自动化 Windows Server 的 CIS 强化基准测试

Posted 2023-02-19

【中文标题】自动化 Windows Server 的 CIS 强化基准测试

【英文标题】：Automating CIS Hardening benchmarks for Windows Server

【发布时间】：2018-02-10 08:21:43

【问题描述】：

看来，针对 Windows Server 的 Hardening 的 CIS 基准测试超过 700 页，如果服务器数量众多，手动执行是一个挑战。

我想知道，如何真正自动化 Windows 的整个过程，也许是通过某种配置工具或不同的方式？

我们尝试采用现成的 AMI 方式，但挑战是很多事情似乎不起作用，我们甚至无法追踪导致中断的 CIS 规则，因为规则太多。

任何建议将不胜感激！

【问题讨论】：

你找到什么东西了吗？这个？

【参考方案1】：

您可以测试HardeningKitty，这是一个 Powershell 脚本。 作为商业解决方案，我建议CHEF

HardeningKitty 是一个开源 Powershell 脚本，它使用 CIS 和其他安全清单作为 csv 数据库，并审核您的 windows 10 和 windows 服务器安全设置。除了 Audit 之外，它还可以在您的机器上进行 Hardening。

HardeningKitty 在三种模式下工作：审核、HailMary 和配置。

在你使用它之前，以管理员身份运行powershell，然后你必须将./Invoke作为一个模块导入并在Powershell上激活未签名脚本的执行。

>     Set-ExecutionPolicy RemoteSigned
> Import-Module .\Invoke-HardeningKitty.ps1

之后使用以下命令进行 Audition：

> Invoke-HardeningKitty -Mode Audit -FileFindingList .\lists\finding_list_cis_microsoft_windows_server_2012_r2_2.4.0_machine.csv

您可以使用 HardeningKitty\lists 目录中的 csv 文件更改安全清单。

【讨论】：

正如目前所写，您的答案尚不清楚。请edit 添加其他详细信息，以帮助其他人了解这如何解决所提出的问题。你可以找到更多关于如何写好答案的信息in the help center。

虽然此链接可能会回答问题，但最好在此处包含答案的基本部分并提供链接以供参考。如果链接页面发生更改，仅链接答案可能会失效。 - From Review