigt werden.
• Sobald Ihre Änderungen genehmigt sind und eine detailliertere Überprüfung abgeschlossen ist, wird ein autorisiertes Mitglied Ihre Änderungen in den main-Zweig für eine neue Veröffentlichung mergen.