Windows Server 2019 CIS

Skonfiguruj system Windows Server 2019, aby był zgodny z wymaganiami CIS. Wszystkie wykryte problemy będą domyślnie poddawane audytowi. Problemy, które nie zakłócają działania systemu, zawarte w Sekcjach 1, 2, 9, 17, 18 i 19, zostaną automatycznie naprawione.

Uwaga

Ta rola wprowadzi zmiany w systemie, które mogą spowodować problemy. To narzędzie nie służy do audytowania, ale do naprawy po przeprowadzonym audycie.

Ta rola została opracowana na czystej instalacji systemu operacyjnego. Jeśli wprowadzasz zmiany w istniejącym systemie, zapoznaj się z tą rolą, aby sprawdzić, jakie specyficzne zmiany są potrzebne.

Aby używać wersji wydania, wskaż na główną gałąź.
Na podstawie Windows Server 2019 CIS v1.1.0 01-14-2020.

Dokumentacja

Zaczynamy
Personalizacja ról
Konfiguracja per-host
Jak najlepiej wykorzystać rolę
Wiki
Strona Repozytorium GitHub

Wymagania

Ogólne:

• Podstawowa wiedza o Ansible, poniżej znajdziesz kilka linków do dokumentacji Ansible, które pomogą ci zacząć, jeśli nie jesteś zaznajomiony z Ansible:
  • Główna strona dokumentacji Ansible
  • Ansible – Zaczynamy
  • Podręcznik użytkownika Tower
  • Informacje o społeczności Ansible
• Działająca instalacja Ansible i/lub Tower, skonfigurowana i działająca. Obejmuje to wszystkie podstawowe konfiguracje Ansible/Tower, potrzebne pakiety oraz ustawienia infrastruktury.
• Przeczytaj zadania w tej roli, aby zrozumieć, co robi każda kontrola. Niektóre z zadań mogą być inwazyjne i mogą mieć niezamierzone konsekwencje w działającym systemie produkcyjnym. Zapoznaj się także z zmiennymi w pliku defaults/main.yml lub na Głównej stronie zmiennych Wiki.

Wymagania techniczne:

• Działająca instalacja Ansible/Tower (ta rola została przetestowana na wersji Ansible 2.9.1 i nowszych)

Poniższe pakiety muszą być zainstalowane na hoście kontrolującym/gdzie uruchamiane jest Ansible:

• passlib (lub python2-passlib, jeśli używasz python2)
• python-lxml
• python-xmltodict
• python-jmespath
• pywinrm

Pakiet 'python-xmltodict' jest wymagany, jeśli włączysz instalację narzędzia OpenSCAP i uruchomisz raport. Pakiety python(2)-passlib i python-jmespath są wymagane do zadań z niestandardowymi filtrami lub modułami. Wszystkie te pakiety są wymagane na hoście kontrolera, który wykonuje Ansible.

Zmienne roli

Ta rola jest zaprojektowana tak, aby użytkownik końcowy nie musiał edytować samych zadań. Wszystkie dostosowania należy wprowadzać poprzez plik defaults/main.yml lub za pomocą dodatkowych zmiennych w projekcie, zadaniu, przepływie pracy itp. Te zmienne można znaleźć tutaj na głównej stronie zmiennych Wiki. Wszystkie zmienne są tam wymienione wraz z opisami.

Gałęzie

• devel - To jest domyślna gałąź i gałąź robocza dla deweloperów. Wnioski społeczności trafią do tej gałęzi.
• main - To jest gałąź wydania.
• reports - To jest zastrzeżona gałąź dla naszych raportów punktowych, żaden kod nie powinien się tu znajdować.
• gh-pages - To jest gałąź stron GitHub.
• wszystkie inne gałęzie - Gałęzie poszczególnych członków społeczności.

Wkład społeczności

Zachęcamy cię (społeczność) do wniesienia wkładu w tę rolę. Proszę, zapoznaj się z poniższymi zasadami.

• Twoja praca jest wykonywana w twojej własnej, indywidualnej gałęzi. Upewnij się, że wszystkie swoje zatwierdzenia podpisujesz i GPG.
• Wszystkie wnioski Pull Request społeczności są wprowadzane do gałęzi devel.
• Wnioski Pull Request do devel będą wymagały potwierdzenia, że twoje zatwierdzenia mają podpis GPG, są podpisane i mają funkcjonalny test przed zatwierdzeniem.
• Gdy twoje zmiany zostaną scalone, a bardziej szczegółowy przegląd zostanie zakończony, autoryzowany członek połączy twoje zmiany z główną gałęzią w celu nowego wydania.