Windows Server 2019 CIS

Configura un sistema Windows Server 2019 para que cumpla con los estándares de CIS. Todas las auditorías se realizarán por defecto. Las correcciones no disruptivas de las Secciones 1, 2, 9, 17, 18 y 19 se aplicarán automáticamente.

Precauciones

Este rol realizará cambios en el sistema que podrían generar problemas. No es una herramienta de auditoría, sino una herramienta de remediación a utilizar después de que se haya realizado una auditoría.

Este rol fue desarrollado en una instalación limpia del sistema operativo. Si lo implementas en un sistema existente, revisa este rol para conocer cualquier cambio específico necesario.

Para utilizar la versión de lanzamiento, dirígete a la rama principal. Basado en Windows Server 2019 CIS v1.1.0 01-14-2020.

Documentación

Introducción
Personalizando Roles
Configuración por Host
Maximizando el Rol
Wiki
Página del Repositorio en GitHub

Requisitos

General:

• Conocimiento básico de Ansible. A continuación hay algunos enlaces a la documentación de Ansible para ayudar a comenzar si no estás familiarizado con Ansible:
  • Página principal de documentación de Ansible
  • Introducción a Ansible
  • Guía del Usuario de Tower
  • Información de la Comunidad de Ansible
• Tener Ansible y/o Tower funcionando, configurados y operativos. Esto incluye todas las configuraciones básicas de Ansible/Tower, los paquetes necesarios instalados y la infraestructura configurada.
• Lee las tareas en este rol para comprender lo que hace cada control. Algunas tareas pueden ser disruptivas y tener consecuencias no deseadas en un sistema de producción. También familiarízate con las variables en el archivo defaults/main.yml o en la Página de Wiki de Variables Principales.

Dependencias Técnicas:

• Configuración de Ansible/Tower en funcionamiento (este rol se prueba contra la versión 2.9.1 de Ansible y posteriores).

Los siguientes paquetes deben estar instalados en el host de control/host donde se ejecute Ansible:

• passlib (o python2-passlib, si usas python2)
• python-lxml
• python-xmltodict
• python-jmespath
• pywinrm

El paquete 'python-xmltodict' es requerido si habilitas la instalación de la herramienta OpenSCAP y ejecutas un informe. Los paquetes python(2)-passlib y python-jmespath son necesarios para tareas con filtros o módulos personalizados. Todos estos son requeridos en el host controlador que ejecuta Ansible.

Variables de Rol

Este rol está diseñado de manera que el usuario final no deba editar las tareas por sí mismo. Toda personalización debe hacerse a través del archivo defaults/main.yml o con variables adicionales dentro del proyecto, trabajo, flujo de trabajo, etc. Estas variables se pueden encontrar aquí en la página de Wiki de Variables Principales. Todas las variables están listadas allí junto con descripciones.

Ramas

• devel - Esta es la rama por defecto y la rama de desarrollo. Las solicitudes de extracción de la comunidad se incorporan a esta rama.
• main - Esta es la rama de lanzamiento.
• reports - Esta es una rama protegida para nuestros informes de puntuación, no debe incluirse ningún código aquí.
• gh-pages - Esta es la rama de páginas de GitHub.
• todas las demás ramas - Ramas de miembros individuales de la comunidad.

Contribución de la Comunidad

Te animamos (a la comunidad) a contribuir a este rol. Por favor, lee las reglas a continuación.

• Tu trabajo se realiza en tu propia rama individual. Asegúrate de firmar todos los commits que pretendas fusionar.
• Todas las solicitudes de extracción de la comunidad se incorporan a la rama devel.
• Las solicitudes de extracción a devel confirmarán que tus commits tienen una firma GPG, están firmados y tienen una prueba funcional antes de ser aprobados.
• Una vez que tus cambios sean fusionados y se complete una revisión más detallada, un miembro autorizado fusionará tus cambios en la rama principal para un nuevo lanzamiento.