Windows Server 2019 CIS

Настройте систему Windows Server 2019 для соответствия стандартам CIS. Все обнаруженные проблемы будут проверяться по умолчанию. Не нарушающие работу результаты для Разделов 1, 2, 9, 17, 18 и 19 будут исправлены по умолчанию.

Предупреждение

Эта роль внесет изменения в систему, которые могут привести к сбоям. Это не инструмент для аудита, а средство для исправления, которое следует использовать после проведения аудита.

Эта роль была разработана для чистой установки операционной системы. Если вы применяете ее к существующей системе, пожалуйста, ознакомьтесь с этой ролью для выявления необходимых изменений.

Чтобы использовать версию релиза, укажите основную ветку. Основано на Windows Server 2019 CIS v1.1.0 01-14-2020.

Документация

Начало работы
Настройка ролей
Конфигурация для каждого хоста
Как максимально эффективно использовать роль
Вики
Страница репозитория GitHub

Требования

Общие:

• Основные знания Ansible. Ниже приведены ссылки на документацию Ansible, которые могут помочь в начале, если вы не знакомы с Ansible:
  • Основная страница документации Ansible
  • Начало работы с Ansible
  • Руководство пользователя Tower
  • Информация о сообществе Ansible
• Действующая установка Ansible и/или Tower, настроенная и работающая. Это включает в себя все базовые конфигурации Ansible/Tower, установленные необходимые пакеты и настроенную инфраструктуру.
• Ознакомьтесь с задачами в этой роли, чтобы понять, что делает каждая настройка. Некоторые задачи могут быть разрушительными и могут иметь непреднамеренные последствия в рабочей системе. Также ознакомьтесь с переменными в файле defaults/main.yml или на Главной странице переменных Вики.

Технические зависимости:

• Установка Ansible/Tower (эта роль протестирована с версиями Ansible 2.9.1 и новее).

Следующие пакеты должны быть установлены на управляющем хосте/хосте, где выполняется Ansible:

• passlib (или python2-passlib, если используется python2)
• python-lxml
• python-xmltodict
• python-jmespath
• pywinrm

Пакет 'python-xmltodict' необходим, если вы включаете установку инструмента OpenSCAP и запускаете отчет. Пакеты python(2)-passlib и python-jmespath требуются для задач с пользовательскими фильтрами или модулями. Эти пакеты необходимы на управляющем хосте, с которого выполняется Ansible.

Переменные ролей

Эта роль предназначена так, чтобы конечный пользователь не должен был редактировать задачи самостоятельно. Все настройки должны происходить через файл defaults/main.yml или с помощью дополнительных переменных в проекте, задании, рабочем процессе и т.д. Эти переменные можно найти здесь на Главной странице переменных Вики. Все переменные перечислены там с описаниями.

Ветки

• devel - Это основная ветка и ветка активной разработки. Запросы от сообщества будут поступать в эту ветку.
• main - Это ветка релиза.
• reports - Это защищенная ветка для наших отчетов по оценке, сюда не должно попадать никакой код.
• gh-pages - Это ветка github pages.
• все остальные ветки - Ветки отдельных членов сообщества.

Вклад сообщества

Мы поощряем вас (сообщество) вносить вклад в эту роль. Пожалуйста, ознакомьтесь с правилами ниже.

• Ваша работа выполняется в вашей отдельной ветке. Убедитесь, что вы подписали и GPG подписали все коммиты, которые хотите объединить.
• Все запросы на извлечение от сообщества поступают в ветку devel.
• Запросы на извлечение в devel подтвердят наличие GPG-подписи, подписания и функционального тестирования ваших коммитов, прежде чем будут одобрены.
• После того как ваши изменения будут объединены и более детальный обзор завершен, авторизованный член объединит ваши изменения в основную ветку для нового релиза.